1、Process Monitor 幫助文檔【介紹】Process Monitor （進(jìn)程監(jiān)視器）是一個(gè) Windows 下的高級(jí)監(jiān)視工具，可以實(shí)時(shí)顯示文件系 統(tǒng)、注冊(cè)表和進(jìn)程 / 線程的活動(dòng)。它將 Sysinternals 以前的兩個(gè)實(shí)用程序 Filemon （文件監(jiān) 視器）和Regmon（注冊(cè)表監(jiān)視器）結(jié)合在一起，并且添加了大量的改進(jìn)功能，包括豐富的 非破壞性的過(guò)濾器，全面的事件屬性如會(huì)話 ID 和用戶名，可靠的進(jìn)程信息，對(duì)每個(gè)操 作帶有集成的調(diào)試符號(hào)支持的完整線程堆棧，同步記錄日志文件等等。Process Monitor 獨(dú)特的強(qiáng)大功能將使它成為你在系統(tǒng)故障排除和惡意軟件查殺中使用的核心實(shí)用

2、程序。Process Monitor 可以在 Windows 2000 SP4 with Update Rollup 1、Windows XP SP2、Windows Server 2003 SP1、Windows Vista ，以及 64位版本的 Windows XP、Windows Server 2003 SP1 和 Windows Vista 等系統(tǒng)上運(yùn)行。（譯者注： Process Monitor 不支持 Windows 98、 Windows NT等以前的系統(tǒng)，不過(guò)可以使用 Filemon和Regmor來(lái)實(shí)現(xiàn)它的部分功能。）【在Filemon和Regmor基礎(chǔ)上的改進(jìn)】Process

3、 Monitor的用戶界面和選項(xiàng)與 Filemon和Regmonf艮相似，但它是從頭全部重寫(xiě)的， 并且包括許多重大改進(jìn)，例如：（此處引用自 wbpluto 的漢化版說(shuō)明）? 監(jiān)視進(jìn)程和線程的啟動(dòng)和退出，包括退出狀態(tài)代碼? 監(jiān)視映像 （DLL 和內(nèi)核模式驅(qū)動(dòng)程序 ） 加載? 捕獲更多輸入輸出參數(shù)操作? 非破壞性的過(guò)濾器允許你自行定義而不會(huì)丟失任何捕獲的數(shù)據(jù)? 捕獲每一個(gè)線程操作的堆棧，使得可以在許多情況下識(shí)別一個(gè)操作的根源? 可靠捕獲進(jìn)程詳細(xì)信息，包括映像路徑、命令行、完整性、用戶和會(huì)話ID 等等? 完全可以自定義任何事件的屬性列? 過(guò)濾器可以設(shè)置為任何數(shù)據(jù)條件，包括未在當(dāng)前視圖中顯示的?高級(jí)的

4、日志機(jī)制，可記錄上千萬(wàn)的事件，數(shù)GB的日志數(shù)據(jù)? 進(jìn)程樹(shù)工具顯示所有進(jìn)程的關(guān)系? 原生的日志格式，可將所有數(shù)據(jù)信息保存，讓另一個(gè) Process Monitor 實(shí)例加載? 進(jìn)程懸停提示，可方便的查看進(jìn)程信息? 詳細(xì)的懸停提示信息讓你方便的查看列中不能完整顯示的信息? 搜索可取消? 系統(tǒng)引導(dǎo)時(shí)記錄所有操作要熟悉 Process Monitor 的功能，最好的方法是通讀幫助文件，然后在一個(gè)實(shí)際運(yùn)行的系 統(tǒng)中嘗試使用一下每一個(gè)菜單和選項(xiàng)。【使用 Process Monitor 】運(yùn)行 Process Monitor 需要本地管理員組成員的權(quán)限。當(dāng)你啟動(dòng) Process Monitor 后，它會(huì) 立

