Как контролировать procmon через python?

Question

Как контролировать procmon через python?

У меня есть файл журнала ProcMon (PML). У меня есть набор правил в файле JSON (которые продолжают изменять). Я хочу написать скрипт на python, который читает файл json, создает файл фильтра procmon (pmf), применяет эти фильтры для procmon и записывает полученный результат в файл Excel.

1

python subprocess pywin32 process-monitoring process-monitor

Источник

user2458858 11 фев '16 в 10:37

1 ответ

Другие вопросы по тегам python subprocess pywin32 process-monitoring process-monitor

user12601127 08 июн '23 в 09:41 2023-06-08 09:41 · Answer 1 · 2023-06-08 09:41

Прежде всего сохраните данные procmon в pml (можете изменить по своей логике)

      start "" "path-to-Procmon.exe" /Backingfile events.xml && timeout /t 10 && taskkill /im Procmon.exe /f

после этого преобразуйте его в xml, если хотите

      procmon.exe /OpenLog events.pml /SaveAs1 capture.xml

Теперь вы можете использовать Python для фильтрации вещей

      import xml.etree.ElementTree as ET

# Example XML data
xml_data = r'''
<root>
    <module>
        <Timestamp>133306891318592433</Timestamp>
        <BaseAddress>0x7ffd7e1d0000</BaseAddress>
        <Size>352256</Size>
        <Path>C:\Windows\System32\dlnashext.dll</Path>
        <Version>10.0.19041.1 (WinBuild.160101.0800)</Version>
        <Company>Microsoft Corporation</Company>
        <Description>DLNA Namespace DLL</Description>
    </module>
</root>
'''

# Parse the XML data
root = ET.fromstring(xml_data)

# Extract paths with condition "contains" starting with "C"
for module in root.findall('module'):
    path_element = module.find('Path')
    condition = path_element.attrib.get('condition')
    path = path_element.text
    if (condition == 'contains' and 'C' in path) or path.startswith('C'):
        print(path)