Monitorer l’activité système ou d’un programme

Un article qui vous donne quelques astuces pour monitorer et suivre l’activité de Windows ou un programme en particulier durant son exécution.
C’est à dire visualiser les actions opérées par un programme et les modifications systèmes faites par ces derniers (création de connexion, lancement d’un nouveau processus, suppression de fichiers, etc).

Ce billet sera avant tout la présentation de quelques programmes qui aident à suivre les modifications effectuées sur Windows.
Pour les aspects réseaux, vous pouvez aussi lire en parallèle la page : Lister les connexions réseau sur Windows

reparer_windows

Introduction

Suivre l’activité système peut vous permettre de vérifier et suivre comment les applications agissent dans Windows.
Cela peut permettre de suivre l’activité général de Windows et détecter d’éventuellement comportementaux anormaux comme une utilisation CPU ou mémoire forte ou même déceler des programmes malveillants.

En illustration des programmes lités sur cette page, vous pouvez vous reporter à cette vidéo :

Suivi des connexions réseaux

Les programmes suivants permettent de suivre la bande passante, les connexions réseaux établies, avec les adresses et ports distants.

Tutoriels connexes :

Glasswire : Firewall et suivi de connexion

Glasswire est un programme complet qui peut faire office de pare-feu et permet aussi de suivre les connexions établies, le débit etc.
Plus d’informations : Tutoriel Glasswire.

NetLimiter

NetLimiter est un programme payant qui permet de prioriser et limiter la bande passante des applications, téléchargements (download) ou envoi (upload).
Ce programme de gestion des connexions réseau liste les connexions établies et le débit et vous permet de bloquer la vitesse de téléchargement ou d’upload.
Enfin NetLimiter peut aussi couper des connexion réseaux et agit comme Firewall en appliquant des règles par application.

Net-Peeker – monitorer le réseau et Firewall

Présentation de Net-Peeker sur la page suivante : Net-Peeker – monitorer le réseau et Firewall

Fiddler : Monitorer le traffic HTTP

Permet de suivre l’activité HTTP.
Se reporter au tutoriel FiddlerCap : Fiddler : Monitorer le traffic HTTP

FiddlerCap : Monitorer le traffic HTTP

Wireshark

Wiresharck est un programme complet qui permet de suivre les connexions établies, récupérer les paquets reçus et envoyer et analyser ces derniers.
Se reporter à la page : WireShark : sniff/analyse réseau

Suivi de processus et activité CPU, mémoire et disque

Ces programmes permettent de suivre l’activité des processus systèmes, l’utilisation CPU, la quantité de mémoire utilisée par les programmes.
Certains de ces utilitaires peuvent suivre aussi les connexions réseaux établies.

Tuto connexes :

Process Explorer, Process Hacker, System Explorer et PCHunter

Toutes ces applications sont des gestionnaires de tâches avancés, un peu un mélange entre le gestionnaire de tâches de Windows et le moniteur de ressources système.
On trouve la possibilité de lister les processus et leurs utilisation CPU, mémoire, disque et réseau.
Effectuer des actions sur ces derniers comme suspendre ou arrêter un processus.
Des graphiques sur l’utilisation système sont disponibles pour visualiser les performances dans le temps.
Enfin certains de ces utilitaires peuvent lister et gérer les connexions établies.

Les liens vers des tutoriels pour ces utilitaires :

Process Explorer : gestionnaire de tâches avancées

Moniteur de ressources de Windows

Windows depuis la version de Vista intègre un moniteur de ressources est assez complet puisque ce dernier vous permet de visualiser l’activité CPU, disque, mémoire et réseau.
Pour un aperçu complet et comprendre le fonctionnement de ce dernier, vous pouvez suivre l’article : le moniteur de ressources

Pour y accéder :

  • Menu Démarrer et tapez taskmgr dans la barre de recherche et appuyez sur entrée.
  • Cliquez sur l’onglet Performances puis en bas sur Moniteur de ressources

Ce dernier permet de lister :

  • Les processus en cours d’execution avec l’UC moyenne par processus.
  • L’utilisation Disque avec le débit en entrant/sortie par processus
  • Même chose au niveau réseau – se reporter à la page La notion de port ouvert et la sécurité

Directory Monitor

Permet de suivre la création de fichiers/suppression/modification de fichiers dans un répertoire : http://www.deventerprise.net/Projects.aspx

Directory Monitor : monitorer la création/suppression de fichiers

Suivi des modifications systèmes

Il s’agit ici de programmes qui permettent, lorsque vous installez des logiciels de connaître les modifications effectuées par ces derniers.
Le but étant donc de savoir quelles modifications ont été effectuées avant et après l’installation, l’exécution d’une application.