5、刻開(kāi)始監(jiān)視三類(lèi)操作：文件系統(tǒng)、注冊(cè)表和進(jìn)程。? 文件系統(tǒng)Process Monitor 顯示 Windows 文件系統(tǒng)中的所有文件系統(tǒng)活動(dòng)，包括本地存儲(chǔ)器和遠(yuǎn) 程文件系統(tǒng)。 Process Monitor 能夠自動(dòng)檢測(cè)到新添加的文件系統(tǒng)設(shè)備并且對(duì)它們進(jìn)行監(jiān)視。 所有的文件系統(tǒng)路徑相對(duì)于執(zhí)行文件系統(tǒng)操作的用戶會(huì)話來(lái)顯示。例如， 如果用戶 A 將一個(gè)共享路徑映射為驅(qū)動(dòng)器盤(pán)符 Z: ，那么任何對(duì)此共享路徑的訪問(wèn)在Process Monitor 中都會(huì)顯示為相對(duì)于 Z: 盤(pán)的路徑。在 Process Monitor 的工具欄上取消“顯示文件系統(tǒng)活動(dòng)”按鈕的選擇， 就可以從視 圖中移除文件系統(tǒng)操作的記錄

6、，按下這個(gè)按鈕又會(huì)將文件系統(tǒng)操作添加回視圖。? 注冊(cè)表Process Monitor 記錄所有注冊(cè)表操作，并使用習(xí)慣的縮寫(xiě)形式來(lái)顯示注冊(cè)表根鍵（例如將 HKEY_LOCAL_MACHI顯示為 HKLM。在 Process Monitor 的工具欄上取消“顯示注冊(cè)表活動(dòng)”按鈕的選擇， 就可以從視圖 中移除注冊(cè)表操作的記錄，按下這個(gè)按鈕又會(huì)將注冊(cè)表操作添加回視圖。? 進(jìn)程在進(jìn)程 / 線程監(jiān)視子系統(tǒng)中， Process Monitor 跟蹤所有進(jìn)程和線程的創(chuàng)建和退出操作， 以及DLL （動(dòng)態(tài)鏈接庫(kù)）和設(shè)備驅(qū)動(dòng)程序的加載操作。在 Process Monitor 的工具欄上取消“顯示進(jìn)程和線程活動(dòng)”按鈕

7、的選擇， 就可以從 視圖中移除進(jìn)程和線程操作的記錄，按下這個(gè)按鈕又會(huì)將進(jìn)程和線程操作添加回視圖。? 剖析事件這種事件類(lèi)型可以在“選項(xiàng)”菜單中啟用。當(dāng)它被啟用時(shí)，Process Monitor 掃描系統(tǒng)中所有的活動(dòng)線程，并為每個(gè)線程創(chuàng)建一個(gè)剖析事件，記錄它耗費(fèi)的核心和用戶CPU時(shí)間，以及該線程自上次剖析事件以來(lái)執(zhí)行了多少次上下文轉(zhuǎn)換。注意：在剖析中不包括 System進(jìn)程。有一些基本選項(xiàng)控制著 Process Monitor 的基本操作：捕獲： 使用“文件”菜單中的“捕獲事件”菜單項(xiàng)， 工具欄上的“捕獲”按鈕，以及快捷鍵 Ctrl+E 來(lái)切換 Process Monitor 的捕獲行為。自動(dòng)滾動(dòng)

8、： 選擇“編輯”菜單中的“自動(dòng)滾動(dòng)”項(xiàng)，工具欄上的“自動(dòng)滾動(dòng)”按鈕， 以及快捷鍵 Ctrl+A 來(lái)切換 Process Monitor 的自動(dòng)滾動(dòng)行為，以保證最近的操作在視圖中是可見(jiàn) 的。清除： 選擇“編輯”菜單中的“清除顯示”菜單項(xiàng)，工具欄上的“清除”按鈕， 以及快捷鍵 Ctrl+X ，可以清除視圖中顯示的所有內(nèi)容。【選擇列】你可以拖動(dòng)列來(lái)重新排列它們的順序。 選擇“選項(xiàng)”菜單中的“選擇列”菜單項(xiàng)， 打開(kāi)“列 選擇”對(duì)話框，你可以在這里定制要顯示的列。可供選擇的列包括：應(yīng)用程序詳細(xì)信息第 3 頁(yè) 共 16 頁(yè)? 進(jìn)程名 發(fā)生事件的進(jìn)程名稱? 映像路徑 在進(jìn)程中運(yùn)行的映像文件的完整路徑? 命令

