Process Monitor adalah program untuk memonitor aktivitas file system, registry, process/thread dan network secara realtime. Semua aktivitas yang tercatat akan disimpan ke dalam sebuah backing file (secara default disimpan ke dalam virtual memory/paging file) dan diurut secara kronologi untuk memudahkan anda dalam melakukan investigasi.
Jalankan Process Monitor sebagai administrator. Pada saat awal, Process Monitor akan langsung memonitor aktivitas yang terjadi dalam sistem. Klik icon "Capture" (yang dikotaki merah pada gambar di atas) atau tekan tombol Ctrl + E untuk menyetopnya. Kemudian klik icon "Clear" (yang dikotaki hijau) atau tekan Ctrl + X untuk menghapus aktivitas-aktivitas yang sudah tercatat.
Dalam keadaan awal Process Monitor hanya memonitor 4 dari 5 tipe operasi, seperti yang dapat anda lihat pada 5 icon di dalam kotak hitam (4 icon dalam keadaan terpilih atau selected). Icon-icon tersebut adalah (dari kiri ke kanan):
- Registry: untuk menampilkan aktivitas registry
- File system: untuk menampilkan aktivitas file system
- Network: untuk menampilkan aktivitas network
- Process and Thread: untuk menampilkan aktivitas process and thread
- Profiling: untuk menampilkan profiling events (process' cpu time, process' memory, dll)
Sekarang anda dapat memulai sesi monitoring. Aktifkan koneksi internet anda dan klik icon "Capture" untuk menjalankan proses monitoring. Biarkan Process Monitor berjalan di background dan anda dapat melakukan kegiatan lain (browsing internet, download, dll) selama Process Monitor berjalan. Tentukanlah kira-kira berapa lama Process Monitor tetap berjalan sampai anda merasa data yang dikumpulkannya sudah cukup untuk anda gunakan dalam investigasi. Bila sudah tercapai, klik kembali icon "Capture" untuk menghentikan monitoring.
Setelah itu, anda dapat memulai melacak proses yang menggunakan bandwidth internet terbanyak. Masuk ke menu Tools dan klik "Process Activity Summary" untuk menampilkan daftar proses-proses yang berjalan pada saat monitoring sebelumnya. Klik header dari kolom "Network Bytes" agar proses yang paling banyak melakukan transfer data melalui jaringan berada di baris pertama. Namun dalam daftar ini tidak dibedakan data yang ditransfer melalui jaringan internet maupun lokal, sehingga anda membutuhkan data pembanding lain untuk menentukan proses yang menggunakan bandwidth internet terbanyak.
Process Monitor juga mencatat alamat-alamat IP yang dituju hasil capture-nya, dan bila memungkinkan, juga akan melakukan "reverse DNS" untuk setiap alamat IP yang tercatat. Anda dapat melihatnya dengan cara masuk ke menu Tools dan klik "Network Summary". Dalam daftar ini anda dapat membedakan transfer data yang dilakukan melalui jaringan internet maupun lokal. Klik header dari kolom "Send Bytes" untuk melihat alamat IP yang paling banyak digunakan untuk proses upload atau "Receive Bytes" untuk melihat alamat IP yang paling banyak digunakan untuk proses download.
Pada gambar di atas, alamat IP yang paling banyak digunakan untuk proses download berada di baris pertama. Untuk mengetahui proses apa yang melakukan koneksi tersebut klik 2 kali baris itu sehingga Process Monitor hanya menampilkan aktivitas-aktivitas yang menggunakan alamat IP tersebut pada jendela utamanya seperti yang dapat lihat pada gambar di bawah ini.
Pada gambar di atas, Process Monitor hanya menampilkan aktivitas-aktivitas yang dilakukan oleh satu process (firefox .exe), sehingga anda dapat menyimpulkan bahwa proses yang melakukan proses download terbesar dalam contoh ini adalah program firefox.
Untuk mengembalikan aktivitas-aktivitas yang disembunyikan oleh Process Monitor klik icon "Filter" (yang dikotaki biru pada gambar pertama) atau tekan Ctrl + L untuk menampilkan dialog Filter seperti pada gambar di bawah. Pilih kriteria filter yang akan dihapus dan klik "Remove" untuk menghapusnya. Kemudian klik "OK" untuk menutup dialog.
Semoga dengan menggunakan teknik ini anda dapat melacak proses yang menyedot kuota internet anda.
Tidak ada komentar:
Posting Komentar