procmon常用operation

使用procmon时增加各种operation过滤可以节省大量排查时间,但是一些operation不能直接翻译,尤其是文件部分,备忘常用operation如下:

WriteFile:写文件
ReadFile:读文件,一次读会产生多条
SetAllocationInformationFile:改写文件
SetEndOfFileInformationFile:改写文件结尾部分
SetRenameInformationFile:重命名文件
SetDispositionInformationFile:删除文件

RegSetValue 设置注册表值
RegCreateKey 创建注册表键
RegDeleteKey 删除注册表键
RegDeleteValue 删除注册表值
RegFlushKey 清空注册表键
RegRenameKey 重命名注册表键

Thread Create 创建线程
Thread Exit 关闭线程
Process Create 创建进程
Process Start 进程启动
Process Exit 关闭进程
Load Image 加载可执行文件

Leave a Reply

电子邮件地址不会被公开。 必填项已用*标注