9、行 啟動(dòng)進(jìn)程時(shí)所使用的命令行? 公司名稱 在進(jìn)程映像文件中嵌入的公司名稱版本字符串文本， 該文本由應(yīng)用程序開(kāi)發(fā) 者所選擇定義? 描述 在進(jìn)程映像文件中嵌入的產(chǎn)品描述字符串文本， 該文本由應(yīng)用程序開(kāi)發(fā)者所選擇 定義? 版本 在進(jìn)程映像文件中嵌入的產(chǎn)品版本號(hào)，該信息由應(yīng)用程序開(kāi)發(fā)者所選擇定義? 體系架構(gòu) 應(yīng)用程序的體系架構(gòu)（如 32 位、 64 位等）事件詳細(xì)信息? 序號(hào) Process Monitor 分配給一個(gè)特定事件的唯一數(shù)字編號(hào)? 事件類(lèi) 事件的類(lèi)型（文件、注冊(cè)表、進(jìn)程）? 操作 特定的事件操作（例如讀取文件、注冊(cè)表查詢值等）? 日期和時(shí)間 操作發(fā)生的日期和時(shí)間? 時(shí)間 僅包括操作發(fā)生的時(shí)

10、間? 類(lèi)別 操作的類(lèi)別（例如讀取、讀取元數(shù)據(jù)等）? 路徑 事件引用資源的路徑? 詳細(xì)信息 事件的額外具體信息? 結(jié)果 操作完成后返回的狀態(tài)代碼? 相對(duì)時(shí)間 相對(duì)于 Process Monitor 啟動(dòng)時(shí)間或上次清除視圖時(shí)間的操作時(shí)間? 持續(xù)時(shí)間 已完成操作的持續(xù)時(shí)間進(jìn)程管理? 用戶名 執(zhí)行操作的進(jìn)程運(yùn)行時(shí)所使用的用戶帳號(hào)的名稱? 會(huì)話 ID 執(zhí)行操作的進(jìn)程運(yùn)行時(shí)所屬的 Windows 會(huì)話? 認(rèn)證 ID 執(zhí)行操作的進(jìn)程運(yùn)行時(shí)所屬的登錄會(huì)話? 進(jìn)程 ID 執(zhí)行操作的進(jìn)程 ID （ PID）? 線程 ID 執(zhí)行操作的線程 ID （ TID）? 父 ID 執(zhí)行操作的進(jìn)程的父進(jìn)程 ID? 完整性 執(zhí)行

11、操作的進(jìn)程運(yùn)行中的完整性（僅適用于Windows Vista )? 虛擬化 執(zhí)行操作的進(jìn)程的虛擬化狀態(tài)（僅適用于Windows Vista )【事件屬性】你可以通過(guò)在事件上雙擊鼠標(biāo)來(lái)查看某個(gè)特定事件的屬性， 或者選擇“事件”菜單下的“屬 性”菜單項(xiàng)， 或者當(dāng)用右鍵單擊某個(gè)事件時(shí)， 在上下文菜單中選擇“屬性”。 “事件屬性” 對(duì)話框由“事件”、 “進(jìn)程”和“堆棧”三頁(yè)組成， 你可以使用對(duì)話框下方的箭頭按鈕移動(dòng) 到下一個(gè)或上一個(gè)顯示的或高亮的事件。事件 “事件”頁(yè)顯示某個(gè)事件的詳細(xì)信息，包括它的序號(hào)、線程、事件類(lèi)型、操作、結(jié)果、時(shí)間 戳，如果可用的話， 還包括資源路徑。 只有文件系統(tǒng)和注冊(cè)表兩類(lèi)事

12、件定義了資源路徑。 “事 件”頁(yè)的下半部分列出了由事件操作所決定的詳細(xì)信息。 這些詳細(xì)信息與事件在主窗口的詳 細(xì)信息列中所顯示的內(nèi)容相同，但是每條詳細(xì)信息都顯示為單獨(dú)的一行。進(jìn)程 事件的“進(jìn)程”頁(yè)顯示關(guān)于產(chǎn)生事件的進(jìn)程的信息，還包括與進(jìn)程的映像文件相關(guān)的數(shù)據(jù)， 例如路徑和版本字符串。“進(jìn)程”頁(yè)顯示進(jìn)程的運(yùn)行屬性，如進(jìn)程ID、運(yùn)行進(jìn)程的用戶帳號(hào)，如果事件發(fā)生在 64位的Windows系統(tǒng)中，還可以顯示該進(jìn)程是32位還是64位的。如果進(jìn)程在 Windows Vista 系統(tǒng)上運(yùn)行， Process Monitor 可以顯示進(jìn)程的完整性和是否被虛 擬化。“進(jìn)程”頁(yè)的底部顯示了當(dāng)進(jìn)程中的事件發(fā)生時(shí)，