InCtrl5

Attention InCtrl5 ne doit plus fonctionner à partir de Windows Vista

InCtrl5 est un programme qui permet d’enregistrer l’état des fichiers sur le disque et de la base de registre et de voir les modifications effectuées après l’installation d’un programme.
Cet utilitaire liste les fichiers/clefs créés/modifiés ou supprimés avant et après un point témoin créé.
InCtrl5 est très pratique pour évaluer les modifications systèmes après installation d’un programme ou exécution d’un fichier.

Le programme ne fonctionne pas ou pas bien sur un Windows 64 bits, vous pouvez tenter de faire un clic droit / Propriétés et de régler la compatibilité à Windows XP SP2 mais lors de la création de l’état, ce dernier peut boucler sur le registre.

InCtrl5 : voir les modifications systemes

RegShot

RegShot fonctionne de la même manière que inctrl5 en faisaint un diff sur les éléments créés, supprimés ou modifiées dans le registre Windows.
=> RegShot

WhatChanged

Équivalent de InCtrl5 : http://www.vtaskstudio.com/support.php
Permet de faire un snapshot du système puis d’obtenir les modifications effectuées sur le système après installation d’un logiciel

 

 

WhatChanged

Process Moniteur (ProcMon)

Process Monitor (Procmon) monitore en temps réel toute l’activité système, ouverture de fichiers, registre, accès réseau etc.
Ce dernier génère donc une nombre assez conséquent de lignes puisque l’activité du système l’est en général, ne serait-ce que par les processus systèmes de Windows.

Process Monitor permet la mise en place de filtre afin d’exclure des processus, chemin etc via des règles complètes.
Enfin Procmon permet aussi d’établir un diagnostique du démarrage de Windows afin de déceler ce qui peut ralentir ce dernier : Comment surveiller et analyser le démarrage de Windows
Le programme est surtout destiné aux utilisateurs avancés.

=> Tutoriel ProcMon

Les règles se lancent au démarrage.

Process Monitor : monitorer son système
Mais on peut aussi exclure un élément par un clic droit / Exclure dans la liste pour le retirer de la liste.
Comme vous pouvez le voir, les critères d’exclusion sont assez nombreux.

Process Monitor : monitorer son système

Tout à droite de la barre d’outils, vous pouvez choisir les éléments à afficher, dans l’ordre :

  • La création, ouverture, fermeture de clefs dans le registre Windows
  • Les événements autour du système de fichiers (ouverture, fermeture de fichiers etc)
  • Les actions liées aux réseaux, processus (création, fermeture de processus, threads etc)
Ceci peut permettre d’alléger l’affichage.

Barre outils de ProcMon

Ci-dessus, une capture avec des bots en activité – on peut voir les connexions établies (UDP), les ouvertures du fichiers ou lecture du registre.
Process Monitor : monitorer son système


Ici les tentatives de résolutions DNS (vers les DNS d’Orange/Wanadoo) par Winlogon.exe ce qui est anormal.
Les connexions issues par le malware Backdoor.Win32.Shiz

et tentatives d’ouvertures de fichiers erronées toujours par winlogon.exe
ProcMon et Backdoor.Win32.Shiz

ici le dropper du malware Trojan.Spyeye qui lance le processus du malware principale C:\Recycle.Bin\BF6232F3AF50.exe

ProcMon et Spyeyeet ci-dessous winlogon.exe et lssas.exe qui créent et ferment des thread en boucle

ProcMon et Spyeye

FRSSystemWatch

FRSSystemWatch est un outil gratuit qui permet de visualiser les modifications effectuées en temps réel sur le disque par Windows ou des applications.
L’outil est présenté sur la page : FRSSystemWatch : visualiser les modifications de Windows en temps réel

Audit de Windows

Windows possède un système d’audit qui permet d’enregistrer les ouvertures/fermetures de session utilisateur, l’ouverture de programmes etc.
Vous pouvez aussi activer l’audit de Windows, plus d’informations : Auditer l’activité de Windows

Quelques autres programmes en vrac

Certains n’ont pas été testés.

MoniDIR 2000
http://www.contactplus.com/products/freestuff/monidir.htm

File Access Monitor

Permet de visualiser les changements avant et après l’installation d’une application.

https://www.softperfect.com/products/fileaccessmonitor/

RegFromApp

Monitore les changements dans la base de registre et génère un .reg de ces changements.
http://www.nirsoft.net/utils/reg_file_from_application.html

Registry Live Watch

Permet de visualiser les modifications du registre Windows en temps réel.

http://leelusoft.altervista.org/registry-live-watch.html

SystemSherlock Lite

Équivalent de InCtrl5 mais en ligne de commande : thttp://www.kephyr.com/systemsherlocklite/index.phtml

SystemSherlock GUI
Un Gui pour SystemSherlock Lite : http://msmvps.com/blogs/martinzugec/archive/2008/05/17/systemsherlock-snapshot-using-gui-or-cmd.aspx

SpyMe Tools

http://www.lcibrossolutions.com/spyme_tools.htm

 

SpyMe ToolsInstallWatch

http://www.epsilonsquared.com/installwatch.htm

(Visité 906 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet