给喜欢折腾的同学们参考

柯林

我想查看我的硬盘里的文件现在被哪些进程访问，怎么办？
那就用 Filemon.exe 吧，里面有筛选过滤的功能。
我想查看我的系统注册表现在被哪些进程访问，怎么办？
那就用 Regmon.exe 吧，里面有筛选过滤的功能。
我想查看我的系统现在有哪些进程访问网络，怎么办？
那就用 Tcpview.exe 吧，里面有筛选过滤的功能。
我想看任务管理器中的某个进程是由谁启动的，也就是想看进程树关系，怎么办？
那就用 procexp.exe 吧，里面还有其它很强大的功能。
我想看我系统的资源，包括文件系统、注册表、网络，现在有哪些进程在访问，怎么办？
那就用 Procmon.exe 吧，一定要用好里面的过滤功能，否则你会看到哗啦一片，无从着手。
里面还有很多工具，如命令行工具 handle.exe，pipelist.exe等等，等待你去发掘。
这是SysinternalsSuite的广告，里面有很多有用的小工具给喜欢折腾的朋友提供有用的帮助。例如，winobj可以给你展示内核对象的有关信息，用它扫描一下系统，你会知道本机究竟有哪些设备及命名空间等。
过去一些喜欢折腾规则的同学，对于设备、管道、RPC控制面板等对象，不知道是从哪里得来的资料。不专门研究windows内核的人，用winobj扫描一下系统，也能提供很多有用的信息，给规则打磨提供参考。
譬如，RPC control项目，毛豆默认规则把这些端口当作com项处理，只提供了很少的几个。系统当中，究竟有多少与RPC服务有关的端口呢？我的xp系统扫描了一下，有如下这些：




这些端口是否都要列入监控呢？一般来说没必要，喜欢追求极致的不妨试试。
没得时间继续折腾和研究，相关图片，贴一些在2楼，给喜欢折腾的朋友参考——有兴趣的不妨慢慢弄清各项究竟是什么意思。

柯林

下面这些内容，FD上可以提供参考（其实单纯从程序的角度而言，几乎分不清FD与AD有何区别——都是调用函数进行操作而已）。
注：symlink -- 建立符号连接（具体可以参考相关编程书籍，一般人可以大致把它看成是内核模式使用的路径）

wlei89512

这东西不错，谢柯林提供了，收藏去咯

风葶云

谢谢柯林

一江秋

谢谢楼主提供分享！顶

zxzy

又见lz

这么多管道并不全部都用得到的……有些加进去跟不加差不多……

柯林

回复 6楼 zxzy 的帖子

管得太多未必是好事，所以毛豆只捡一些常见的比较重要的列入监控。
从理论上来说，能够监控并阻止对系统所有对象的访问，防护能力乃是超级的牛叉，究竟毛豆都能监控到哪些，请折腾帝们实证。