使用Process Monitor监控程序干了什么,如文件创建、注册表更改等

2019-09-17 08:19:25

程序在系统中干了什么对普通用户来说是不可见的,我们只能得到最终结果,但不知道具体的细节,比如它创建了什么文件、对注册表干了什么,而部分不好的程序很可能干了额外的事情。

Process Monitor是一个免费的进程监控程序,它可以显示程序的所有行为。

Process Monitor通过点击工具栏的这几个按钮的开关,我们可以让它只显示指定类型的操作,比如仅显示注册表操作、文件操作、网络活动等。

显示指定类型的操作在默认设置下,它会监控排除列表之外的所有程序的行为。通过过滤器设置,我们可以监控指定的进程、指定的行为。

最简单的添加过滤器的方法,就是点击Include Process From Window按钮,图标类似一个瞄准镜。鼠标点击它后按住不放,拖放到指定的窗口上即可(建议拖放到窗口标题栏)。

窗口PID过滤器此操作会将指定窗口进程的PID添加到过滤器中,显示指定程序的所有行为。

指定PID程序的所有行为

指定PID程序的所有行为

此操作会在过滤器中添加指定窗口进程的PID

添加到过滤器中的PID由于程序每次启动所分配的PID不同,所以如果你想长久的监控某个程序,就不能使用这种操作添加过滤器。

过滤器(Filter)按钮的图标像一个漏斗,点击它,我们可以自定义过滤器,添加自己的各种条件设定。也可以通过点击菜单栏的Filter - Filter打开,快捷键是Ctrl + L。

添加条件首先选择的就是要匹配的项目,用的最多的应该是Process Name(进程名称),它通常是程序的执行文件名称,在任务管理器的详细信息中也可以看到。

进程名称下图的设置 Process Name - Contains - eui - Include,表示仅显示进程名称包含eui的条目。如果选择Exclude,就是排除显示。点击Add添加到下面的条件列表,然后点击Apply即可。

条件判断我们可以添加更多的条件,比如仅让它显示创建文件的操作。添加Operation,条件为 is或者Contains - createfile。is是精确匹配,Contains可以看作是模糊匹配。

匹配操作的条件如果你不知道有哪些操作,该怎么填,可以在取消激活过滤器的情况下,查看Operation栏。条件设置非常的灵活,应该能满足大部分的过滤要求。

条件可以通过取消勾选让它临时失效,remove则会永久删除。通过Filter菜单可以保存多个过滤器配置,随时载入。

过滤器的保存与载入等操作下载地址:https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

本文链接 : https://www.xstui.com/read/836