Les meilleurs logiciels pour suivre l’activité système Windows

Un article qui vous donne les meilleurs logiciels pour monitorer et suivre l’activité de Windows ou un programme.
C’est à dire visualiser les actions opérées par un programme et les modifications systèmes faites par ces derniers :

• Les connexions réseaux établies
• Lister les processus établies
• Création d’un nouveau processus et la terminaison
• Ajout de services Windows
• Création et suppression de fichiers

Enfin cela peut fonctionner lorsque vous installez une application pour lister les modifications dans Windows.

Voici la liste complètes des logiciels à utiliser.

Introduction

Suivre l’activité système peut vous permettre de vérifier et suivre comment les applications agissent dans Windows.
Cela peut permettre de suivre l’activité général de Windows et détecter d’éventuellement comportementaux anormaux comme une utilisation CPU ou mémoire forte ou même déceler des programmes malveillants.

En illustration des programmes lités sur cette page, vous pouvez vous reporter à cette vidéo :

Les meilleurs logiciels pour suivre des connexions réseaux

Les programmes suivants permettent de suivre la bande passante, les connexions réseaux établies, avec les adresses et ports distants.

Tutoriels connexes :

• Lister les connexions réseau sur Windows
• Mesurer le débit/vitesse de sa connexion
• Lenteur réseau sur Windows 10

Glasswire : Firewall et suivi de connexion

Glasswire est un programme complet qui peut faire office de pare-feu et permet aussi de suivre les connexions établies, le débit etc.
Plus d’informations : Tutoriel Glasswire.

NetLimiter

NetLimiter est un programme payant qui permet de prioriser et limiter la bande passante des applications, téléchargements (download) ou envoi (upload).
Ce programme de gestion des connexions réseau liste les connexions établies et le débit et vous permet de bloquer la vitesse de téléchargement ou d’upload.
Enfin NetLimiter peut aussi couper des connexion réseaux et agit comme Firewall en appliquant des règles par application.

Net-Peeker – monitorer le réseau et Firewall

Présentation de Net-Peeker sur la page suivante : Net-Peeker – monitorer le réseau et Firewall

Fiddler : Monitorer le traffic WEB (HTTP)

Permet de suivre l’activité HTTP.
Se reporter au tutoriel FiddlerCap : Fiddler : Monitorer le traffic HTTP

Wireshark

Wiresharck est un programme complet qui permet de suivre les connexions établies, récupérer les paquets reçus et envoyer et analyser ces derniers.
Se reporter à la page : WireShark : sniff/analyse réseau

pktmon

pktmon est un outil inclut dans Windows 10.
Il permet d’analyser et capturer des paquets réseaux de Windows 10.
Il fonctionne de la même manière que TCPDump.
Vous paramétrez des filtres puis lancez une capture.

Un fichier etl est alors généré que l’on peut convertir en fichier pcap.

Plus d’informations : pktmon : analyser et capturer des paquets réseaux de Windows 10

Les meilleurs logiciels pour suivre les processus et activité CPU, mémoire et disque

Ces programmes permettent de suivre l’activité des processus systèmes, l’utilisation CPU, la quantité de mémoire utilisée par les programmes.
Certains de ces utilitaires peuvent suivre aussi les connexions réseaux établies.

Tuto connexes :

• Mesurer l’utilisation mémoire sur Windows
• Le gestionnaire de tâches de Windows pour suivre les processus etc.

Process Explorer, Process Hacker, System Explorer et PCHunter

Toutes ces applications sont des gestionnaires de tâches avancés, un peu un mélange entre le gestionnaire de tâches de Windows et le moniteur de ressources système.
On trouve la possibilité de lister les processus et leurs utilisation CPU, mémoire, disque et réseau.
Effectuer des actions sur ces derniers comme suspendre ou arrêter un processus.
Des graphiques sur l’utilisation système sont disponibles pour visualiser les performances dans le temps.
Enfin certains de ces utilitaires peuvent lister et gérer les connexions établies.

