Monitorer l’activité système ou d’un programme

Un billet qui vous donne quelques astuces pour monitorer son système ou un programme en particulier.
C’est à dire visualiser les actions opérées par un programme et les modifications systèmes faites par ces derniers.

Ce billet sera avant tout la présentation de quelques programmes.
Pour les aspects réseaux, vous pouvez aussi lire en parallèle la page : Lister les connexions réseau sur Windows

reparer_windows

Introduction

Suivre l’activité système peut vous permettre de vérifier et suivre comment les applications agissent dans Windows.
Cela peut permettre de suivre l’activité système et donc détecter d’éventuellement comportementaux anormaux comme une utilisation CPU ou mémoire forte ou même déceler des programmes malveillants.

En illustration des programmes lités sur cette page, vous pouvez vous reporter à cette vidéo :

Suivi des connexions

Les programmes suivants permettent de suivre la bande passante, les connexions réseaux établies, avec les adresses et ports distants.

Tuto connexe :

Glasswire : Firewall et suivi de connexion

Glasswire est un programme complet qui peut faire office de pare-feu et permet aussi de suivre les connexions établies, le débit etc.
Plus d’informations : Tutoriel Glasswire.

NetLimiter

NetLimiter est un programme payant qui permet de prioriser et limiter la bande passante des applications, téléchargements (download) ou envoi (upload).
NetLimiter liste les connexions établies et le débit et vous permet de bloquer la vitesse de téléchargement ou d’upload.
Enfin NetLimiter peut aussi couper des connexion réseaux et agit comme Firewall en appliquant des règles par application.

Net-Peeker – monitorer le réseau et Firewall

Présentation : http://www.malekal.com/2012/06/11/net-peeker-monitorer-le-reseau-et-firewall/

Fiddler : Monitorer le traffic HTTP

Permet de suivre l’activité HTTP.
Se reporter au tutoriel FiddlerCap : Fiddler : Monitorer le traffic HTTP

FiddlerCap : Monitorer le traffic HTTP

Wireshark

Wiresharck est un programme complet qui permet de suivre les connexions établies, récupérer les paquets reçus et envoyer et analyser ces derniers.
Se reporter à la page : WireShark : sniff/analyse réseau

Suivi CPU, processus etc

Ces programmes permettent de suivre l’activité des processus systèmes, l’utilisation CPU, la quantité de mémoire utilisée par les programmes.
Certains peuvent suivre aussi les connexions établies.

Tuto connexes :

Process Explorer / Process Hacker et PCHunter

Process Explorer est un gestionnaire périphérique évolué qui permet de visualiser/gérer les processus (terminer, suspendre etc..).
Process Explorer permet aussi de visualiser les handles, DLL chargés/ouverts par chaque processus.

Process Explorer ne sera plus détaillé dans ce billet.
Se reporter au : Tutoriel Process Explorer

Il existe aussi des équivalents comme Process Hacker et PCHunter

Process Explorer : gestionnaire de tâches avancées

Moniteur de ressources de Windows

Windows depuis la version de Vista intègre un moniteur de ressources qui est assez complet puisque ce dernier vous permet de visualiser l’activité CPU, disque, mémoire et réseau.
Voir la page : le moniteur de ressources

Pour y accéder :

  • Menu Démarrer et tapez taskmgr dans la barre de recherche et appuyez sur entrée.
  • Cliquez sur l’onglet Performances puis en bas sur Moniteur de ressources

Ce dernier permet de lister :

  • Les processus en cours d’execution avec l’UC moyenne par processus.
  • L’utilisation Disque avec le débit en entrant/sortie par processus
  • Même chose au niveau réseau – se reporter à la page La notion de port ouvert et la sécurité

Directory Monitor

Permet de suivre la création de fichiers/suppression/modification de fichiers dans un répertoire : http://www.deventerprise.net/Projects.aspx

Directory Monitor : monitorer la création/suppression de fichiers

Suivi des modifications systèmes

Il s’agit ici de programmes qui permettent, lorsque vous installez des logiciels de connaître les modifications effectuées.

