1、 DebugView
可以动态查看日志,可以捕获程序中由TRACE(debug版本)和OutputDebugString输出的信息。
2、 PCHunter 系统信息查看工具
使用场景:
(1)查看一些隐藏进程,能结束一些procexp无法结束的进程,能暂停和恢复进程执行。
(2)查看进程的窗口、模块、内存。
(3)查看进程的线程,结束、暂停线程。
(4)查看系统内的驱动,隐藏驱动,分类查看(比如查看某一厂商的所有过滤驱动)。
(5)查看系统的钩子、手动卸载钩子,包括内核钩子、应用层钩子。
(6)查看文件(查看隐藏文件)、查看文件锁定情况、强制删除文件。
3、 Procexp
1)树型结构
准确的显示的进程的父子关系(view--show process tree),通过颜色可以判断此进程处于的状态和类型(Options-Config Colors):灰色-被挂起 亮黄-重定向dll 橙黄-工作进程 绿色-新创建 红色-被删除 紫色-自己的 小粉-系统服务的
2)显示进程的系统信息
右键单击标题栏-选择Select Columns项,选择你要观察进程的某种特定的信息,常用的有Process Image和Process Memory这两个选项卡
3)显示当前进程所加载的DLL
View--Show Lower Pane(Ctrl+L),查看DLL,判断进程是否被其他程序注入DLL,了解当前进程使用了哪些编程技术
View--Lower Pane View--DLLs,显示更多的内容,比如DLL基地址,DLL内存相关信息等
4)显示当前进程所占用的系统资源句柄
View-Lower Pane View 选择 Handlers,查看当前进程所占用的资源句柄表,分析进程的逻辑,检查程序是否有内核句柄泄露
5)操控进程以及显示进程的内部信息
选中进程,右键properties,挂起、重启、结束、恢复一个进程,或者结束当前进程树
可以查看进程信息(Properties)和当前进程的用户组信息,选择Environment选项卡,可以看到当前进程的环境变量
6)搜索功能(Ctrl+F)
4、 Procmon
启动Process monitor后,Process monitor会自动扫描分析系统当前程序的运行情况
1) 过滤规则(Ctrl+L),过滤显示内容
2) 最右侧提供了功能过滤区,注册表的读写,对文件的读写,网络的连接,线程和进程的调用,配置事件
3) 让Process Monitor随开机启动记录,在Options中选择Enable Boot Logging,重启电脑
4) 搜索查找(Ctrl+F)
原文地址:https://www.cnblogs.com/yapp/p/10271084.html