主页 > 新闻资讯 > > 正文

网站建设_死神来了3百度云_试用

来源:胜利云 发布时间:2021-04-30 16:48 标签:试用死神百度网站建设
浏览:

进程监视器(也称为procmon)是微软Sysinternals套件的一部分,也是解决Windows系统故障的著名工具。在这篇博文中,我介绍了如何降低过滤器驱动程序堆栈中procmon的高度。

你可能会问自己:你说的这个高度是多少,泛在电力物联网,我为什么要降低它?在下载并成功启动procmon之后,可以在提升的cmd或PowerShell中运行fltmc实例。此命令的输出列出了在您的操作系统上激活的微筛选器驱动程序。

在我的Windows上激活的微筛选器驱动程序

您可以看到,通过启动procmon可执行文件,PROCMON24微筛选器驱动程序已加载。此微筛选器驱动程序是必需的,大数据的概念,以便procmon能够拦截IO操作并记录它们。但是,不同的应用程序可能会将筛选器驱动程序用于其他目的。例如,杀毒软件可以使用微筛选器驱动程序来拦截和阻止IO操作。

这就是微筛选器驱动程序发挥作用的地方。过滤器驱动程序被设置为唯一的高度值,这些高度值描述了它们对文件系统的相对顺序。筛选器驱动程序的高度越低,越接近文件系统。

Microsoft文档为筛选器驱动程序定义了不同的加载顺序组,还列出了分配给筛选器驱动程序的唯一高度值(https://docs.microsoft.com/en-us/windows-hardware/drivers/ifs/allocated-altitudes). 您可以看到,一般情况下,反病毒过滤器驱动程序的高度低于我们的PROCMON24微过滤器的高度。

降低PROCMON24微过滤器高度的想法是,可以获得其他信息,而这些信息是procmon看不见的,因为对应的过滤器驱动程序在过滤器堆栈中低于PROCMON24.

procmon的高度可以在注册表中设置。因此,打开regedit.exe并导航到键HKEY\U LOCAL\U MACHINE\SYSTEM\ControlSet001\Services\PROCMON24\Instances\Process Monitor 24 Instance,并将高度值从默认值385200降低到,例如,40000.

修改高度值

重新启动procmon并检查其微筛选器驱动程序的高度是否已通过在提升的PowerShell中使用fltmc实例进行了调整。

修改了procmon的高度

在旧版本的procmon中,您可能必须防止procmon在获得时覆盖此手动设置的高度起动。因此,右键点击实例,选择权限,点击高级按钮

设置正确的权限条目

然后添加新的权限条目,返利啦,云服务器好吗,选择所有人作为主体。使用类型:拒绝并检查设置值,以及删除。

设置正确的权限条目

此权限条目将阻止procmon重置为默认高度。

让我们进入一个示例,其中我们的disp+工作.exe进程打开一个插入指令的文件,使Windows Defender处于活动状态。这将是我们要用procmon监视的设置,并比较海拔高度对跟踪的影响。

我在禁用Windows Defender的主机上使用了远程SMB共享。在这个共享上,我创建了一个常规的.txt文件供参考,还有一个EICAR测试文件。EICAR测试文件是无害的文件,包含一个特定的字符串,因此它们被反病毒软件视为恶意软件。然后,我通过事务AL11访问了这个共享。在下面的屏幕截图中,您可以看到两个文件都显示在事务AL11中。

EICAR.txt文件以及普通.txt然而,在AL11

中,我只能显示普通.txt. 内容EICAR.txt文件无法访问。

的内容普通.txt

让我们找出原因,然后比较我为不同高度记录的procmon轨迹(默认值:385200,自定义值:40000)。在这里,我设置了一个过滤器来包含进程名disp+工作.EXE以及EICAR.txt文件文件

处理不同高度的监视器记录道

通过比较两个不同的记录道,您可以看到高度降低的记录道包含更多的事件,我用蓝色框标记了这些事件。此外,CreateFile操作与指定的detail Generic Read(用红色标记)的结果不同。这意味着这个操作的结果被一个位于两个高度之间的微筛选器修改了。

