文章目录
Process Monitor
Process Monitor是 Windows 的高级监视工具,是Filemon + Regmon的整合增强版本,实时显示文件系统,注册表,网络活动,进程或线程活动,资料收集事件,并提供丰富的非破坏性筛选、全面的事件属性(如会话 ID 和用户名)、可靠的进程信息、具有每个操作的集成符号支持的全线程堆栈、同时记录到文件等等。其界面如下
其列表表头翻译过来就是
| 捕获时间 | 进程名称 | 进程号 | 操作名称 | 路径 | 返回结果 | 细节 |
|---|
如果觉得这些信息还不够,可以右键表头->【Select Columns】,来自定义每一列所显示的信息。在弹出的表格中,共有三类
Application Details 应用信息
- 【Process Name】进程名称
- 【lmage Path】进程镜像路径
- 【Command Line】启动进程的命令行
- 【Company Name】企业名
- 【Description】程序说明
- 【Version】版本
- 【Architecture】架构
Event Details 事件信息 - 【Sequence Number】操作在全体事件中的相对位置
- 【Event Class】事件类别
- 【Operation】特殊事件操作
- 【Date &Time】捕获时的日期时间
- 【Time of Day】捕获时间
- 【Category】时间类别
- 【Path】路径
- 【Detail】事件的附加信息
- 【Result】返回值
- 【Relative Time】事件相对于Process Monitor的启动后的时间
- 【Duration】一个已经完成了的操作所持续的时间
- 【Completion Time】完成时间
- Process Management 进程管理
- 【User Name】执行操作进程的用户名
- 【Session ID】会话ID
- 【Authentication ID】身份验证ID
- 【Integrity】可信级别
- 【Process ID】进程号
- 【Thread ID】线程号
- 【Parent ID】父线程号
- 【Virtualized】虚拟化状态
操作逻辑
从列表中所呈现出的信息来看,Process Monitor中每一行数据,都是以事件为单位的,并且将实时捕获这些事件。
快捷键【Ctrl + E】可开启或关闭自动捕获事件;【Ctrl + A】可开启自动滚动,这两个功能对应工具栏左起第三、四个按钮。
工具栏最右侧,有5个选项,分别用于开启或关闭不同的事件类型,分别是
- 注册表事件
- 文件系统事件
- 网络事件
- 进程或线程事件
- 进程性能分析相关的事件
通过快捷键【Ctrl+L】可以筛选显示的事件类型,对应工具栏左数第5个图标。打开之后,可以看到筛选列表最上面的规则便是,进程名不得为procmon.exe,因为这个procmon.exe就是Process Monitor自己。
如果想监视edge浏览器的行为,可以如上图所示,筛选Process Name为msedge.exe的事件。先将现有的事件监控信息清除,然后打开Edge浏览器,就可以看到有关edge浏览器的所有行为事件了。
