Surveiller en temps réel les processus

Un didacticiel concernant l'utilisation de Process Monitor .

Dernière mise à jour : 03/12/2006

Installer Procmon

Un outil spécialement conçu pour Windows Vista est venu remplacer Regmon : Procmon. Cet outil vous permet de contrôler en temps réel les modifications apportées au Registre Windows et à l’Explorateur de fichiers quand vous lancez une application et donc le processus sous-jacent. Signalons que cet utilitaire fonctionne aussi avec Windows XP toutes versions…
Afin de l’installer, rendez-vous à cette adresse : http://www.microsoft.com/technet/sysinternals/default.mspx.

1. Cliquez sur le lien Processes & Threads.
2. Cliquez sur le lien Process Monitor.
3. Cliquez sur le lien Download Process Monitor.
4. Enregistrez l’archive ZIP dans un répertoire temporaire de votre disque dur.
5. Une fois l’archive ZIP décompressée double-cliquez sur un fichier nommé Procmon.exe.

Notez que si vous avez un problème pour affiche le fichier d’aide en anglais suivez une de ces trois procédures :

1. Avec le bouton droit de la souris cliquez sur le fichier Procmon.chm.
2. Cliquez sur le bouton Débloquer.

Sous Windows Vista faites ceci :

3. Dans le Registre ouvrez cette arborescence : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\HTMLHelp\1.x.
4. Créez une clé nommée ItssRestrictions.
5. Ouvrez cette clé puis créez une valeur DWORD nommée MaxAllowedZone.
6. Éditez cette valeur puis saisissez comme données le chiffre 3.

Il n’y a donc pas d’installation à proprement parler. Il suffit simplement de lancer le fichier exécutable.
Lors du premier lancement cliquez sur le bouton Agree.

Comprendre la fenêtre des résultats

Cet outil est en fait un savant mélange des possibilités offertes par Regmon et Filemon.
La fenêtre qui apparaît liste tous les processus lancés.
Les colonnes sont les suivantes :

• Sequence : assigne à chaque accès au Registre un numéro.
• Time : enregistre l’heure de l’accès au Registre.
• Process Name : indique le nom du processus.
• PID : définit le PID du processus.
• Operation : précise l’action qui a été initiée.

Les valeurs possibles sont précisées après.

• Path : affiche le chemin du Registre ou de l’Explorateur qui a été modifié.
• Result : précise si l’action s’est soldée par un échec ou une réussite (SUCCESS).

Les valeurs possibles sont expliquées après.

• Details : monter les détails de l’opération comme le type de valeur modifiée ou le type d’accès qui était initié ("Desired Access").

Personnaliser les colonnes

Avec le bouton droit de la souris cliquez sur ne partie vide de la barre de colonne puis sur le sous-menu Select Columns…
Voici les colonnes supplémentaires qui sont disponibles :

Gestion des applications :

• Image Path : emplacement du fichier exécutable qui est responsable du lancement de l’application.
• Command Line : ligne de commande qui a initiée l’application.
• Compagny Name : nom de l’éditeur de l’application.
• Description : nom commercial de l’application.
• Version : numéro de version de l’application.

Gestion des événements :

• Event Class : champ d’action du processus (Registre, système de fichiers ou processus).
• Date & Time : affiche la date et l’heure de l’action.
• Relative Time : le minutage de l’action calculée à partir de l’heure de départ du processus ou de la dernière fois que l’affichage des processus a été réinitialisé.
• Duration : la durée nécessaire avant que l’action soit achevée.

Gestion des processus :

• User Name : nom de l’utilisateur qui a initié le processus.
• Session ID : le numéro d’identification de la session à partir de laquelle a été initié le processus.
• Authentification ID : l’identifiant de la session de connexion dans laquelle le processus a été démarré.
• Thread ID : l’identifiant du Thread qui a exécute cette action (TID).
• Virtualized : le statut de virtualisation du processus exécutant cette opération.
• Integrity : le niveau d’intégrité du processus qui exécute cette opération.

