本文是Procmon软件使用教程。该软件由微软出品,可监视Windows系统程序运行,包括注册表、文件读写、网络连接等情况。介绍了默认列集、可捕获的事件分类,还给出两个使用窍门,如用Load Image事件对启动失败程序排错等。
Procmon软件使用教程
Procmon是微软出品用于监视Windows系统里程序的运行情况,监视内容包括该程序对注册表的读写、对文件的读写、网络的连接、进程和线程的调用情况,procmon 是一款超强的系统监视软件。
注意:Procmon无须具备管理权利即可使用/OpenLog命令行选项打开保存的日志文件
默认列集包含事件、进程名称和ID、操作、操作所针对的对象以及操作结果等
Procmon可捕获的事件分类:
注册表:注册表操作,如键和值的创建、枚举、查询、删除
文件系统:针对本地存储和远程文件系统,包括运行Procmon过程中增加的文件系统或设备执行的操作
【网络:UDP和TCP网络活动,包括源和目标地址。Procmon可配置为将网络地址解析为网络名称,或只显示IP地址】
进程:进程和线程事件,如父进程创建子进程,进程启动,线程创建,进程退出,线程退出等
【Profiling:】
窍门:Load Image事件有助于对启动失败的程序进程排错。如果某个程序无法启动,则分析该程序加载的最后一个DLL通常可以帮助我们判断问题的原因。例如可能是因为该DLL中的Bug导致了非法访问,触发了加载器锁问题,导致进程挂起,或存在与其他DLL有关的依赖关系,最后一种情况下,Load Image事件之后通常会紧跟着一个搜索缺失DLL的文件系统事件
窍门:如果同时为进程名和PID应用“包含”筛选器规则,则最终可能无法显示任何结果;若要查看修改系统设置的操作,可直接设置“Category Is Write(类别为写入筛选器)”筛选器
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