13、由該進(jìn)程加載的映像文件列表和加載它 們的內(nèi)存地址。 雙擊列表中的映像文件， 可以查看關(guān)于該映像文件的更多信息， 包括它的版 本信息等。堆棧“堆棧”頁(yè)顯示當(dāng)事件被記錄時(shí)該線程的堆棧。 堆棧在判定事件發(fā)生的原因和導(dǎo)致事件發(fā)生 的組件時(shí)很有用。堆棧的內(nèi)核模式幀在左側(cè)以字母K標(biāo)記，用戶模式幀（僅在 32位系統(tǒng)上有效）以字母U標(biāo)記。如果Process Monitor能夠找到在跟蹤中引用的映像文件所使用的調(diào) 試符號(hào)， 它會(huì)嘗試把內(nèi)存地址解析為它們所屬的函數(shù)名。 如果符號(hào)必須從網(wǎng)絡(luò)上獲取， 例如 使用微軟符號(hào)服務(wù)器， 符號(hào)解析會(huì)花費(fèi)一些時(shí)間。 使用“選項(xiàng)”菜單下的“配置符號(hào)”對(duì)話 框，可以對(duì)符號(hào)進(jìn)行設(shè)置。如

14、果你在“配置符號(hào)”對(duì)話框中指定了一個(gè)源文件的路徑， 當(dāng)行號(hào)符號(hào)信息可用并且在你指 定的路徑下存在源文件時(shí)， “堆棧”對(duì)話框中的“來(lái)源”按鈕將對(duì)該幀可用。 點(diǎn)擊“來(lái)源” 按鈕會(huì)打開(kāi)一個(gè)文本查看器，高亮顯示被引用的源代碼行。要查看堆棧跟蹤記錄中關(guān)于映像文件的更多信息， 可以雙擊某個(gè)幀， 或者選擇該幀后點(diǎn)擊 堆棧跟蹤區(qū)下方的“屬性”按鈕。選擇“事件”菜單下的“堆棧”菜單項(xiàng)，可以打開(kāi)事件屬性對(duì)話框并直接顯示“堆棧”頁(yè)。【過(guò)濾和高亮顯示】Process Monitor提供了幾種不同的方法來(lái)配置過(guò)濾器和高亮顯示。包括和排除過(guò)濾器你可以在過(guò)濾器中指定事件屬性， Process Monitor 將只顯示或排除

15、與屬性值相匹配的事件。 所有的過(guò)濾器都是非破壞性的，意思是說(shuō)它們只影響事件在 Process Monitor 中的顯示，而 不影響事件的基礎(chǔ)數(shù)據(jù)。當(dāng)選擇了一個(gè)事件之后， “事件”菜單下的“包括”和“排除”子菜單可以讓你通過(guò)簡(jiǎn)單地 添加一個(gè)事件屬性來(lái)設(shè)置“包括”和“排除”過(guò)濾器。 例如， 想要只顯示由某個(gè)特定名稱的 進(jìn)程執(zhí)行的事件， 就選擇“包括”子菜單下的“進(jìn)程名”。 你還可以選擇多個(gè)事件， 同時(shí)為 這些事件中包含的所有唯一值配置屬性過(guò)濾器。 Process Monitor 把與某個(gè)特定屬性類(lèi)型相 關(guān)的所有過(guò)濾器當(dāng)作“或（OR ”的關(guān)系，把不同屬性類(lèi)型的過(guò)濾器當(dāng)作“與（AND ”的關(guān)系。例如，

