正文

windows高级进程监视器Process Monitor v3.61

Process Monitor是Windows的高级监视工具,可显示实时文件系统,注册表和进程/线程活动。它结合了两个旧的Sysinternals实用程序Filemon和 Regmon的功能,并添加了广泛的增强功能列表,包括丰富的和非破坏性的过滤,全面的事件属性(例如会话ID和用户名),可靠的过程信息,带有集成符号的完整线程堆栈支持每个操作,同时记录到文件等。它独特的强大功能将使Process Monitor成为系统故障排除和恶意软件搜索工具包中的核心实用程序。

官网地址

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

进程监控器功能概述

捕获更多用于操作输入和输出参数的数据
无损过滤器使您可以设置过滤器而不会丢失数据
捕获每个操作的线程堆栈在许多情况下都可以确定操作的根本原因
可靠地捕获过程详细信息,包括图像路径,命令行,用户和会话ID
任何事件属性的可配置和可移动列
可以为任何数据字段设置过滤器,包括未配置为列的字段
先进的日志记录架构可扩展到数千万个捕获的事件和千兆字节的日志数据
进程树工具显示跟踪中引用的所有进程的关系
本机日志格式保留所有数据以供加载到不同的Process Monitor实例中
过程工具提示,可轻松查看过程图像信息
详细信息工具提示可方便地访问列中不适合的格式化数据
可取消的搜索
所有操作的启动时间记录

熟悉Process Monitor功能的最好方法是通读帮助文件,然后访问实时系统上的每个菜单项和选项。

 

 

文件系统
Process Monitor显示所有Windows文件系统的文件系统活动,包括本地存储和远程文件系统。进程监控会自动检测新的文件系统设备的到来,并对其进行监控。所有文件系统路径都相对于执行文件系统操作的用户会话显示。例如,如果用户A已将一个共享挂载为驱动器字母Z:,他们对该共享的任何访问都将在Process Monitor中显示为相对于驱动器Z:。

要从显示中删除文件系统操作,请取消选择进程监视器工具栏中的文件系统按钮,要添加回文件系统操作,请按下该按钮。

注册表
进程监控记录所有注册表操作,并使用注册表根键的传统缩写显示注册表路径(例如,HKEY_LOCAL_MACHINE表示为HKLM)。

要从显示的注册表操作中删除注册表操作,请取消选择Process Monitor工具栏中的注册表按钮,要添加回注册表操作,请按下该按钮。

进程
在其进程/线程监控子系统中,进程监控可以跟踪所有进程和线程的创建和退出操作,以及DLL和设备驱动程序加载操作。

要从显示中删除进程操作,请取消选择进程监视器工具栏中的进程按钮,要添加回进程操作,请按下该按钮。

网络操作
Process Monitor使用Windows的Event Tracing (ETW)来跟踪和记录TCP和UDP活动。每个网络操作包括源和目标地址,以及发送或接收的数据量,但不包括实际数据。

要从显示中删除网络操作,请取消选择 Process Monitor 工具栏中的网络按钮,要添加回网络操作,请按下该按钮。

剖析
这个事件类可以在选项菜单中启用。当激活时,Process Monitor会扫描系统中所有的活动线程,并为每个线程生成一个剖析,记录该线程自上一个剖析事件以来消耗的内核和用户CPU时间,以及执行的上下文切换次数。注意:系统进程不包括在剖析中。