【WIN】Procmon过滤关键字

  • Application Details
    • – Process Name:产生事件的那个进程的名字
    • – Image Path:进程镜像的完整路径
    • – Command Line:命令行,用于启动进程
    • – Company Name:进程镜像文件中的企业名称。这个文本是由应用程序的开发者来定义的
    • – Description:进程镜像文件中的产品描述信息。这个文本是由应用程序的开发者定义的
    • – Version:进程镜像文件中的产品版本号。这个文本是由应用程序的开发者定义的
  • Event Details
    • – Sequence Number:操作在全体事件中的相对位置,也包括当前的过滤
    • – Event Class:事件的类别(文件,注册表,进程)
    • – Operation:特殊事件操作,比如Read、RegQueryValue等
    • – Date & Time:操作的日期和时间
    • – Time of Day:只是操作的时间
    • – Path:一个事件引用资源的路径
    • – Detail:事件的附加信息
    • – Result:一个完成了的操作的状态码
    • – Relative Time:一个操作相对于Process Monitor的启动后的时间,或者相对于Process Monitor的信息清除后的时间
    • – Duration:一个已经完成了的操作所持续的时间
  • Process Management
    • – User Name:正在执行操作的进程的用户账户名
    • – Session ID:正在执行操作的进程的Windows会话ID
    • – Authentication ID:正在执行操作的进程的登录会话ID
    • – Process ID:执行了操作的进程的进程ID
    • – Thread ID:执行了操作的线程的线程ID
    • – Integrity Level:正在运行的进程执行操作时的可信级别(仅支持Vista以上系统)
    • – Virtualized:执行了操作的进程的虚拟化状态

删除文件

  • 删除
    1. _del.
  • 重命名并删除
    1. trustdservice.exe -> trustservice_del.exe (以下文件均改为"文件名_del.ext")
    2. trustfixservice.exe
    3. ServiceDetect.dll
    4. libgcommon.dll
    5. TrustAgent.exe
    6. TrustAgentApp.dll
    7. trustcore.dll
    8. trustnc.dll
    9. trustproxy.dll
    10. trustproxyserver.dll
    11. trustcheck.exe
    12. trustproxy64.sys
    13. trustproxy.sys
    14. vpnvnic.sys
    15. QInstUtils.exe
    16. ClientLogTool.exe
    17. QtWebEngineProcess.exe
    18. TrustAgent.config
    19. TrustAgentExtra.config

重命名完成之后会删除以上文件

结束进程

  1. trustservice
  2. TrustAgent
  3. QtWebEngineProcess
  4. trustdservice
  5. trustfixservice

释放文件

  • 文件
    1. 虚拟网卡驱动
    2. 代理驱动
    3. trustservice
    4. trustfixservice.exe
    5. ServiceDetect.dll
    6. libgcommon.dll
    7. TrustAgent.exe
    8. TrustAgentApp.dll
    9. trustcore.dll
    10. trustnc.dll
    11. trustproxy.dll
    12. trustproxyserver.dll
    13. trustcheck.exe
    14. trustproxy64.sys
    15. trustproxy.sys
    16. vpnvnic.sys
    17. QInstUtils.exe
    18. ClientLogTool.exe
    19. QtWebEngineProcess.exe
  • 目录
    1. qtdepends
    2. oemdepends
    3. cert

删除旧的快捷方式

  1. 国信安全接入.lnk
  2. 青鸾安全接入.lnk
  3. TrustAgent.lnk
  4. 零信任客户端.lnk

清理路由

调用安装目录下 ClearHost.exe

更新配置文件

  1. TrustAgent.config
  2. TrustAgentExtra.config

更新注册表

注册表路径

1
!define PRODUCT_UNINST_KEY "Software\Microsoft\Windows\CurrentVersion\Uninstall\${PRODUCT_NAME}"

更新字段

  1. DisplayName
  2. Publisher
  3. DisplayIcon
  4. UninstallString
  5. DisplayVersion
  6. InstallDir
  7. ProxyVersion
  8. InstParams

配置崩溃状态

配置系统LocalDumps,设置相关注册表项

启动 YMDbg.exe

直接启动 $INSTALLDIR\Dbg\Ymdbg.exe

1
Exec YMDbg.exe -i1
A_OS > Windows > 工具
#Windows #Procmon #sysinternals-suite
【WIN】Procmon过滤关键字
https://hodlyounger.github.io/2024/10/11/A_OS/Windows/工具/【WIN】Procmon过滤关键字/
作者
mingming
发布于
2024年10月11日
许可协议