16、如果你為 Notepad.exe 和 Cmd.exe 指定了“包括進(jìn)程名”過(guò)濾器，并為 C:Windows 指定了“包括路徑”過(guò)濾器， Process Monitor 將只顯示來(lái)源于 Notepad.exe 或Cmd.exe，并且指定了 C:Windows目錄的事件。第 5 頁(yè) 共 16 頁(yè)在“過(guò)濾器”對(duì)話框中可以使用更復(fù)雜的過(guò)濾選項(xiàng)， 你可以選擇“過(guò)濾器”菜單下的“過(guò)濾 器”菜單項(xiàng)， 或者點(diǎn)擊工具欄上的“過(guò)濾器”按鈕。 一個(gè)過(guò)濾項(xiàng)目包括一個(gè)屬性域 （如認(rèn)證 ID，進(jìn)程名等）、一個(gè)比較操作符、一個(gè)屬性值和一個(gè)“保留”或“排除”的過(guò)濾類(lèi)型。為 了方便， Process Monitor 會(huì)自動(dòng)在下

17、拉列表中列出在已加載的跟蹤數(shù)據(jù)中出現(xiàn)的屬性值， 但是你也可以輸入任意的值。注意：因?yàn)?Process Monitor 在一個(gè)操作完成之前并不知道結(jié)果，涉及到結(jié)果屬性的過(guò)濾 器只能應(yīng)用于已經(jīng)收集到的項(xiàng)目。 在過(guò)濾器被應(yīng)用之后收集的項(xiàng)目將不受結(jié)果屬性過(guò)濾器影 響。過(guò)濾器上下文菜單 如果你在視圖中的一個(gè)項(xiàng)目上單擊鼠標(biāo)右鍵， Process Monitor 會(huì)顯示一個(gè)上下文菜單，讓 你查看項(xiàng)目的屬性或設(shè)置一個(gè)基于項(xiàng)目屬性的過(guò)濾器。 而且， 在菜單中添加了快速過(guò)濾器入 口，可以根據(jù)你的鼠標(biāo)點(diǎn)擊的列的值創(chuàng)建過(guò)濾器。破壞性過(guò)濾默認(rèn)情況下， Process Monitor 的過(guò)濾器應(yīng)用于顯示的數(shù)據(jù)，而不是保存

18、的數(shù)據(jù)。這使你能 夠通過(guò)改變過(guò)濾器來(lái)獲得數(shù)據(jù)的不同視圖， 并且不會(huì)影響到被排除的數(shù)據(jù)。 然而， 你可以通 過(guò)選擇“過(guò)濾器”菜單下的“忽略已過(guò)濾的事件”， 將 Process Monitor 切換到破壞性過(guò)濾 模式，這樣所有被過(guò)濾器排除的數(shù)據(jù)都會(huì)被同時(shí)刪除。包含來(lái)自窗口的進(jìn)程工具欄上有一個(gè)形狀像靶子的按鈕，你可以將它拖放到一個(gè)窗口上，Process Monitor 會(huì)將擁有這個(gè)窗口的進(jìn)程的進(jìn)程 ID 添加到“包括”過(guò)濾器中。基本和高級(jí)模式“選項(xiàng)”菜單中的“啟用高級(jí)輸出”菜單項(xiàng)控制著 Process Monitor 工作在基本模式還是高 級(jí)模式。當(dāng) Process Monitor 工作在基本模式下

19、時(shí)，它配置了內(nèi)置的過(guò)濾器，從視圖中排除 與系統(tǒng)相關(guān)的活動(dòng)，并且使用直觀的名稱來(lái)表示內(nèi)部文件系統(tǒng)操作。例如，在基本模式下，Process Monitor會(huì)把內(nèi)部的IRP_MJ_REA操作顯示為“讀取文件”。基本模式使輸出更易 讀，并省略了通常與排除應(yīng)用程序故障無(wú)關(guān)的事件。保存和加載過(guò)濾器 當(dāng)你配置了一個(gè)過(guò)濾器之后，可以使用“過(guò)濾器”菜單下的“保存過(guò)濾器”將其保存起來(lái)。Process Monitor 把你保存的過(guò)濾器添加到“加載過(guò)濾器”子菜單下以方便訪問(wèn)。打開(kāi)“過(guò) 濾器”菜單下的“組織過(guò)濾器”對(duì)話框， 可以重命名或刪除已保存的過(guò)濾器， 將這些過(guò)濾器 導(dǎo)出到文件中保存，或者從文件中導(dǎo)入之前保存的過(guò)濾

