iThome 會員中心 | iThome online | iT邦幫忙 | apphome

監控執行程序記憶體空間就靠它 – WriteProcessMemory Monitor

標籤: 記憶體位址監控

軟體簡介:

為何需要監控執行程序記憶體空間? 因為許多惡意軟體常常就是使用這種技術來寫入,以便達成載入惡意程式 DLL 的目的,那麼有沒有簡單又方便的執行程序記憶體空間監控工具呢? 有的!! 就讓 WriteProcessMemory Monitor 幫助您監控執行程序的記憶體空間使用情況吧。

 

 

實測軟體資訊:

* iThome Download – WriteProcessMemory Monitor

圖1、WriteProcessMemory Monitor 操作介面

 

 

軟體功能使用:

使用安裝版本或可攜式版本:

WriteProcessMemory Monitor 是一款小巧精美的執行程序記憶體空間監控工具 (僅 540 KB),並且具備了可安裝的版本 (.exe) 以及免安裝程序的可攜式版本 (.zip),您可以自行視需求進行下載,而本文實作將採用安裝版本進行說明。

 

查看發行公告及使用者授權條款:

開啟操作介面後點擊工作列上的「File」可以看到彈出三個項目 (如圖 2 所示),當您點擊「Open Changelog」項目時將會開啟筆記本檔案說明目前的版本,以及每個版本之間新增或修正功能概要說明 (如圖 3 所示),若是點擊「Open EULA」項目則會開啟 WriteProcessMemory Monitor 的使用者授權條款內容 (如圖 4 所示),若是點擊「Exit」項目則會離開此工具。

圖2、點擊工作列上的 File 可以看到彈出三個項目

圖3、顯示每個版本之間新增或修正功能概要說明

圖4、開啟 WriteProcessMemory Monitor 的使用者授權條款內容

 

 

啟用或停用監控功能:

在操作介面工作列上點擊「Monitoring」項目後可以看到「Enabled」項目,預設情況下會勾選此項目也就是啟用 WriteProcessMemory Monitor 監控功能 (如圖 5 所示)。

圖5、啟用或停用監控功能

 

 

啟用或停用系統執行程序監控功能:

在操作介面工作列上點擊「Settings」項目後可以看到「Exclude System Processes」項目,預設情況下不會勾選此項目也就是連 System Processes 都會進行監控,如果您不監控 System Processes 的話請勾選此項目 (如圖 6 所示)。

圖6、啟用或停用系統執行程序監控功能

 

 

連結至官方網站或查看軟體資訊:

在操作介面工作列上點擊「Help」項目後,若點擊「Homepage」項目則會開啟瀏覽器連結到此工具的官方網站,若點擊「About」項目則顯示此軟體資訊 (如圖 7 所示)。

圖7、連結至官方網站或查看軟體資訊

 

 

監控執行程序記憶體空間:

預設情況下 WriteProcessMemory Monitor 便會啟用監控功能,所以例如我們開啟瀏覽器後此時工具便會發現到系統執行哪個執行程序,並且使用了哪些記憶體位址空間包括了 緩衝區長度 (Buffer Length)、緩衝區位址 (Buffer Address)、緩衝區資訊 (Buffer)…等 (如圖 8 所示),或者是開啟 Word 檔案時同樣的也將立即監控到使用了哪些記憶體位址空間 (如圖 9 所示)。

圖8、顯示系統執行哪個執行程序並且使用了哪些記憶體位址空間

圖9、顯示系統執行哪個執行程序並且使用了哪些記憶體位址空間

 

 

清除監控資訊或匯出記錄檔:

您可以在監控資訊視窗中按下滑鼠右鍵,此時彈出視窗中點選「Clear Text」項目為清空所有的監控資訊 (如圖 10 所示),若是點選「Save Log to File」項目則可以將監控到的執行程序記憶體空間資料進行匯出備存的動作 (如圖 11、12 所示)。

圖10、清除監控資訊或匯出記錄檔

圖11、匯出監控資訊記錄檔

圖12、監控資訊記錄檔內容

 

 

下載軟體:

* WriteProcessMemory Monitor: 點此下載

2012-12-16 17:49:25

檢舉

討論

發表討論

檢舉的理由:

不當言論 惡意灌水 廣告行為 一文多貼 其他

補充檢舉理由(可省略),字數不可超過100字

▼ ADVERTISEMENT ▼



還不是iThome download會員? 立即加入!