Opération effectuées dans le Registre

• RegOpenKey : le processus ouvre la clé du Registre spécifiée dans la colonne Path. RegCloseKey : le processus ferme la clé spécifiée.
• RegQueryValue : le processus vérifie les données de la valeur contenues dans la valeur spécifiée.
• RegEnumValue : le processus interroge le nom des valeurs et leurs données dans la clé spécifiée.

Toutes les valeurs présentes seront énumérées.

• RegQueryKey : le processus interroge la clé spécifiée. Le résultat comme le nombre de valeurs ou des sous-clés sera affiché dans la colonne Détail.
• RegEnumKey : le processus interroge la clé spécifiée et liste les sous-clés présentes.

Toutes les clés présentes seront énumérées.

• RegCreateKey : le processus va créer une clé dans le chemin définit dans la colonne Path.
• RegSetValue : le processus créé ou modifie les valeurs continues dans la clé affichée dans la colonne Path.

Opérations effectuées dans les fichiers

Le processus interroge le fichier affiché dans la colonne Path pour un des attributs suivants :

• QueryBasicInformationFile : Date de création, Date d’accès, Date de modification, Date de dernier accès, Attributs du fichier.
• QueryStandardInformationFile : Taille sur le disque dur, Nombre de liens, Tâches en cours, Répertoire parent.
• QueryNameInformationFile : Longueur du fichier, Nom du fichier.
• SetBasicInformationFile : le processus modifie un des attributs du fichier affiché dans la colonne Path : Date de création, Date d’accès, Date de modification, Date de dernier accès, Attributs du fichier.
• CreateFile : le processus créé le fichier spécifié dans la colonne Path. La valeur Disposition dans la colonne Detail précise dans quelle arborescence de l’Explorateur le fichier a été créé.
• CloseFile : le processus ferme le fichier spécifié dans la colonne Path.
• QueryDirectory : le processus interroge le contenu du répertoire affiché dans la colonne Path.
• WriteFile : le processus écrit les données dans le fichier définit dans la colonne Data.

L’emplacement dans le fichier et la somme des données sont précisés dans la colonne Detail.

• ReadFile : le processus lit le fichier affiché dans la colonne Path. La colonne Details montre le nombre d’octets lus pendant cette opération.
• SetEndOfFileInformationFile : le processus recherche l’Offset marquant la fin du fichier. La valeur est affichée dans la colonne Detail.
• SetRenameFileInformationFile : le processus renomme le fichier ou le répertoire spécifié dans la colonne Path. Le nouveau nom sera visible dans la colonne Detail.

Utiliser la Barre d’outils

File :

• Open : permet d’ouvrir un fichier journal que vous aurez généré.
• Save : permet de sauvegarder les traces d’activité sous la forme d’un fichier PML ou CSV. Un fichier PML est un format de fichier propriétaire créé par Process Monitor.
• Capture Events (Ctrl + E) : stoppe ou réactive l’enregistrement des événements.

Edit :

• Copy (Ctrl + C) : copie dans le Presse-papiers les événements que vous avez sélectionnés.
• Find (Ctrl + F) : lance une recherche sur une occurrence.
• Auto Scroll (Ctrl + A) : si cette option est activée le dernier événement apparaîtra en haut de la fenêtre de Process Monitor. Dans le cas contraire vous devrez vous servir des barres d’ascenseur pour afficher les actions les plus récentes.
• Clear Display (Ctrl + X) : réinitialise l’affichage des événements.

Event :

• Properties (Ctrl + P): affiche les propriétés de l’action sélectionnée.

• L’onglet Process montre les fichiers DLL qui ont été utilisées.
• L’onglet Stack indique quelles sont les APIs Windows qui ont été appelées.

• Jump (Ctrl + J) : ouvre le Registre dans l’arborescence qui est indiquée dans la colonne Path.

Nous verrons un peu plus loin comment utiliser les filtres…

Tools :

• Unique Values : ce sous menu permet de classer les événements affichés par famille.

Dans la liste déroulante Column : sélectionnez la colonne dont vous voulez extraire les principales valeurs.
Cliquez ensuite sur le bouton Show.

• Count occurances : permet de compter le nombre d’occurrences d’un élément de votre fenêtre.

Sélectionnez le nom de la colonne puis cliquez sur le bouton Count.