20、器。高亮顯示Process Monitor 高亮顯示過(guò)濾器允許你指定事件屬性，使事件以高亮顏色顯示。“事件” 菜單中的“高亮顯示”子菜單提供了定義高亮顯示過(guò)濾器的快速訪問(wèn)入口， 在“過(guò)濾器”菜 單下的“高亮顯示”菜單項(xiàng)將打開(kāi)“高亮顯示”對(duì)話框，它的操作與包括 / 排除過(guò)濾器對(duì)話 框類(lèi)似。【進(jìn)程樹(shù)】使用“工具”菜單下的“進(jìn)程樹(shù)”菜單項(xiàng)打開(kāi)“進(jìn)程樹(shù)”對(duì)話框， 它以層次形式顯示已加載 的跟蹤數(shù)據(jù)所引用的所有進(jìn)程， 反映出他們的父子關(guān)系。 同一個(gè)父進(jìn)程下的子進(jìn)程按照它們 的啟動(dòng)時(shí)間排序。排列在窗口最左邊的進(jìn)程的父進(jìn)程沒(méi)有在跟蹤記錄中留下任何事件。當(dāng)你在進(jìn)程樹(shù)中選擇了一個(gè)進(jìn)程， 對(duì)話框底部會(huì)顯示出 Pr

21、ocess Monitor 獲取的關(guān)于此進(jìn) 程的一部分?jǐn)?shù)據(jù)，例如它的映像路徑、用戶帳號(hào)、 啟動(dòng)時(shí)間。 如果要查看關(guān)于此進(jìn)程的更多 信息，你可以點(diǎn)擊“轉(zhuǎn)到事件”按鈕，這將使 Process Monitor 選擇并定位到由該進(jìn)程執(zhí)行 的第一個(gè)可見(jiàn)項(xiàng)目。 注意， 通過(guò)使用過(guò)濾器從視圖中排除指定進(jìn)程的所有事件， 可以阻止這 個(gè)操作的完成。【跟蹤摘要工具】Process Monitor 包含了一系列的對(duì)話框， 讓你在跟蹤收集的事件中進(jìn)行簡(jiǎn)單的數(shù)據(jù)挖掘。唯一值使用“工具”菜單下相應(yīng)的菜單項(xiàng)打開(kāi)“唯一值”對(duì)話框， 可以讓你看到跟蹤記錄中的事件 的不同屬性的唯一值。 例如， 如果你想快速查看在跟蹤記錄中引用的

22、所有路徑，在下拉列表 中選擇“路徑”。在顯示的值上雙擊， 或者點(diǎn)擊“過(guò)濾器”按鈕， 可以將當(dāng)前選擇的值添加到“包括”過(guò)濾 器。統(tǒng)計(jì)出現(xiàn)次數(shù)在“工具”菜單下打開(kāi)“出現(xiàn)次數(shù)”對(duì)話框， 它顯示你指定的屬性類(lèi)型在跟蹤記錄中可見(jiàn)的 唯一值，連同在跟蹤記錄中包含這個(gè)值的事件出現(xiàn)的次數(shù)。進(jìn)程活動(dòng)摘要這個(gè)對(duì)話框概括了在跟蹤數(shù)據(jù)中可見(jiàn)的進(jìn)程，包括它們的進(jìn)程ID 、映像文件名和命令行等信息。文件摘要“文件摘要”對(duì)話框列出了過(guò)濾后的跟蹤記錄中每一個(gè)唯一的文件系統(tǒng)路徑， 對(duì)該文件執(zhí)行 I/O 操作所花費(fèi)的時(shí)間，引用這個(gè)路徑的事件總數(shù)，并分別計(jì)算不同類(lèi)型的操作的數(shù)量。注冊(cè)表摘要“注冊(cè)表摘要”對(duì)話框列出了過(guò)濾后的跟蹤記錄

