渗透中的procmon

Process Monitor是微软官方出的进程监控软件，用于显示实时文件系统、注册表和进程活动,附下载地址。在之前的wegame dll劫持中也用到了它。
这个东西和渗透有什么关系了？应用场景：当控下某机器后发现管理员用某远程控制软件连接其他服务器，通过屏幕监控发现其保存了服务器ip/用户名/密码，这个时候我们就需要找到该软件的配置文件信息来找出密码（虽然找到了密码，也不一定能够破解或者直接使用，但是我们可以尝试本机安装相同软件然后覆盖配置文件来进行登陆）

测试过程：
假想环境：由于IP地址已经保存，keylogger只记录了mstsc的密码，我们需要找出mstsc保存的IP地址。

首先本地先保存两个地址，以便定位,如图image1。

image1

然后设置监控的进程名为mstsc.exe,再打开mstsc.
再想一想，通常情况下应用程序保存配置信息的方式就三种
1.sqlite等数据库方式
2.txt等文本文件格式
3.注册表
反之读取配置信息也是从这三种地方，所以我们设置filter为Operation "include ReadFile"和"include RegOpenKey",Resukt "include success"来减少我们的工作量，然后一步步的核实，最后找到保存位置。

image.png
再注册表中核实一下确实是保存在这个位置。
image.png

附mstsc连接记录地址：
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default
某些操作系统在
HKEY_USERS\S-xxxxxxxxxxxxxx\Software\Microsoft\Terminal Server Client\Default