• Process, File et Registry Summary : affiche un tableau synthétique de l’activité d’un processus.
• Process Tree (Ctrl + T) : affiche un tableau récapitulatif des processus actuellement actifs.

Sélectionnez le processus qui vous intéresse pus cliquez sur le bouton Go to Event afin de sélectionner le premier enregistrement affiché dans Process Monitor.

Options :

• Enable Advanced Output : fonctionne comme un filtre intégré en affichant ou n’affichant pas les événements qui a priori ne vous serviront pas à votre travail de déboguage.
• Font, Highlight Colors : permet de changer la police d’affichage ou la couleur des actions mises en surbrillance.
• History Depht : permet de paramétrer la profondeur de votre analyse. Cela peut être utile si vous ne souhaitez enregistrer que les dernières actions initiées par un processus.

Nous retrouvons certaines de ces commandes dans les différents boutons de la Barre d’outils.
Vous pouvez vous servir des boutons Show Registry, File System, Process and Thread Activity afin de n’afficher que les actions concernant tel ou tel domaine du système (Registre, fichiers ou processus).

Définir des filtres

Il est possible de définir un ou plusieurs filtres pour ensuite les appliquer directement à votre écran de sortie.
Avec le bouton droit de la souris cliquez sur un des événements listés puis sur les commandes suivantes :

• Include : l’écran de sortie affichera ce processus à l’exclusion de tous les autres. C’est une manière rapide de n’afficher que les événements liés à un processus en particulier.
• Exclude : L’écran de sortie n’affichera pas les événements liés à ce processus en particulier. C’est une manière d’exclure un processus tout en continuant à surveiller les autres.

Notez que vous pouvez décider de filtrer l’affichage en fonction d’autres critères comme le nom de l’application, le PID, l’arborescence qui est sollicitée par le processus, etc.
Cliquez sur Filter – Filter (Ctrl + L).
La fenêtre qui apparaît vous permet de construire un filtre élaboré en définissant différentes conditions. Par exemple, vous pouvez décider de n’afficher dans le processus notepad.exe que les événements concernant l’arborescence C:\Users\Jean\Documents.
Cela donnera cette règle :
Path is C:\Users\Jean\Documents then Include.
Servez-vous des menus déroulantes afin de sélectionner par exemple une opération dans le Registre ou un nom de processus.
Cette règle viendra s’inscrire en dessous avec les autres filtres que vous avez déjà spécifiés.
Cliquez sur le bouton Apply afin d’activer immédiatement ce masque de filtres.
Le menu Filter vous permet ensuite de :

• Reset Filter (Ctrl + R) : réinitialiser les filtres que vous avez définis.
• Load Filter : charger un filtre que vous avez enregistré.
• Save Filter : enregistrer un filtre que vous avez défini afin de pouvoir s’en servir ultérieurement.
• Organize Filter : organiser les différents filtres afin de les supprimer ou de changer leur nom. Il est parfois plus simple de se servir du menu contextuel afin de prononcer des inclusions ou des exclusions.

Si vous n’arrivez pas à trouver l’occurrence que vous ciblée servez-vous de la fonctionnalité de recherche.

Afin de comprendre où peut se situer un problème créez un filtre n’enregistrant que les opérations qui se sont soldées par le résultat ACESS DENIED.
Enfin, n’hésitez pas à créer toute une série de filtre afin de trier rapidement les résultats enregistrés.

Définir des options de démarrage

Vous pouvez utiliser ces paramètres de lancement en modifiant directement le raccourci vers votre programme :

• /Openpml <fichier de journal au format PML> : Process Monitor chargera directement le fichier journal que vous aurez spécifié.

• /Backingfile <fichier de journal> : Process Monitor va créer puis utiliser le nom de fichier journal que vos aurez défini.

• /Noconnect : ce paramètre empêche Process Monitor de démarrer automatique la surveillance des événements.

• /Nofilter : réinitialise le filtre au démarrage.

• /Acceptlicense : accepte automatiquement l’accord de licence au premier démarrage.

• /Profiing : autorise le profilage des événements.

Utiliser Process Monitor

Voici un exemple d'utilisation de Process Monitor.