Monitorer l’activité d’un process sous Windows

Salwa est doctorante à l’université de Lorient et sa thèse porte sur la cybersécurité des équipements connectés industriels. Et elle m’a demandé quels étaient les outils sous Windows capables de tracer les appels système.

Process Hacker

Il existe beaucoup d’outils pour faire le monitoring d’un process Windows. Il y a le logiciel Open Source Process Hacker. Une de ses limitations est de ne pas proposer l’activité réseau des process. Pour avoir le détail sur le fonctionnement de ce process, faites un clic droit et allez dans Properties.

Process Hacker > Properties

Vous disposez de plusieurs onglets. les plus intéressants concernent les modules (DLL), l’utilisation de la mémoire et les handles utilisés.

Process Hacker > Properties > Modules

Process Explorer

Process Explorer est un outil Microsoft, moins précis peut-être que Process Hacker. Il offre un panneau montrant les DLL ou les Handles utilisés.

Process Explorer > View > Lower Pane View

Son seul intérêt, par rapport à Process Hacker, est de fournir plus d’informations sur l’activité réseau. Double-cliquez sur le process et allez sur l’onglet TCP/IP.

Process Explorer > Properties

Process Monitor

Process Monitor est pour moi un des meilleurs outils du genre, capable d’afficher, associés au process, les threads, l’activité de la base de registre, les sorties et entrées de paquets, les E/S au niveau du système de fichiers. Ce qui est intéressant avec ce logiciel Microsoft, c’est de pouvoir poser des filtres :

Process Monitor > Filter

Microsoft Message Analyzer

Le logiciel Microsoft Message Analyzer est, selon moi, un véritable OVNI. C’est un outil qui fournit toute l’activité des process sur le plan réseau. Pour ajouter le nom du process, allez en haut à droite dans la zone Field Chooser > Add et tapez process. Par un clic droit, choisissez Add As Column.

Microsoft Message Analyzer W> Field Chooser > Add > Process > Add As Column

Pour filtrer sur le processus, faites un clic droit sur la ligne où figure le process et choisissez Add ‘ProcessName’ to Filter.

Le recours à Fiddler

Fiddler fait partie de la famille des Web Debugging Proxy. Il suppose que vous configuriez votre système pour passer les flux http et https par le proxy. Là-encore, avec cet outil, vous pouvez filtrer !

Fiddler > Filter Now

 

Windows  / Monitoring 

Commentaires

Article très intéressant.

@fred

Merci.

Laisser un commentaire

(requis)

(requis)