Process Monitor 은 Sysinternals의 Filemone와 Regmone를 결합시킨 도구로 파일 시스템, 레지스트리, 네트워크, 프로세스, 스레드 등과 관련된 동작에 대한 정보를 로깅하는데 사용할 수 있다. Process Monitor 는 레지스트리 모니터링을 위해 ZwDeleteKey와 ZwSetValueKey 같은 함수를 후킹하는 커널 드라이버를 로딩하며 네트워크 활동은 윈도우 이벤트 추적을 사용해 캡처한다. Options -> Enable Boot Logging를 이용하여 부팅시 호출하는 API를 확인 할 수 있다.
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
'0x011 Tool' 카테고리의 다른 글
| [Tip] VMWare Network Setting (0) | 2017.12.29 |
|---|---|
| [Windows] dex2jar | jd gui (0) | 2017.12.29 |
| [Windows] Cain&Abel (0) | 2017.12.29 |
| [All] VMWare Workstation (0) | 2017.12.29 |
| [Windows] Resource Hacker (0) | 2017.12.29 |