Sysinternals Suite – procmon

Продовжуємо ділитись корисною, на наш погляд, інформацією про тули, якими ми часто користуємось в тестуванні. І сьогодні я хотів би приділити увагу не просто черговій програмі, а цілій групі, об’єднаній в Sysinternals Suite – швейцарський ніж на всі випадки життя для діагностики та моніторингу ОС Windows.

І оскільки інструментів в Suite багато, я хочу почати розбір з procmon. Що він вміє?

Procmon – Process monitor, інструмент, що вміє “моніторити” (відстежувати) дії будь-якого процесу операційної системи, такі як:

  • Операції з реєстром (зчитування/запис, вказуючи всі шляхи та значення)
  • Операції з файловою системою ( зчитування/запис, імена та шляхи до файлів, їх вміст)
  • Мережеві операції (протоколи TCP та UDP)
  • Операції з процесами (створення та завершення інших процесів)
  • Робота з пристроями (наприклад, підключення флеш накопичувача)

Для того, щоб налаштувати моніторинг, після запуску програми треба вибрати параметри фільтрації (за іменем чи PID процесу або за характерами операції, якщо ми хочемо дізнатись, який процес змінює конкретний файл) та їх завдання. Include – моніторинг буде показувати всі операції, що задовольняють критерій пошуку, Exclude – не показувати конкретні операції. По замовчанню procmon не показує власну активність та системні процеси Windows.

Наступне важливе питання – навіщо все це нам, простим тестерам? Я часто використовую procmon в exploratory testing програм, щоб більше дізнатись про їх взаємодію з операційною системою. Такий собі “реверс інженірінг на мінімалках” :

  • куди програма пише конфіги?
  • де зберігає системні дані?
  • з якими ресурсами взаємодіє по мережі та через які порти?

Протягом наступних кількох тижнів я планую написати про інші інструменти Sysinternals Suite. Якщо я зміг вас зацікавити – напишіть про це в коментах! Коли бачиш зворотній зв’язок, отримуєш більше мотивації писати ще.

17 October 2019
Автор: 
Oleksii Ostapov

Leave a comment

Leave a Reply