Process Monitor 帮助文档
【介绍】
【介绍】
Process Monitor(进程监视器)是一个Windows下的高级监视工具,可以实时显示文件系统、注册表和进程/线程的活动。它将Sysinternals以前的两个实用程序Filemon(文件监视器)和Regmon(注册表监视器)结合在一起,并且添加了大量的改进功能,包括丰富的非破坏性的过滤器,全面的事件属性——如会话ID和用户名,可靠的进程信息,对每个操作带有集成的调试符号支持的完整线程堆栈,同步记录日志文件等等。Process Monitor独特的强大功能将使它成为你在系统故障排除和恶意软件查杀中使用的核心实用程序。
Process Monitor可以在Windows 2000 SP4 with Update Rollup 1、Windows XP SP2、Windows Server 2003 SP1、Windows Vista,以及64位版本的Windows XP、Windows Server 2003 SP1和Windows Vista等系统上运行。(译者注:Process Monitor不支持Windows 98、Windows NT等以前的系统,不过可以使用Filemon和Regmon来实现它的部分功能。)
【在Filemon和Regmon基础上的改进】
Process Monitor的用户界面和选项与Filemon和Regmon很相似,但它是从头全部重写的,并且包括许多重大改进,例如:
(此处引用自wbpluto的版说明)
• 监视进程和线程的启动和退出,包括退出状态代码
• 监视映像 (DLL 和内核模式驱动程序) 加载
• 捕获更多输入输出参数操作
• 非破坏性的过滤器允许你自行定义而不会丢失任何捕获的数据
• 捕获每一个线程操作的堆栈,使得可以在许多情况下识别一个操作的根源
• 可靠捕获进程详细信息,包括映像路径、命令行、完整性、用户和会话ID等等
• 完全可以自定义任何事件的属性列
• 过滤器可以设置为任何数据条件,包括未在当前视图中显示的
• 高级的日志机制,可记录上千万的事件,数GB的日志数据
• 进程树工具显示所有进程的关系
• 原生的日志格式,可将所有数据信息保存,让另一个 Process Monitor 实例加载
• 进程悬停提示,可方便的查看进程信息
• 监视进程和线程的启动和退出,包括退出状态代码
• 监视映像 (DLL 和内核模式驱动程序) 加载
• 捕获更多输入输出参数操作
• 非破坏性的过滤器允许你自行定义而不会丢失任何捕获的数据
• 捕获每一个线程操作的堆栈,使得可以在许多情况下识别一个操作的根源
• 可靠捕获进程详细信息,包括映像路径、命令行、完整性、用户和会话ID等等
• 完全可以自定义任何事件的属性列
• 过滤器可以设置为任何数据条件,包括未在当前视图中显示的
• 高级的日志机制,可记录上千万的事件,数GB的日志数据
• 进程树工具显示所有进程的关系
• 原生的日志格式,可将所有数据信息保存,让另一个 Process Monitor 实例加载
• 进程悬停提示,可方便的查看进程信息
• 详细的悬停提示信息让你方便的查看列中不能完整显示的信息
• 搜索可取消
• 系统引导时记录所有操作
• 搜索可取消
• 系统引导时记录所有操作
要熟悉Process Monitor的功能,最好的方法是通读帮助文件,然后在一个实际运行的系统中尝试使用一下每一个菜单和选项。
【使用Process Monitor】
运行Process Monitor需要本地管理员组成员的权限。当你启动Process Monitor后,它会立刻开始监视三类操作:文件系统、注册表和进程。
• 文件系统
Process Monitor显示Windows文件系统中的所有文件系统活动,包括本地存储器和远程文件系统。Process Monitor能够自动检测到新添加的文件系统设备并且对它们进行监视。所有的文件系统路径相对于执行文件系统操作的用户会话来显示。例如,如果用户A将一个共享路径映射为驱动器盘符Z:,那么任何对此共享路径的访问在Process Monitor中都会显示为相对于Z:盘的路径。
