Fielmon使用完全图解（regmon类似）

<p>Filemon 和 regmon 是两个用来分析进程非常有用的双胞胎利器，比如用来分析病毒，木马等…他们可以用来监视进程对文件、目录、注册表的读写等访问动作，很大程度上方便了管理员对学习和研究； </p><p>一 。首先开打filemon，<br />如图：<br />注意：刚开始运行的时候下面显示的文字可能很不清楚，需要自己设置一下字体。注意：regemon设置后需要重新启动一次程序才生效！！！<br />如图：</p><p>建议设置，如图：<br />二．认识它的功能菜单</p><p>1. file <br />这块比较简单：</p><p>open：就是打开以往保存的分析记录，即LOG格式的文本记录</p><p>Save/save as：即把分析保存成为文本记录</p><p>Pathe properties：查看当前选定项对应文件的目录以及一些基本信息</p><p>Capture properties：和上面一个类似</p><p>Exit：退出程序</p><p>2．Edit<br />Copy：把当前选定项的信息以文本方式拷贝到剪贴板</p><p>Delete：删除当前选定项</p><p>Include process：包含选定的进程项（即把选顶的进程放在监控范围内）</p><p>Exclude process：排除选定的进程项（既对选定的进程不于坚控）</p><p>Inclube path：包含该进程文件所在目录（即对该目录进行监控）</p><p>Exclube path：排除选顶进程所在目录 或者 选顶目录（即对该目录不于监控）</p><p>Find：按进程名在结果中进行查找</p><p>Explorer jump：跳到选定进程对应文件所在的目录</p><p>Clear display：清除所有监控结果</p><p>3．Options<br />Font：对监控结果显示的字体进行设置</p><p>Highlight colors：对选定项的颜色进行设置</p><p>Filter/highlight：打开过滤窗口 如图：</p><p><br />（从上到下，三个下拉筐分别为：包含、排除、高亮（对重点分析的进程高亮显示）对多个进程以分号隔开；下面的5个复选框意思分别为进程的5个动作进行记录，即：打开（打开文件或者目录）、读取、操作是否成功、写入、是否出现错误。</p><p>Defaults：设置为初始状态，即清除用户自己的设置；）</p><p>History depth：弹出 监控的目录深度设置对话框，默认不限深度；</p><p>Auto scroll：监视结果自动滚动</p><p>Advanced output：高级输出，即把一些系统进程也放到监控范围内输出</p><p>Clock time：时间显示为你看得懂的格式..哈哈..</p><p>Show milliseconde：显示时间精确到毫秒（Clock time选中时可用）</p><p>4．Volumes：<br />这块很简单..主要就是选者需要监控的分区</p><p>5．监控结果显示部分，主要部分<br />结果显示部分分为7列，分别为</p><p>#：进程PID号</p><p>Time：时间</p><p>Process：进程名称</p><p>Request：动作，该进程在干什么</p><p>Path：路径</p><p>Result：动作对应的结果（是否成功）</p><p>Other：其他的动作</p><p>其中对每项结果进行右键有一个右键菜单，功能我前面已经讲到了，和上面“edit”菜单里是一样的； </p><p>我也是才学的，基本上就理解成这样，希望对新用这个软件的有点用就好了..如果有什么不对的，请给予纠正。<br /></p>