Les liens vers des tutoriels pour ces utilitaires :

• Tutoriel Process Explorer
• System Explorer : un gestionnaire de tâches avancé
• Process Hacker

Moniteur de ressources de Windows

Windows depuis la version de Vista intègre un moniteur de ressources est assez complet puisque ce dernier vous permet de visualiser l’activité CPU, disque, mémoire et réseau.
Pour un aperçu complet et comprendre le fonctionnement de ce dernier, vous pouvez suivre l’article : le moniteur de ressources

Pour y accéder :

• Menu Démarrer et tapez taskmgr dans la barre de recherche et appuyez sur entrée.
• Cliquez sur l’onglet Performances puis en bas sur Moniteur de ressources

Ce dernier permet de lister :

• Les processus en cours d’exécution avec l’UC moyenne par processus.
• L’utilisation Disque avec le débit en entrant/sortie par processus
• Même chose au niveau réseau – se reporter à la page La notion de port ouvert et la sécurité

Directory Monitor

Permet de suivre la création de fichiers/suppression/modification de fichiers dans un répertoire : http://www.deventerprise.net/Projects.aspx

Les meilleurs logiciels pour analyser les modifications systèmes

Il s’agit ici de programmes qui permettent, lorsque vous installez des logiciels de connaître les modifications effectuées par ces derniers.
Le but étant donc de savoir quelles modifications ont été effectuées avant et après l’installation, l’exécution d’une application.

InCtrl5

Attention InCtrl5 ne doit plus fonctionner à partir de Windows Vista

InCtrl5 est un programme qui permet d’enregistrer l’état des fichiers sur le disque et de la base de registre et de voir les modifications effectuées après l’installation d’un programme.
Cet utilitaire liste les fichiers/clefs créés/modifiés ou supprimés avant et après un point témoin créé.
InCtrl5 est très pratique pour évaluer les modifications systèmes après installation d’un programme ou exécution d’un fichier.

Le programme ne fonctionne pas ou pas bien sur un Windows 64 bits, vous pouvez tenter de faire un clic droit / Propriétés et de régler la compatibilité à Windows XP SP2 mais lors de la création de l’état, ce dernier peut boucler sur le registre.

RegShot

RegShot fonctionne de la même manière que inctrl5 en faisant un diff sur les éléments créés, supprimés ou modifiées dans le registre Windows.
L’outil permet trouver les clés du registre Windows ajoutées ou supprimées par une applications.
=> La fiche RegShot

Process Moniteur (ProcMon)

Process Monitor (Procmon) monitore en temps réel toute l’activité système, ouverture de fichiers, registre, accès réseau etc.
Ce dernier génère donc une nombre assez conséquent de lignes puisque l’activité du système l’est en général, ne serait-ce que par les processus systèmes de Windows.

Process Monitor permet la mise en place de filtre afin d’exclure des processus, chemin etc via des règles complètes.
Enfin Procmon permet aussi d’établir un diagnostique du démarrage de Windows afin de déceler ce qui peut ralentir ce dernier : Comment surveiller et analyser le démarrage de Windows
Le programme est surtout destiné aux utilisateurs avancés.

=> Tutoriel ProcMon

Les règles se lancent au démarrage.

Mais on peut aussi exclure un élément par un clic droit / Exclure dans la liste pour le retirer de la liste.
Comme vous pouvez le voir, les critères d’exclusion sont assez nombreux.

Tout à droite de la barre d’outils, vous pouvez choisir les éléments à afficher, dans l’ordre :

• La création, ouverture, fermeture de clefs dans le registre Windows
• Les événements autour du système de fichiers (ouverture, fermeture de fichiers etc)
• Les actions liées aux réseaux, processus (création, fermeture de processus, threads etc)

Ci-dessus, une capture avec des bots en activité. On peut voir les connexions établies (UDP), les ouvertures du fichiers ou lecture du registre.

Ici les tentatives de résolutions DNS (vers les DNS d’Orange/Wanadoo) par Winlogon.exe ce qui est anormal.
Les connexions issues par le malware Backdoor.Win32.Shiz et tentatives d’ouvertures de fichiers erronées toujours par winlogon.exe.
Le dropper du malware Trojan.Spyeye qui lance le processus du malware principale C:\Recycle.Bin\BF6232F3AF50.exe

et ci-dessous winlogon.exe et lssas.exe qui créent et ferment des thread en boucle

FRSSystemWatch

FRSSystemWatch est un outil gratuit qui permet de visualiser les modifications effectuées en temps réel sur le disque par Windows ou des applications.
L’outil est présenté sur la page : FRSSystemWatch : visualiser les modifications de Windows en temps réel

SysMon

Sysmon est un outil gratuit pour surveiller et enregistrer l’activité de Windows.
Celle-ci s’enregistre dans le journal d’évènements de Windows que l’on peut consulter depuis l’observateur d’évènements.
C’est donc un programme et outil très pratique pour capturer les évènements systèmes.

L’article du site : Sysmon : enregistrer l’activité système Windows et les applications

Audit de Windows

Windows possède un système d’audit qui permet d’enregistrer les ouvertures/fermetures de session utilisateur, l’ouverture de programmes etc.
Vous pouvez aussi activer l’audit de Windows, plus d’informations : Auditer l’activité de Windows