Windows : comment capturer l’activité au démarrage de l'OS ? - IT-Connect

[Ldfa]

durée de lecture : 4 min

Dans ce tutoriel, nous vous montrons comment capturer et analyser l’activité au démarrage de Windows. Nous utiliserons pour cela l’outil ProcMon des Sysinternals.

Capturer l’activité au démarrage de Windows peut avoir plusieurs intérêts. Par exemple, l'identification des logiciels et services qui s'exécutent automatiquement, la surveillance de l'activité réseau des processus ou l'investigation des plantages spécifiques. Cependant, cette tâche présente un défi majeur : la plupart des outils d'analyse ne peuvent être lancés qu'après l'ouverture d'une session utilisateur. Heureusement pour nous, ProcMon propose une solution grâce à son option de journalisation au démarrage.

ProcMon est un outil de monitoring qui permet de tracer, enregistrer et analyser avec une grande précision les activités de tous les processus au niveau du système de fichier, des registres, des processus/threads et du réseau. Si vous souhaitez avoir une présentation plus détaillée de cet outil, que nous allons utiliser ici, je vous oriente vers notre article d’introduction : 

L’introduction de cet outil officiel de Microsoft étant faite, passons à l’action ! 

Une fois que ProcMon est sur votre système de fichier et que vous disposez d’un accès administrateur (obligatoire), nous allons l’exécuter afin d’avoir la vue suivante : 

Vue principale de ProcMon.

Ici, il faut nous rendre dans Options, puis cocher Enable Boot Logging (littéralement : Activer la journalisation du démarrage) : 

Activation de la journalisation des activités au démarrage par Procmon.

L’activation de cette option fait apparaitre la fenêtre suivante :

Choix de la surveillance du thread profiling.

L'activation de cette option Generate thread profiling est un cas d'utilisation avancé. Lorsque activé, ProcMon fait une capture avancée de l’utilisation des threads et de l'utilisation du processeur, ce qui vous permet d'identifier la source des problèmes de performances liés au processeur. Vous pouvez l’ignorer, à moins de savoir exactement que c’est cela dont vous avez besoin.

Bref, il suffit de cliquer sur OK, et c’est tout ! Vous pouvez à présent redémarrer votre système.

Pour être plus précis, lorsque l’on active le Boot Logging dans ProcMon, un pilote de filtre (Filter drivers) est installé au niveau du noyau du système d'exploitation. Ce pilote peut capturer les événements liés aux fichiers, aux registres, aux processus et aux threads. Il est conçu pour surveiller les appels système et les interactions à un niveau bas. Le pilote de ProcMon est principalement passif et enregistre les événements sans intervenir dans leur exécution.

Une fois votre système redémarré, vous ne devriez pas voir de grandes différences. Cependant, vous trouverez dans le répertoire C:\Windows un fichier nommé Procmon.pmb : 

Fichier d'enregistrement des activités depuis le démarrage de ProcMon.

C’est dans ce fichier que sont stockés les évènements capturés depuis le démarrage. Tant qu’il n’est pas ouvert par l’intermédiaire de ProcMon, ce dernier continuera de capturer des évènements. 

Sans toucher directement à ce fichier, nous pouvons à présent exécuter ProcMon (toujours en tant qu’utilisateur privilégié). Dès lors, le message suivant apparaitra : 

Message de confirmation pour l’enregistrer des données capturées.

Il indique que ProcMon a trouvé son fichier de capture et vous demande si vous souhaitez arrêter la capture et enregistrer les évènements capturés. En cliquant sur OK, ProcMon ouvrira l’explorateur de fichier pour que vous puissiez enregistrer la capture, cette fois-ci au format PML. Dans mon cas, je l’enregistre, par exemple, dans C:\Users\Administrateur\Desktop.

Une petite barre de progression va alors apparaitre, c’est l’enregistrement des activités qui est en cours (en général, il y en a beaucoup). Le contenu du fichier va s’afficher dans l’interface d’analyse et de filtre de ProcMon. Vous pourrez ensuite visualiser la totalité des évènements qui se sont produits du démarrage du système d’exploitation, jusqu’à l'enregistrement de la capture que nous venons de réaliser : 

Exemple des premières activités capturées par ProcMon.

Tout l’intérêt d’utiliser ProcMon est ensuite bien sûr d’utiliser ses filtres et sa grande précision pour réaliser vos propres recherches et investigations. Pour en savoir plus sur ces filtres et le niveau de détails qu’il est possible d’obtenir, je vous renvoie à nouveau vers notre article dédié à l’utilisation de ProcMon : 

La possibilité d’enregistrer ces activités dans un fichier (format .PML) est intéressant pour l’historisation et la comparaison de deux captures, ou pour pouvoir revenir dessus plus tard si besoin. 

Il n’est pas nécessaire de désactiver le Boot Logging. Une fois activé, il ne l’est que jusqu’au prochain redémarrage.

L'utilisation de ProcMon pour capturer l'activité au démarrage de Windows est très utile pour diagnostiquer les problèmes de performance et identifier les logiciels ou services qui s'exécutent dès le démarrage. 

En activant le Boot Logging, ProcMon enregistre toutes les interactions système, permettant une analyse détaillée grâce à ses filtres. Une astuce à garder en tête pour les cas difficiles !

N’hésitez pas à partager votre avis dans les commentaires ou à venir échanger avec notre communauté sur notre serveur Discord !

Afficher l’article complet

[Alex]

Merci Boss ! Ca fait un moment que j'apprécie les outils SysInternal. Chez moi il sont bien rangés dans un répertoire au coté des outils Nirsoft et Sordum. Et puis je pense jamais à les utiliser.   ProcMon, j'avais jeté un oeil y'a 4/5 ans et j'avais dû trouver ça trop compliqué, j'avais oublié.  

Mais ton article va m'inciter à aller voir ça de plus près, ça à l'air puissant. 

[franz]

Ok merci pour ces post.

Cela me fait un peu peur. Donc je n'y toucherai pas. 

Je reste sur mes outils de base:

Wise Disk Cleaner

Wipe64

TracksEraser

Privacy Eraser

Malwarebytes

Glary Utilities Pro