軟體簡介
為何需要監控執行程序記憶體空間? 因為許多惡意軟體常常就是使用這種技術來寫入,以便達成載入惡意程式 DLL 的目的,那麼有沒有簡單又方便的執行程序記憶體空間監控工具呢?有的!! 就讓 WriteProcessMemory Monitor 幫助您監控執行程序的記憶體空間使用情況吧。
在操作介面工作列上點擊「Monitoring」項目後可以看到「Enabled」項目,預設情況下會勾選此項目也就是啟用 WriteProcessMemory Monitor 監控功能 (如圖 5 所示)。
實測軟體資訊
圖 1、WriteProcessMemory Monitor 操作介面
軟體功能使用
使用安裝版本或可攜式版本
WriteProcessMemory Monitor 是一款小巧精美的執行程序記憶體空間監控工具 (僅 540 KB),並且具備了可安裝的版本 (.exe) 以及免安裝程序的可攜式版本 (.zip),您可以自行視需求進行下載,而本文實作將採用安裝版本進行說明。查看發行公告及使用者授權條款
開啟操作介面後點擊工作列上的「File」可以看到彈出三個項目 (如圖 2 所示),當您點擊「Open Changelog」項目時將會開啟筆記本檔案說明目前的版本,以及每個版本之間新增或修正功能概要說明 (如圖 3 所示),若是點擊「Open EULA」項目則會開啟 WriteProcessMemory Monitor 的使用者授權條款內容 (如圖 4 所示),若是點擊「Exit」項目則會離開此工具。
圖 2、點擊工作列上的 File 可以看到彈出三個項目
圖 3、顯示每個版本之間新增或修正功能概要說明
圖 4、開啟 WriteProcessMemory Monitor 的使用者授權條款內容
啟用或停用監控功能
在操作介面工作列上點擊「Monitoring」項目後可以看到「Enabled」項目,預設情況下會勾選此項目也就是啟用 WriteProcessMemory Monitor 監控功能 (如圖 5 所示)。
圖 5、啟用或停用監控功能
啟用或停用系統執行程序監控功能
在操作介面工作列上點擊「Settings」項目後可以看到「Exclude System Processes」項目,預設情況下不會勾選此項目也就是連 System Processes 都會進行監控,如果您不監控 System Processes 的話請勾選此項目 (如圖 6 所示)。
圖 6、啟用或停用系統執行程序監控功能
連結至官方網站或查看軟體資訊
在操作介面工作列上點擊「Help」項目後,若點擊「Homepage」項目則會開啟瀏覽器連結到此工具的官方網站,若點擊「About」項目則顯示此軟體資訊 (如圖 7 所示)。
圖 7、連結至官方網站或查看軟體資訊
監控執行程序記憶體空間
預設情況下 WriteProcessMemory Monitor 便會啟用監控功能,所以例如我們開啟瀏覽器後此時工具便會發現到系統執行哪個執行程序,並且使用了哪些記憶體位址空間包括了 緩衝區長度 (Buffer Length)、緩衝區位址 (Buffer Address)、緩衝區資訊 (Buffer)…等 (如圖 8 所示),或者是開啟 Word 檔案時同樣的也將立即監控到使用了哪些記憶體位址空間 (如圖 9 所示)。
圖 8、顯示系統執行哪個執行程序並且使用了哪些記憶體位址空間
圖 9、顯示系統執行哪個執行程序並且使用了哪些記憶體位址空間
清除監控資訊或匯出記錄檔
您可以在監控資訊視窗中按下滑鼠右鍵,此時彈出視窗中點選「Clear Text」項目為清空所有的監控資訊 (如圖 10 所示),若是點選「Save Log to File」項目則可以將監控到的執行程序記憶體空間資料進行匯出備存的動作 (如圖 11、12 所示)。
圖 10、清除監控資訊或匯出記錄檔
圖 11、匯出監控資訊記錄檔
圖 12、監控資訊記錄檔內容