Process Monitor显示Windows文件系统中的所有文件系统活动,包括本地存储器和远程文件系统。Process Monitor能够自动检测到新添加的文件系统设备并且对它们进行监视。所有的文件系统路径相对于执行文件系统操作的用户会话来显示。例如,如果用户A将一个共享路径映射为驱动器盘符Z:,那么任何对此共享路径的访问在Process Monitor中都会显示为相对于Z:盘的路径。
在Process Monitor的工具栏上取消“显示文件系统活动”按钮的选择,就可以从视图中移除文件系统操作的记录,按下这个按钮又会将文件系统操作添加回视图。
• 注册表
Process Monitor记录所有注册表操作,并使用习惯的缩写形式来显示注册表根键(例如将HKEY_LOCAL_MACHINE显示为HKLM)。
Process Monitor记录所有注册表操作,并使用习惯的缩写形式来显示注册表根键(例如将HKEY_LOCAL_MACHINE显示为HKLM)。
在Process Monitor的工具栏上取消“显示注册表活动”按钮的选择,就可以从视图中移除注册表操作的记录,按下这个按钮又会将注册表操作添加回视图。
• 进程
在进程/线程监视子系统中,Process Monitor跟踪所有进程和线程的创建和退出操作,以及DLL(动态链接库)和设备驱动程序的加载操作。
在进程/线程监视子系统中,Process Monitor跟踪所有进程和线程的创建和退出操作,以及DLL(动态链接库)和设备驱动程序的加载操作。
在Process Monitor的工具栏上取消“显示进程和线程活动”按钮的选择,就可以从视图中移除进程和线程操作的记录,按下这个按钮又会将进程和线程操作添加回视图。
• 剖析事件
这种事件类型可以在“选项”菜单中启用。当它被启用时,Process Monitor扫描系统中所有的活动线程,并为每个线程创建一个剖析事件,记录它耗费的核心和用户CPU时间,以及该线程自上次剖析事件以来执行了多少次上下文转换。注意:在剖析中不包括System进程。
有一些基本选项控制着Process Monitor的基本操作:
捕获:使用“文件”菜单中的“捕获事件”菜单项,工具栏上的“捕获”按钮,以及快捷键Ctrl+E来切换tablet monitor驱动程序Process Monitor的捕获行为。
自动滚动:选择“编辑”菜单中的“自动滚动”项,工具栏上的“自动滚动”按钮,以及快捷键Ctrl+A来切换Process Monitor的自动滚动行为,以保证最近的操作在视图中是可见的。
清除:选择“编辑”菜单中的“清除显示”菜单项,工具栏上的“清除”按钮,以及快捷键Ctrl+X,可以清除视图中显示的所有内容。
【选择列】
你可以拖动列来重新排列它们的顺序。选择“选项”菜单中的“选择列”菜单项,打开“列选择”对话框,你可以在这里定制要显示的列。可供选择的列包括:
应用程序详细信息
• 进程名 发生事件的进程名称
• 映像路径 在进程中运行的映像文件的完整路径
• 命令行 启动进程时所使用的命令行
• 公司名称 在进程映像文件中嵌入的公司名称版本字符串文本,该文本由应用程序开发者所选择定义
• 描述 在进程映像文件中嵌入的产品描述字符串文本,该文本由应用程序开发者所选择定义
• 版本 在进程映像文件中嵌入的产品版本号,该信息由应用程序开发者所选择定义
• 体系架构 应用程序的体系架构(如32位、64位等)
• 映像路径 在进程中运行的映像文件的完整路径
• 命令行 启动进程时所使用的命令行
• 公司名称 在进程映像文件中嵌入的公司名称版本字符串文本,该文本由应用程序开发者所选择定义
• 描述 在进程映像文件中嵌入的产品描述字符串文本,该文本由应用程序开发者所选择定义
• 版本 在进程映像文件中嵌入的产品版本号,该信息由应用程序开发者所选择定义
• 体系架构 应用程序的体系架构(如32位、64位等)
事件详细信息
• 序号 Process Monitor分配给一个特定事件的唯一数字编号
• 事件类 事件的类型(文件、注册表、进程)
