下載進程監(jiān)視器 （981 KB）
立即從 Sysinternals Live 運行。

介紹

Process Monitor是Windows的高級監(jiān)視工具，可顯示實時文件系統(tǒng)，注冊表和進程/線程活動。它結(jié)合了兩個傳統(tǒng)Sysinternals實用程序Filemon和 Regmon的功能，并添加了大量增強功能，包括豐富和非破壞性過濾，全面的事件屬性，如會話ID和用戶名，可靠的流程信息，帶有集成符號支持的完整線程堆棧對于每個操作，同時記錄到文件等等。其獨特的強大功能將使Process Monitor成為系統(tǒng)故障排除和惡意軟件搜索工具包的核心實用程序。

總體來說，Process Monitor相當(dāng)于Filemon+Regmon，其中的Filemon專門用來監(jiān)視系統(tǒng) 中的任何文件操作過程，而Regmon用來監(jiān)視注冊表的讀寫操作過程。 有了Process Monitor，使用者就可以對系統(tǒng)中的任何文件和 注冊表操作同時進行監(jiān)視和記錄，通過注冊表和文件讀寫的變化， 對于幫助診斷系統(tǒng)故障或是發(fā)現(xiàn)惡意軟件、病毒或木馬來說，非常 有用。 這是一個高級的 Windows 系統(tǒng)和應(yīng)用程序監(jiān)視工具，由優(yōu)秀的 Sysinternals 開發(fā)，并且目前已并入微軟旗下，可靠性自不用說。

進程監(jiān)視器功能概述

Process Monitor包括強大的監(jiān)控和過濾功能，包括：

• 為操作輸入和輸出參數(shù)捕獲更多數(shù)據(jù)

• 非破壞性過濾器允許您設(shè)置過濾器而不會丟失數(shù)據(jù)

• 捕獲每個操作的線程堆棧使得在許多情況下可以識別操作的根本原因

• 可靠地捕獲進程詳細信息，包括映像路徑，命令行，用戶和會話ID

• 任何事件屬性的可配置和可移動列

• 可以為任何數(shù)據(jù)字段設(shè)置過濾器，包括未配置為列的字段

• 高級日志記錄體系結(jié)構(gòu)可擴展到數(shù)千萬個捕獲的事件和千兆字節(jié)的日志數(shù)據(jù)

• 進程樹工具顯示跟蹤中引用的所有進程的關(guān)系

• 本機日志格式保留所有數(shù)據(jù)以便在不同的Process Monitor實例中加載

• 處理工具提示，便于查看過程圖像信息

• 詳細信息工具提示可以方便地訪問不適合列的格式化數(shù)據(jù)

• 可取消的搜索

• 所有操作的引導(dǎo)時間記錄

熟悉Process Monitor功能的最佳方法是閱讀幫助文件，然后訪問實時系統(tǒng)上的每個菜單項和選項。

截圖

這里我們就拿calc計算器程序來試下手吧，讓他啟動時默認啟用科學(xué)型，

而不是標(biāo)準型

1、啟動Process Monitor，選擇Fiter菜單中的Fiter

2、打開以后，添加process is calc.exe

3、同時添加operation is RegSetValue

4、完成以上操作后，我們再去打開calc.exe，并將標(biāo)準型切換成科學(xué)型，便可以從process monitor中看到相應(yīng)注冊表項了，選擇jump to便可打開到相應(yīng)的注冊表項

而對于另外的一個文件操作的例子，我們經(jīng)常可以在論壇中看到有人提問說文件經(jīng)常是默名其妙的被修改了，或是被隱藏了。像類似這樣的問題，我們關(guān)鍵的是要找出到底是哪個程序在做怪，一般可以啟用審核功能解決，這里我們也可以使用Process Monitor來解決

1、同樣啟動Process monitor，打開filter，設(shè)置path值為文件夾的路徑

2、做為測試，我們將test文件夾隱藏，便可以在Process Monitor中看到explorer.exe這個進程對文件夾做了修改

• 進程
• Process