如何定位某个后缀由哪个进程创建
目录
一、前提
二、工具介绍
三、关键字分析
3.1 Processmonitor工具:Operation(操作对象)
四、实际案例分析
4.1分析排查:工具分析
5 结论
一、前提此文档主要是借助工具来分析,一个进程创建一个文件的过程,用于快速确定指定后缀由谁创建。
二、工具介绍Processmonitor,是一款系统监控软件。Processmonitor可以全面监控系统正在运行的所有程序,为你呈现各个程序运行时的详细信息,包括路径来源、注册表信息、运行时间等,通过时刻关注这些数据来判断系统是否被恶意篡改或感染;
三、关键字分析3.1 Processmonitor工具:Operation(操作对象)
Writefile:写入文件;
SetrenameInformationFile:重命名文件信息;
CreateFile:创建文件;
四、实际案例分析某天小A在用unity导出了个文件,突发奇想,想了解下这个文件的创建过程,到底是由主进程unity创建的,还是这期间有其他的操作。
PS:意思是文件路径有包含666.unitypackage的所有操作,结果如下图显示:
红框里面的内容,说明Unity.exe创建了此文件,为什么提示NAME NOT FOUND 、NO SUCH FILE,有可能是创建的时候先判断下此目录是否可以写入,所以并没有实际写入数据;
黄匡里面的内容,说明Unity.exe实际创建了这个后缀,写入也成功,但是紧接着Unity.exe就直接删除了这个文件;
这个说明文件确实被Unity创建了,但是直接被删除了,有一种可能就是文件可能是被改名了;
若文件可能是被改名了,那我们重新对这份日志搜索下SetRenameInformationFile或者rename,但是要注意,需要把第一步的条件取消(不取消的话搜索不到谁改名了),设置如下:
查询结果如下:
我们发现Unity.exe是将tempExportPackage.unitypackage改名成了666.unitypackage;所以这时候我们就要查询下,是谁创建了tempExportPackage.unitypackage这个文件;
重新设置条件
查询结果如下:
由此可见,7z.exe创建了tempExportPackage.unitypackage这个文件,然后Unity.exe最终将此文件改名成666.unitypackage。
5 结论最终通过工具的日志分析,我们确定了是由于7z先生成某个临时文件,然后Unity再将这个临时文件改名成实际文件,此操作主要是方便IT从业人员若涉及到了解文件操作过程,可以通过此方式进行分析。
,