更有趣的是,淘客群,让我们比较CreateFile操作的调用堆栈和其中一个操作的调用堆栈,其中一个操作只在降低高度时被捕获。对于本例,我们选择QuerySecurityFile操作,其中的结果是拒绝访问。在下面的屏幕截图中,您可以看到调用堆栈非常相似

CreateFile(左)和QuerySecurityFile(右)调用堆栈的比较

事实上,您可以看到这两个操作都是由同一个调用disp的get\u file\u属性触发的+工作.EXE模块。但是,QuerySecurityFile操作的调用堆栈表明QuerySecurityFile操作是由CreateFile操作触发的。如果你再仔细观察,就会发现触发这个操作的模块是WDFilter.sys系统. 你猜怎么着?WDFilter.sys系统是Windows Defender的微筛选器驱动程序。

通过调查这些procmon跟踪可以获得更多的信息,这就是为什么SAP支持可能会请求一个procmon日志,其中微筛选器的高度从其默认值进行了修改。

我希望我能够获得一些新的信息。请随时发表评论并留下反馈!

发表评论
验证码: 点击我更换图片

注:网友评论仅供其表达个人看法,并不代表本站立场。

热门文章

  • 海外云服务器_关于_有关物联网的问题
    <strong>海外云服务器_关于_有关物联网的问题</strong>

    海外云服务器_关于_有关物联网的问题

    消费者在哪里?这不是医疗保健领域的"捉迷藏"游戏,而是建立一个全面运转的医疗保健系统所需要的关键缺失要素。让消费者参与进来——作为一个消费...

  • 云视频存储_云主机部署网站
    <strong>云视频存储_云主机部署网站</strong>

    云视频存储_云主机部署网站

    集成/docker/梅索斯/marathonapachemesos是一个用于调度和管理分布式应用程序的开源集群管理器。Mesos几乎就像整个集群是一个单一的集群一样分配CPU和RAM等资源...

  • 分布式数据库_物联网技术应用前景
    <strong>分布式数据库_物联网技术应用前景</strong>

    分布式数据库_物联网技术应用前景

    技术支持副总裁Aileen Wyer和高级系统管理员Maruf Rahman最近与我们坐下来讨论我们的合作伙伴关系如何帮助CAN Capital的遗留备份基础设施现代化,以简化数据管...

  • 云服务器案例_农业物联网技术方案
    <strong>云服务器案例_农业物联网技术方案</strong>

    云服务器案例_农业物联网技术方案

    今天,两位前行业分析师(现在是Veeam高管)讨论了塑造数据保护行业和IT格局的趋势:Jason Buffington@JBuff,前ESG数据保护首席分析师Dave Russell@BackupDave,Ga...

  • 云计算应用_绿色云数据中心
    <strong>云计算应用_绿色云数据中心</strong>

    云计算应用_绿色云数据中心

    Nathan Sielaff,World Vision的系统工程师,负责备份、存储等。他致力于创建一个灵活和敏捷的IT环境,这样组织就不必担心底层基础设施,可以将精力集中在任...

云储存

更多 >
  • 域名解析_数据库的设计步骤_排行榜
    域名解析_数据库的设计步骤_排行榜

    考虑到最近努力维持工厂运转,制造商继续感受到供应链不稳定的影响。不断波动的需求正引发巨大的压力,要求快速调整生产设备、调整设计和创新新产...

  • 负载均衡_云主机云服务器_排行榜
    负载均衡_云主机云服务器_排行榜

    本文的主要内容是本文的第二幅图。是的,你可以只看那张图片而忽略文字。SA–CCR:交易对手信用风险敞口的标准化方法。 作为巴塞尔协议III的一部分,...

云储存分布式存储_mysql数据库指令_学生机
云储存服务器_阿里云压测_年度促销
云储存云存储_数据库的优化方法_优惠券
云储存企业邮箱_阿里云免费邮箱个人版_评分榜
云储存分布式存储_cdn和分布式_0元