InCtrl5

Attention InCtrl5 ne doit plus fonctionner à partir de Windows Vista

InCtrl5 est un programme qui permet d’enregistrer l’état des fichiers sur le disque et de la base de registre et de voir les modifications effectuées après l’installation d’un programme. InCtrl5 permet de lister les fichiers/clefs créés/modifiés ou supprimés.
InCtrl5 est très pratique pour évaluer les modifications systèmes après installation d’un programme ou exécution d’un fichier.

Le programme ne fonctionne pas ou pas bien sur un Windows 64 bits, vous pouvez tenter de faire un clic droit / Propriétés et de régler la compatibilité à Windows XP SP2 mais lors de la création de l’état, ce dernier peux boucler sur le registre.

InCtrl5 : voir les modifications systemes

RegShot

RegShot fonctionne de la même manière que inctrl5 en faisaint un diff sur les éléments modifiées dans le registre Windows.
=> RegShot

WhatChanged

Équivalent de InCtrl5 : http://www.vtaskstudio.com/support.php
Permet de faire un snapshot du système puis d’obtenir les modifications effectuées sur le système après installation d’un logiciel

 

 

WhatChanged

Process Moniteur (ProcMon)

Process Monitor (Procmon monitore en temps réel toute l’activité système, ouverture de fichiers, registre, accès réseau etc.
Ce dernier génère donc une nombre assez conséquent de lignes puisque l’activité du système l’est en général, ne serait-ce que par les processus système.

Process Monitor permet la mise en place de filtre afin d’exclure des processus, chemin etc via des règles complètes.
Le programme est surtout destiné aux utilisateurs avancés.

=> Tutoriel ProcMon

Les règles se lancent au démarrage.

Process Monitor : monitorer son système
Mais on peux aussi exclure un élément par un clic droit / Exclure dans la liste.
Comme vous pouvez le voir, les critères d’exclusion sont assez nombreux.

Process Monitor : monitorer son système

Tout à droite de la barre d’outils, vous pouvez choisir les éléments à afficher, dans l’ordre :

  • Les actions liées aux recherches (création, ouverture, fermeture de clefs dans le registre)
  • Les actions liées aux systèmes de fichiers (ouverture, fermeture de fichiers etc)
  • Les actions liées aux réseaux (connexions etc)
  • Les actions liées aux processus (création, fermeture de processus, threads etc)
  • Les actions liées aux profils
Ceci peux permettre d’alléger l’affichage.

Barre outils de ProcMon

Ci-dessus, une capture avec des bots en activité – on peux voir les connexions établies (UDP), les ouvertures du fichiers ou lecture du registre.
Process Monitor : monitorer son système
Ici les tentatives de résolutions DNS (vers les DNS d’Orange/Wanadoo) par Winlogon.exe ce qui est anormal.
Les connexions issues par le malware Backdoor.Win32.Shiz

et tentatives d’ouvertures de fichiers erronées toujours par winlogon.exe
ProcMon et Backdoor.Win32.Shiz

ici le dropper du malware Trojan.Spyeye qui lance le processus du malware principale C:\Recycle.Bin\BF6232F3AF50.exe

ProcMon et Spyeyeet ci-dessous winlogon.exe et lssas.exe qui créent et ferment des thread en boucle

ProcMon et Spyeye

Audit de Windows

Windows possède un système d’audit qui permet d’enregistrer les ouvertures/fermetures de session utilisateur, l’ouverture de programmes etc.
Vous pouvez aussi activer l’audit de Windows, plus d’informations : Auditer l’activité de Windows

Quelques autres programmes en vrac

Certains n’ont pas été testés.

MoniDIR 2000
http://www.contactplus.com/products/freestuff/monidir.htm

RegFromApp

Monitore les changents dans la base de registre et génère un .reg de ces changements.
http://www.nirsoft.net/utils/reg_file_from_application.html

SystemSherlock Lite

Equivalent de InCtrl5 mais en ligne de commande : thttp://www.kephyr.com/systemsherlocklite/index.phtml

SystemSherlock GUI
Un Gui pour SystemSherlock Lite : http://msmvps.com/blogs/martinzugec/archive/2008/05/17/systemsherlock-snapshot-using-gui-or-cmd.aspx

SpyMe Tools

http://www.lcibrossolutions.com/spyme_tools.htm

 

SpyMe ToolsInstallWatch

http://www.epsilonsquared.com/installwatch.htm

(Visité 2 008 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet