Файловый архив студентов. Файловый архив студентов.
1306 вузов, 5172 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Украинский Государственный химико-технологический Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Kursovoy_MOJO.doc
Скачиваний:
0
Добавлен:
01.03.2025
Размер:
524.29 Кб
Скачать
►Содержание►

1.2 Постановка завдання

У цій курсовій роботі буде розглянута утиліта Process Monitor, яка контролює і слідкує за всією роботою операційної системи і відображає всі процеси, що відбуваються, працюючі бібліотеки, різні драйвери пристроїв, а також всі зміни, що відбуваються з файлами і виводить повідомлення про їх видалення або відкриття, а також ознайомимось з аудитом безпеки у операційних системах Windows та Linux.

2 Монітор файлової системи Process Monitor

2.1 Опис утиліти

Загальні відомості

Process Monitor - програма від компанії Sysinternals для спостереження в реальному масштабі часу за діями різних процесів в середовищі операційної системи Windows. Утиліта Process Monitor, включає в себе можливості програми моніторингу звернень до реєстру Regmon і програми моніторингу звернень до файлової системи Filemon, і додатково, дозволяє отримувати більш детальну інформацію про взаємодію процесів, використання ресурсів, мережевої активності та операціях введення-виведення.

Програма працює у всіх версіях ОС Windows, не вимагає інсталяції, однак має виконуватися під обліковим записом з правами адміністратора.

Для своєї роботи, Process Monitor встановлює в системі власний драйвер PROCMON20.SYS, за допомогою якого виконується перехоплення контрольованих монітором системних функцій і збір даних підлягають моніторингу. Спостереження виконується для наступних класів операцій - звернення до файлової системи (file system), звернення до реєстру (Registry), робота з мережею (Network), і активність процесів (Process). Після старту програми Process Monitor, виводиться вікно з фільтрами для виключення з процесу спостереження подій стандартної активності системи і самого монітора (рисунок 2.1).

Після запуску виконуваного файлу procmon.exe починається збір, обробка й виведення даних про відслідковуються подіях в основному вікні програми (рисунок 2.2).

Інтерфейс програми складається з 3-х частин - рядок меню (menu bar), панель інструментів (toolbar) і область виводу даних у вигляді списку. Програма перехоплює відстежувані події, пов'язані з активністю процесів і видає дані у відповідності з заданими критеріями фільтрації та користувацькими налаштуваннями відображуваних колонок.

Рисунок 2.1 Вікно з фільтрами для виключення з процесу спостереження

Рисунок 2.2 Основне вікно програми

Кожній події, перехоплених програмою Process Monitor, відповідає один рядок у вікні виводу даних. Подвійне клацання на окремому рядку викличе вікно перегляду властивостей події (Event Properties). Порядок проходження рядків відповідає послідовності виконання операцій. Інформація у вікні виводу даних розділена на декілька стовпців, склад яких можна вибрати за допомогою контекстного меню Select Columns, що викликається правою кнопкою мишки на поле опису колонок або через головне меню - Options - Select Columns.

Рисунок 2.3 Вікно вибору колонок

Можливий виведення колонок, розбитих на 3 категорії:

Application Details - відомості про процес

Event Details - відомості про подію

Process Management - дані про батьківський процес, породжуваних потоках і контексті облікового запису безпеки досліджуваного процесу.

Встановлення фільтрів

Process Monitor запам'ятовує останній використовуваний набір фільтрів і застосовує його при наступному запуску програми. Задати умови фільтрації можна відразу після старту утиліти або викликавши вікно налаштування фільтрів (Process Monitor Filters) в будь-який момент часу з використанням меню програми або комбінації клавіш CTRL + L. Крім безпосереднього створення правил фільтрації вручну, можливе використання кнопок панелі інструментів і контекстного меню, що викликається правою кнопкою мишки.

Рисунок 2.4 Виклик контекстного меню

Меню дозволяє виконувати дії фільтрів Include, Exclude і Highlight з використанням даних вибраного події. Так, наприклад, вибір пункту меню Exclude "PTStartmon.exe" призведе до створення правила фільтру для виключення з спостереження процесу з ім'ям PTStartmon.exe. Вибір Highlight - випадаюче меню - Result викличе підсвічування всіх записів, у поле результату виконання відслідковується операції яких, буде таке ж значення, як і в поточному подію.Exclude та Category - виключити з вихідних даних події, категорія яких збігається з категорією обраної записи. Створення фільтрів вручну дозволяє отримувати більш гнучкі правила, засновані на використанні логічних виразів.

Рисунок 2.5 Фільтр що створений вручну

Column (колонка) - вибираємо значення Company

Relation (вираз - можна вибрати is (дорівнює) чи, більш універсально - contain (містить)

Value (значення) - вибираємо Microsoft Corporation

Action (дія) - вибираємо Exclude - виключити.

У підсумку, одержуємо правило - "не відображати події, в полі імені компанії яких присутня значення Microsoft Corporation".

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности