process monitor

Process Monitor是由 Sysinternals 公司开发的一款包含强大的监视和过滤功能的高级Windows监视工具，可实时显示文件系统、注册表、进程/线程的活动。它拥有着超多实用功能供用户使用，在这里它会帮你捕获每一个线程操作的堆栈，使得可以在许多情况下识别一个操作的根源，来依靠映像路径、命令行、完整性、用户和会话ID等来抓捕进程详细信息它，帮助用户可以更好的掌握自己的电脑信息。另外它还可以自定义任何事件的属性列，在这里过滤器可以设置为任何数据条件，包括未在当前视图中显示的条件。另外它结合了两个 Sysinternals 的旧版工具 Filemon 和 Regmon 的功能，并添加了一个包含丰富的和非破坏性的广泛增强过滤功能列表，全面的事件属性（例如会话 ID 和用户名称），可靠的进程信息，每个操作的完整线程、堆栈与集成符号支持，同时记录到一个文件中，以及更多。其独一无二的强大功能将使 Process Monitor 在您的系统故障排除和恶意软件检测中发挥重要的作用。还不赶紧下载起来试试吧。

process monitor安装教程

1、首先下载本站好本站的压缩文件，右击进行解压，得到processmonitor_117318文件夹

2、打开文件找到ProcessMonitor_v3.83.exe安装程序，双击运行开始安装

3、点击仍要运行

4、点击同意，开始运行

5、无需安装，打开即可

软件特色

获更多输入输出参数操作；
非破坏性的过滤器允许你自行定义而不会丢失任何捕获的数据；
捕获每一个线程操作的堆栈，使得可以在许多情况下识别一个操作的根源；
可靠捕获进程详细信息，包括映像路径、命令行、完整性、用户和会话ID等等；
完全可以自定义任何事件的属性列；
过滤器可以设置为任何数据条件，包括未在当前视图中显示的条件；
高级的日志机制，可记录上千万的事件，数GB的日志数据；
进程树工具显示所有进程的关系；
原生的日志格式，可将所有数据信息保存，让另一个 Process Monitor 实例加载；
进程悬停提示，可方便的查看进程信息；
详细的悬停提示信息让你方便的查看列中不能完整显示的信息；
搜索可取消；
系统引导时记录所有操作。

process monitor怎么用

2、点击filter-->filter   在弹出的对话框中Architecture 下拉框，选择Process Name 填写要分析的应用程序名字。

点击add 最后点击右下角的apply

3、执行被分析的应用，可以看到Process Mointor监控到应用的行为。
在 C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\ 路径下创建 0、exe

4、查看结果，存在，并且开机后自启。

5、该程序通过修改注册表实现开机自启动。

6、右键选择jump to 跳转到注册表，可以看到该程序又在C:\Documents and Settings\Administrator\My Documents\ 创建了 1、exe

7、windows 自动重启运行的程序可以注册在下列任一注册表的位置。

软件功能

1、捕获操作的输入和输出参数的更多数据
2、非破坏性过滤器，允许您设置过滤器而不会丢失数据
3、捕获每个操作的线程堆栈，在许多情况下它可以找出一个操作的根源
4、可靠捕获进程的详细信息，包括映像路径、命令行、用户和会话 ID
5、任何事件属性的可配置和可移动列
6、可将过滤器设置为任何数据字段，包括未配置为列的字段
7、高级日志记录架构，扩展到数以百万计的捕获事件和千兆字节的日志数据
8、进程树工具显示在跟踪中引用的所有进程的关系
9、本机日志格式保存，在不同的 Process Monitor 实例中加载的所有数据
10、进程工具提示，方便查看进程映像信息
11、详细信息工具提示，允许方便地访问不适合的列数据格式
12、可取消搜索
13、所有操作的启动时间日志