Monitorer l’activité système ou d’un programme

Un billet qui vous donne quelques astuces pour monitorer son système ou un programme en particulier.
C’est à dire visualiser les actions opérées par un programme et les modifications systèmes faites par ces derniers.

Ce billet sera avant tout la présentation de quelques programmes.
Pour les aspects réseaux, vous pouvez aussi lire en parallèle la page : Lister les connexions réseau sur Windows

reparer_windows

Moniteur de ressources de Windows

Windows depuis la version de Vista intègre un moniteur de ressources qui est assez complet puisque ce dernier vous permet de visualiser l’activité CPU, disque, mémoire et réseau.
Voir la page : le moniteur de ressources

Pour y accéder :

  • Menu Démarrer et tapez taskmgr dans la barre de recherche et appuyez sur entrée.
  • Cliquez sur l’onglet Performances puis en bas sur Moniteur de ressources

Ce dernier permet de lister :

  • Les processus en cours d’execution avec l’UC moyenne par processus.
  • L’utilisation Disque avec le débit en entrant/sortie par processus
  • Même chose au niveau réseau – se reporter à la page La notion de port ouvert et la sécurité

 Net-Peeker – monitorer le réseau et Firewall

Présentation : http://www.malekal.com/2012/06/11/net-peeker-monitorer-le-reseau-et-firewall/

InCtrl5

Attention InCtrl5 ne doit plus fonctionner à partir de Windows Vista

InCtrl5 est un programme qui permet d’enregistrer l’état des fichiers sur le disque et de la base de registre et de voir les modifications effectuées après l’installation d’un programme. InCtrl5 permet de lister les fichiers/clefs créés/modifiés ou supprimés.
InCtrl5 est très pratique pour évaluer les modifications systèmes après installation d’un programme ou exécution d’un fichier.

Le programme ne fonctionne pas ou pas bien sur un Windows 64 bits, vous pouvez tenter de faire un clic droit / Propriétés et de régler la compatibilité à Windows XP SP2 mais lors de la création de l’état, ce dernier peux boucler sur le registre.

InCtrl5 : voir les modifications systemes

RegShot

RegShot fonctionne de la même manière que inctrl5 en faisaint un diff sur les éléments modifiées dans le registre Windows.
=> RegShot

WhatChanged

Equivalent de InCtrl5 : http://www.vtaskstudio.com/support.php
Permet de faire un snapshot du système puis d’obtenir les modifications effectuées sur le système après installation d’un logiciel

 

 

WhatChanged

Process Explorer / Process Hacker et PCHunter

Process Explorer est un gestionnaire périphérique évolué qui permet de visualiser/gérer les processus (terminer, suspendre etc..).
Process Explorer permet aussi de visualiser les handles, DLL chargés/ouverts par chaque processus.

Process Explorer ne sera plus détaillé dans ce billet.
Se reporter au : Tutoriel Process Explorer

Il existe aussi des équivalents comme Process Hacker et PCHunter

Process Explorer : gestionnaire de tâches avancées

Process Moniteur (ProcMon)

Process Monitor monitore en temps réel toute l’activité système, ouverture de fichiers, registre, accès réseau etc.
Ce dernier génère donc une nombre assez conséquent de lignes puisque l’activité du système l’est en général, ne serait-ce que par les processus système.

Process Monitorer permet la mise en place de filtre afin d’excluser des processus, chemin etc via des règles complètes.
Le programme est surtout destiné aux utilisateurs avancés.

Les règles se lancent au démarrage.

Process Monitor : monitorer son système
Mais on peux aussi exclure un élément par un clic droit / Exclure dans la liste.
Comme vous pouvez le voir, les critères d’exclusion sont assez nombreux.

