进程监视器是WindowsSysinternals工具,用于实时展示文件系统、注册表和进程/线程活动。它具备强大的过滤和日志记录功能,能详细追踪进程信息、线程堆栈,并捕获操作的输入输出参数。通过设置过滤规则,例如监控特定PID的进程,可以深入分析进程对文件的访问行为。了解其功能的最佳途径是实践操作和阅读帮助文件。
进程监视器(Process Monitor)是用于Windows的高级监视工具,用于显示实时文件系统、注册表和进程/线程活动。
进程监视器包括强大的监视和筛选功能,包括:
- 为操作输入和输出参数捕获的更多数据
- 使用非破坏性筛选器可以设置筛选器而不丢失数据
- 捕获每个操作的线程堆栈使得在许多情况下能够识别操作的根本原因
- 可靠捕获进程详细信息,包括映像路径、命令行、用户和会话 ID
- 任何事件属性的可配置和可移动列
- 可以为任何数据字段设置筛选器,包括未配置为列的字段
- 高级日志记录体系结构可扩展到数千万个捕获的事件和千兆字节的日志数据
- 进程树工具显示跟踪中引用的所有进程的关系
- 本机日志格式保留所有数据,以便在不同的进程监视器实例中加载
- 用于轻松查看进程图像信息的过程工具提示
- 详细信息工具提示允许方便地访问不适合列的格式化数据
- 可取消搜索
- 所有操作的启动时间日志记录
熟悉进程监视器功能的最佳方式是阅读帮助文件,然后访问实时系统上的每个菜单项和选项。
下载网址: 进程监视器 - Windows Sysinternals | Microsoft Docs
点击下载可得到文件“Procmon.exe”
双击该文件即可直接运行.
以微信的某个进程为例说明用法,在Windows系统自带的任务管理器中可以查看到微信的进程号(进程管理是操作系统最重要的基本功能之一,操作系统每次运行程序都为该程序创建一个进程,为了便于对众多的进程进行管理,给每个进程都编了个号):
在进程监视器的界面上,点击漏斗图标(过滤功能),在弹出的对话框中设置选项:
设置的内容是:
PID is not 10712 then exclude
意思就是将进程号(PID)不是10712的进程排除在外,或者说只监视PID为10712的进程。(对于下面列表中的内容,可以先点击第一行,然后按组合键Ctrl+A,按delete键,全部删除)。之后,点击Add按钮,添加过滤规则。
然后点击“Apply”、“OK”按钮。
在主界面窗口的工具栏点击“虚线矩形”(下图中的小红框)即开始捕获进程的操作(Operation)(再次单击,即停止捕获),在Path列中显示了进程操作的文件名。
“虚线矩形”右侧的图标是自动滚屏功能;再右侧的垃圾桶图标,是清空显示的内容。
通过对Path的分析,就可以知道进程在对哪些文件进行访问,也就是对哪些文件进行了读写操作。
扫一扫
1723
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