• 操作 特定的事件操作(例如读取文件、注册表查询值等)
• 事件类 事件的类型(文件、注册表、进程)
• 操作 特定的事件操作(例如读取文件、注册表查询值等)
• 日期和时间 操作发生的日期和时间
• 时间 仅包括操作发生的时间
• 类别 操作的类别(例如读取、读取元数据等)
• 路径 事件引用资源的路径
• 详细信息 事件的额外具体信息
• 结果 操作完成后返回的状态代码
• 相对时间 相对于Process Monitor启动时间或上次清除视图时间的操作时间
• 持续时间 已完成操作的持续时间
• 时间 仅包括操作发生的时间
• 类别 操作的类别(例如读取、读取元数据等)
• 路径 事件引用资源的路径
• 详细信息 事件的额外具体信息
• 结果 操作完成后返回的状态代码
• 相对时间 相对于Process Monitor启动时间或上次清除视图时间的操作时间
• 持续时间 已完成操作的持续时间
进程管理
• 用户名 执行操作的进程运行时所使用的用户帐号的名称
• 会话ID 执行操作的进程运行时所属的Windows会话
• 认证ID 执行操作的进程运行时所属的登录会话
• 进程ID 执行操作的进程ID(PID)
• 线程ID 执行操作的线程ID(TID)
• 会话ID 执行操作的进程运行时所属的Windows会话
• 认证ID 执行操作的进程运行时所属的登录会话
• 进程ID 执行操作的进程ID(PID)
• 线程ID 执行操作的线程ID(TID)
• 父ID 执行操作的进程的父进程ID
• 完整性 执行操作的进程运行中的完整性(仅适用于Windows Vista)
• 虚拟化 执行操作的进程的虚拟化状态(仅适用于Windows Vista)
• 完整性 执行操作的进程运行中的完整性(仅适用于Windows Vista)
• 虚拟化 执行操作的进程的虚拟化状态(仅适用于Windows Vista)
【事件属性】
你可以通过在事件上双击鼠标来查看某个特定事件的属性,或者选择“事件”菜单下的“属性”菜单项,或者当用右键单击某个事件时,在上下文菜单中选择“属性”。“事件属性”对话框由“事件”、“进程”和“堆栈”三页组成,你可以使用对话框下方的箭头按钮移动到下一个或上一个显示的或高亮的事件。
你可以通过在事件上双击鼠标来查看某个特定事件的属性,或者选择“事件”菜单下的“属性”菜单项,或者当用右键单击某个事件时,在上下文菜单中选择“属性”。“事件属性”对话框由“事件”、“进程”和“堆栈”三页组成,你可以使用对话框下方的箭头按钮移动到下一个或上一个显示的或高亮的事件。
事件
“事件”页显示某个事件的详细信息,包括它的序号、线程、事件类型、操作、结果、时间戳,如果可用的话,还包括资源路径。只有文件系统和注册表两类事件定义了资源路径。“事件”页的下半部分列出了由事件操作所决定的详细信息。这些详细信息与事件在主窗口的详细信息列中所显示的内容相同,但是每条详细信息都显示为单独的一行。
“事件”页显示某个事件的详细信息,包括它的序号、线程、事件类型、操作、结果、时间戳,如果可用的话,还包括资源路径。只有文件系统和注册表两类事件定义了资源路径。“事件”页的下半部分列出了由事件操作所决定的详细信息。这些详细信息与事件在主窗口的详细信息列中所显示的内容相同,但是每条详细信息都显示为单独的一行。
进程
事件的“进程”页显示关于产生事件的进程的信息,还包括与进程的映像文件相关的数据,例如路径和版本字符串。“进程”页显示进程的运行属性,如进程ID、运行进程的用户帐号,如果事件发生在64位的Windows系统中,还可以显示该进程是32位还是64位的。如果进程在Windows Vista系统上运行,Process Monitor可以显示进程的完整性和是否被虚拟化。
“进程”页的底部显示了当进程中的事件发生时,由该进程加载的映像文件列表和加载它们的内存地址。双击列表中的映像文件,可以查看关于该映像文件的更多信息,包括它的版本信息等。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论