Process Monitor : monitorer son système

Tout à droite de la barre d’outils, vous pouvez choisir les éléments à afficher, dans l’ordre :

  • Les actions liées aux recherches (création, ouverture, fermeture de clefs dans le registre)
  • Les actions liées aux systèmes de fichiers (ouverture, fermeture de fichiers etc)
  • Les actions liées aux réseaux (connexions etc)
  • Les actions liées aux processus (création, fermeture de processus, threads etc)
  • Les actions liées aux profils
Ceci peux permettre d’alléger l’affichage.

Barre outils de ProcMon

Ci-dessus, une capture avec des bots en activité – on peux voir les connexions établies (UDP), les ouvertures du fichiers ou lecture du registre.
Process Monitor : monitorer son système
Ici les tentatives de résoluions DNS (vers les DNS d’Orange/Wanadoo) par Winlogon.exe ce qui est anormal.
Les connexions issues par le malware Backdoor.Win32.Shiz

et tentatives d’ouvertures de fichiers erronées toujours par winlogon.exe
ProcMon et Backdoor.Win32.Shiz

ici le dropper du malware Trojan.Spyeye qui lance le processus du malware principale C:\Recycle.Bin\BF6232F3AF50.exe

ProcMon et Spyeyeet ci-dessous winlogon.exe et lssas.exe qui créent et ferment des thread en boucle

ProcMon et Spyeye

Fiddler : Monitorer le traffic HTTP

Permet de monitorer l’activité HTTP.
Se reporter au tutoriel FiddlerCap : Fiddler : Monitorer le traffic HTTP

FiddlerCap : Monitorer le traffic HTTP

Directory Monitor

Permet de monitorer la création de fichiers/suppression/modification de fichiers dans un répertoire : http://www.deventerprise.net/Projects.aspx

Directory Monitor : monitorer la création/suppression de fichiers

Quelques autres programmes en vrac

Certains n’ont pas été testés.

MoniDIR 2000
http://www.contactplus.com/products/freestuff/monidir.htm

RegFromApp

Monitore les changents dans la base de registre et génère un .reg de ces changements.
http://www.nirsoft.net/utils/reg_file_from_application.html

SystemSherlock Lite

Equivalent de InCtrl5 mais en ligne de commande : thttp://www.kephyr.com/systemsherlocklite/index.phtml

SystemSherlock GUI
Un Gui pour SystemSherlock Lite : http://msmvps.com/blogs/martinzugec/archive/2008/05/17/systemsherlock-snapshot-using-gui-or-cmd.aspx

SpyMe Tools

http://www.lcibrossolutions.com/spyme_tools.htm

 

SpyMe ToolsInstallWatch

http://www.epsilonsquared.com/installwatch.htm

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 718 times, 1 visits today)

4 thoughts on “Monitorer l’activité système ou d’un programme

  1. Salut,

    Le programme utilisé est un IDS : Safety Monitor System.
    Le hic c’est qu’il n’est plus édité, il marche bien sur Windows XP, je doute qu’il fonctionne bien sur Vista et Seven.

    Dommage!

  2. Attention aussi : Beaucoup de malware refusent carrément de s’exécuter si REGMON ou FILEMON (les ancêtres de Procmon) sont lancés. Procmon a tout les coup doit être aussi détecté. Pour wireshark c’est pareil..

    Il faut donc éviter de croire un programme sans danger si sous la vm vous ne voyez rien…
    Peut être que le malware SAIS que vous êtes sous une VM !

    Ou alors, vous voyez tout de suite que vous etes infectés parce que …. les programmes de monitoring plantent/se ferment tout seul, tués par le malware 🙂

  3. Salut Malekal.

    Tu t’es surement aperçu que je potasse un peu sur ton site, même si je ne vois pas bien ce que je peux faire concrètement de ce genre d’info…

    Bref, question : tu listes un maximum de logiciels surement très efficaces, surtout s’ils sont libres (ce qui change beaucoup pour un pro) mais autant de logiciels installés c’est autant de failles de sécurité potentielles pour un nab dans mon genre nan?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *