备案控制台
探索云世界
开发者社区 云服务技术课堂 文章 正文

如何追踪Windows 进程自动异常退出

2020-06-23 3505
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 教你如何追踪Windows 进程自动异常退出

作者:棋玉

对于进程突然退出的问题,我们可以使用gflags进行监控:

=========

1.点击链接,进行安装
https://developer.microsoft.com/zh-cn/windows/downloads/sdk-archive
image.png

2.安装的时候只选择debugging tools
image.png

3.安装完成后,找到 "C:\ProgramFiles (x86)\Windows Kits\8.0\Debuggers\x64 ,右击gflags.exe选择“以管理员身份运行”,选择“SilentProcess Exit”

在image 填写想要监控的进程,之后勾选如下
在dump folder location 填写存放dump 的路径

点击确定后重启机器生效。

image.png

4.之后如果进程被终止,会在应用程序日志中有如下记录:
image.png

刚才设置的dump 路径也会生成以进程命名的dump 文件:
image.png

文章标签:
监控
Windows
关键词:
Windows退出
Windows进程
Windows异常
追踪进程
技术课堂的搬运工~
目录
相关文章
飞翔的佩奇
|
3月前
|
Windows
windows环境下根据端口号查询进程编号并杀掉此进程
windows环境下根据端口号查询进程编号并杀掉此进程
飞翔的佩奇
30 0
123hello123
|
5月前
|
Windows
windows windows10 查看进程的命令行
windows windows10 查看进程的命令行
123hello123
40 0
xiaohua616
|
7天前
|
Docker Windows 容器
Windows Docker Desktop 无法启动 自动退出报错信息为:Docker Desktop -Unexpected WsL error An unexpected error was e
Windows Docker Desktop 无法启动 自动退出报错信息为:Docker Desktop -Unexpected WsL error An unexpected error was e
xiaohua616
24 0
起飞的风筝
|
1月前
|
缓存 Unix Linux
【Linux】—— 进程的创建和退出
【Linux】—— 进程的创建和退出
起飞的风筝
29 0
GG2020gg
|
3月前
|
运维 网络协议 Linux
linux/windows如何退出telnet
linux/windows如何退出telnet
GG2020gg
60 0
lyshark
|
4月前
|
Windows
5.4 Windows驱动开发:内核通过PEB取进程参数
PEB结构`(Process Envirorment Block Structure)`其中文名是进程环境块信息,进程环境块内部包含了进程运行的详细参数信息,每一个进程在运行后都会存在一个特有的PEB结构,通过附加进程并遍历这段结构即可得到非常多的有用信息。在应用层下,如果想要得到PEB的基地址只需要取`fs:[0x30]`即可,TEB线程环境块则是`fs:[0x18]`,如果在内核层想要得到应用层进程的PEB信息我们需要调用特定的内核函数来获取。
lyshark
48 0
5.4 Windows驱动开发:内核通过PEB取进程参数
lyshark
|
4月前
|
监控 安全 API
7.1 Windows驱动开发:内核监控进程与线程回调
在前面的文章中`LyShark`一直在重复的实现对系统底层模块的枚举,今天我们将展开一个新的话题,内核监控,我们以`监控进程线程`创建为例,在`Win10`系统中监控进程与线程可以使用微软提供给我们的两个新函数来实现,此类函数的原理是创建一个回调事件,当有进程或线程被创建或者注销时,系统会通过回调机制将该进程相关信息优先返回给我们自己的函数待处理结束后再转向系统层。
lyshark
59 0
7.1 Windows驱动开发:内核监控进程与线程回调
lyshark
|
4月前
|
存储 Windows
4.6 Windows驱动开发:内核遍历进程VAD结构体
在上一篇文章`《内核中实现Dump进程转储》`中我们实现了ARK工具的转存功能,本篇文章继续以内存为出发点介绍`VAD`结构,该结构的全程是`Virtual Address Descriptor`即`虚拟地址描述符`,VAD是一个`AVL`自`平衡二叉树`,树的每一个节点代表一段虚拟地址空间。程序中的代码段,数据段,堆段都会各种占用一个或多个`VAD`节点,由一个`MMVAD`结构完整描述。
lyshark
38 0
4.6 Windows驱动开发:内核遍历进程VAD结构体
lyshark
|
4月前
|
存储 数据安全/隐私保护 Windows
4.5 Windows驱动开发:内核中实现进程数据转储
多数ARK反内核工具中都存在驱动级别的内存转存功能,该功能可以将应用层中运行进程的内存镜像转存到特定目录下,内存转存功能在应对加壳程序的分析尤为重要,当进程在内存中解码后,我们可以很容易的将内存镜像导出,从而更好的对样本进行分析,当然某些加密壳可能无效但绝大多数情况下是可以被转存的。
lyshark
24 0
4.5 Windows驱动开发:内核中实现进程数据转储
lyshark
|
4月前
|
监控 Windows
4.4 Windows驱动开发:内核监控进程与线程创建
当你需要在Windows操作系统中监控进程的启动和退出时,可以使用`PsSetCreateProcessNotifyRoutineEx`函数来创建一个`MyCreateProcessNotifyEx`回调函数,该回调函数将在每个进程的创建和退出时被调用。PsSetCreateProcessNotifyRoutineEx 用于在系统启动后向内核注册一个回调函数,以监视新进程的创建和退出,
lyshark
40 0
4.4 Windows驱动开发:内核监控进程与线程创建

云服务技术课堂

热门文章

最新文章

  • 1
    Windows窗口程序
  • 2
    Linux&Windows 日志分析 陇剑杯 CTF
  • 3
    Windows安装禅道系统结合Cpolar实现公网访问内网BUG管理服务
  • 4
    .NET开源免费、功能强大的 Windows 截图录屏神器
  • 5
    【C++/Python】Windows用Swig实现C++调用Python(史上最简单详细,80岁看了都会操作)
  • 6
    Windows12安装Docker
  • 7
    安装MyEclipse遇到错误提示 Failed to find a Main Class in “C:Windows\Temp\“时的解决方案
  • 8
    Windows系统本地部署HFS并结合内网穿透实现公网访问本地存储文件
  • 9
    Windows线程
  • 10
    .NET开源免费的Windows快速文件搜索和应用程序启动器
  • 1
    Serverless的发展进程
    22
  • 2
    【Linux】—— 进程等待 wait&&waitpid
    37
  • 3
    《操作系统》——进程与线程
    88
  • 4
    Python教程第8章 | 线程与进程
    36
  • 5
    C/C++ 进程间通信system V IPC对象超详细讲解(系统性学习day9)
    45
  • 6
    破解SQL Server迷局,彻底解决“管道的另一端无任何进程错误233”
    19
  • 7
    死锁和进程间通信
    25
  • 8
    浅析Python自带的线程池和进程池
    89
  • 9
    Python怎么修改进程名称
    32
  • 10
    在Python中,如何使用多线程或多进程来提高程序的性能?
    25

    • 相关电子书

    更多
  • 服务上云加速大家居产业C2M进程
  • TAKING WINDOWS 10 KERNEL
  • ECS运维指南之Windows系统诊断

    • 相关实验场景

    更多
  • 观察进程的并发性
  • 快速配置Windows云服务器
  • 手动搭建FTP站点(Windows)
    • 下一篇
    部署LAMP环境(Alibaba Cloud Linux 3)