Process Monitor : surveiller les processus sous Windows

Article publié le 16 Janvier 2025

Dernière modification 25 Janvier 2025

Page 2 sur 7: Fonctionnalités de Process Monitor

Page 2 sur 7

Fonctionnalités de Process Monitor

Capacités de surveillance

Process Monitor permet une surveillance détaillée des activités suivantes :

Accès au système de fichiers
Opérations sur les disques
Modifications des paramètres système
Accès et modifications du registre
Chargement de programmes
Activité réseau

Cette surveillance exhaustive permet d'obtenir des informations précises sur les clés de registre consultées ou modifiées, les fichiers créés, les programmes lancés, et bien d'autres aspects du fonctionnement système.

Contextes d'utilisation

Process Monitor s'avère particulièrement utile dans les situations suivantes :

Analyse et débogage logiciel
- Identification des causes de crash ou de dysfonctionnements
- Détection de fichiers manquants ou inaccessibles
- Repérage de permissions insuffisantes
- Identification de conflits entre processus
- Localisation de DLL manquantes
Compréhension de l'activité système
- Analyse des actions effectuées lors de l'installation d'un programme
- Traçage de l'activité système au démarrage
Analyse de sécurité
- Examen détaillé des actions d'un programme suspect
- Détection de comportements d'évasion de sandbox
- Identification de tentatives d'implantation de portes dérobées
- Repérage de dépôts de composants malveillants
Optimisation des performances
- Identification des processus consommant excessivement les ressources système
- Repérage des accès disque fréquents ou des appels système inutiles

Fonctionnement technique

Process Monitor utilise un pilote de filtre nommé "PROCMON24" qui s'exécute au niveau du noyau. Ce pilote emploie une technique de hooking pour intercepter et journaliser les appels système. Cette approche permet une surveillance en temps réel des activités système sans perturber leur fonctionnement normal.

Les données capturées sont temporairement stockées en mémoire vive, permettant un traitement et un filtrage rapides avant leur éventuelle exportation pour une analyse ultérieure.

Il est important de noter que Process Monitor nécessite des droits administrateur pour fonctionner correctement, car il doit accéder aux ressources système de bas niveau.