A:停止/啓動監視
B:設置過濾參數
C:顯示進程樹,可查看進程關係及執行週期
D:選擇需要監視的操作(註冊表、文檔、網絡等,一般只選擇文檔)
啓動監視後,正常地操作軟件,完成之後停止監視,可直接在當前界面進行分析,也可以將監視數據導出(菜單Filesàsave…),保存時最好選擇“all events”,然後將保存出來的PML文件導入到Process Monitor上進行分析。
數據分析
- 通過進程樹可以查看應用程序相關的進程,這些進程基本可以設置爲授權進程,不排除會調用公用進程(如cmd.exe),如果存在這樣的進程,需要檢查它所需要訪問的文件(主要爲臨時文件),此類文件一般需要過濾;
- 通過過濾設置查看重要文件(需要加密的文件)有被哪些進程訪問、修改,這些進程需要添加到授權;
- 對需要授權的進程訪問及修改的文件進行分析,方法與ASC基本相同。