Giới thiệu tính năng Filter trong ProcessMon

Chào các bạn hôm nay tôi sẽ tiếp tục giới thiệu với các bạn về ProcessMon, một công cụ giám sát tiến trình rất hiệu quả. Giúp ích rất nhiều khi bạn phân tích, điều tra hành vi của virus hay mã độc.

Phần 1 của bài viết: Công cụ giám sát và theo dõi hệ điều hành Process Monitor

Chức năng Filter cung cấp cho người dùng cơ chế để có thể theo dõi các sự kiện một cách dễ dàng và hợp lý theo ý muốn của người dùng nhất.

Mặc định ProcessMon cung cấp filter các thông tin chính liên quan tới các hành động liên quan tới: Registry, File hệ thống, Mạng, Process & Thread, định hình các sự kiện. Người dùng có thể tuỳ chọn việc hiển thị các hành động tương ứng liên quan tới các tài nguyên đã liệt kê ở trên một cách dễ dàng bằng cách chọn/bỏ chọn việc hiển thị các tài nguyên này trên ngay giao diện chính

Để sử dụng tính năng Filter chi tiết hơn, có một số cách: Sử dụng phím tắt Ctrl, Vào mục Filter → Filter trong menu, click icon Filter trên giao diện chính

Tại cửa sổ này, chúng ta có thể thấy ProcessMon cho phép chúng ta lọc theo tất cả các trường dữ liệu được liệt kê giống với các cột thông tin có thể hiển thị trên giao diện chính (Xem thêm thông tin chi tiết về các cột trong bài viết Tổng quan về processMon)

Với mỗi tính năng Filter, chúng ta có các tuỳ chọn riêng:

• is: lấy chính xác một tiêu chí
• is not: lấy các tiêu chí khác một tiêu chí đang chọn
• less than: lấy các tiêu chí có giá trị nhỏ hơn một giá trị nhập vào, áp dụng với các tiêu chí dạng số: ProcessID, ThreadID, …
• more than: lấy các tiêu chí có giá trị lớn hơn một giá trị nhập vào, áp dụng với các tiêu chí dạng số: ProcessID, ThreadID, …
• begins with: lấy các tiêu chí bắt đầu bằng một giá trị nhập vào
• ends with: lấy các tiêu chí kết thúc bằng một giá trị nhập vào
• contains: lấy các tiêu chí có chứa một giá trị nhập vào
• exclude: lấy các tiêu chí ngoại trừ các tiêu chí chứa giá trị nhập vào

Trong bài sau tôi sẽ tiếp tục với bài viết về chức năng Highlight và việc export các thông tin sau khi đã capture được thông tin.

Tran Quang Chien

http://securitydaily.net/author/quangchien

Chuyên gia có nhiều năm kinh nghiệm về nghiên cứu, quản lý và phát triển các giải pháp trong lĩnh vực an toàn thông tin tại Việt Nam, nhà sáng lập chuyên trang tin tức và phân tích chuyên sâu về an toàn thông tin - SecurityDaily.NET.