23、中每一個(gè)唯一的注冊(cè)表路徑， 對(duì)該注冊(cè)表路 徑執(zhí)行 I/O 操作所花費(fèi)的時(shí)間， 引用這個(gè)路徑的事件總數(shù)， 并分別計(jì)算不同類(lèi)型的操作的數(shù) 量。堆棧摘要使用“堆棧摘要”對(duì)話框查看每個(gè)進(jìn)程的堆棧跟蹤記錄的實(shí)例， 包括堆棧跟蹤發(fā)生的次數(shù)和 同一個(gè)跟蹤記錄中的事件花費(fèi)的總時(shí)間。【選項(xiàng)】“選項(xiàng)”菜單中的一些設(shè)置可改變Process Monitor 的行為。啟用高級(jí)輸出 這個(gè)選項(xiàng)控制內(nèi)置的高級(jí)操作過(guò)濾器，在“過(guò)濾和高亮顯示”一節(jié)中已經(jīng)描述過(guò)了。字體 這個(gè)選項(xiàng)打開(kāi)字體選擇對(duì)話框，你可以選擇 Process Monitor 用來(lái)顯示的字體。第9 頁(yè)共16 頁(yè)高亮顏色這個(gè)菜單項(xiàng)打開(kāi)一個(gè)對(duì)話框，可以選擇文字和背景的顏

24、色， Process Monitor 用它們來(lái)顯示 與高亮顯示過(guò)濾器相匹配的項(xiàng)目。配置符號(hào)如果符號(hào)信息可用的話， Process Monitor 能夠用它來(lái)顯示事件堆棧所引用的函數(shù)名稱。你 可以在 Microsoft Debugging Tools for Windows 網(wǎng)站上找到關(guān)于配置符號(hào)的信息。歷史記錄深度Process Monitor 監(jiān)視著已提交的內(nèi)存使用，當(dāng)虛擬內(nèi)存過(guò)低時(shí)它會(huì)將自身關(guān)閉。但是“歷 史記錄深度”對(duì)話框可以讓你限制它保留的項(xiàng)目數(shù)量， 所以你能讓 Process Monitor 長(zhǎng)期運(yùn) 行并保證它保留了最新的事件。【保存和日志】文件格式 你可以使用“文件”菜單中的“保存

25、”菜單項(xiàng)， 將 Process Monitor 的數(shù)據(jù)保存為原生格式(PML、逗號(hào)分隔的值(CSV，或者XML格式。PML格式保存了捕獲到的所有數(shù)據(jù)，所以你可以把它重新加載進(jìn)同一個(gè)系統(tǒng)或不同系統(tǒng)中的Process Monitor 。CSV文件可用于導(dǎo)入到Excel或其他數(shù)據(jù)分析應(yīng)用程序。最后， XML格式的數(shù)據(jù)可以被操作 XML的工具所解析。日志缺省情況下， Process Monitor 使用虛擬內(nèi)存來(lái)儲(chǔ)存捕獲到的數(shù)據(jù)。使用“文件”菜單下的 “后備文件”對(duì)話框，可以配置 Process Monitor 將捕獲的數(shù)據(jù)儲(chǔ)存在磁盤(pán)上的文件中。啟 用這個(gè)選項(xiàng)后，Process Monitor會(huì)在捕獲

26、數(shù)據(jù)的同時(shí)以原生的PML格式將日志數(shù)據(jù)保存到磁盤(pán)上。“后備文件”對(duì)話框還會(huì)顯示診斷信息， 包括已捕獲的事件數(shù)量、 進(jìn)程數(shù)量等信息和捕獲 線程的加載狀態(tài)。【引導(dǎo)日志】Process Monitor 能夠在啟動(dòng)設(shè)備驅(qū)動(dòng)程序初始化時(shí)，從引導(dǎo)進(jìn)程中很早的一個(gè)時(shí)刻開(kāi)始記錄活動(dòng)。選擇“選項(xiàng)”菜單下的“啟用引導(dǎo)日志”，可以配置 Process Monitor 在下次系 統(tǒng)引導(dǎo)時(shí)記錄日志。 Process Monitor 的驅(qū)動(dòng)程序?qū)?huì)在下次系統(tǒng)引導(dǎo)時(shí)將活動(dòng)日志記錄 到如"dir%目錄下，并繼續(xù)記錄日志，直到關(guān)機(jī)或者你再次運(yùn)行Process Mo nitor 。因此，如果你在啟動(dòng)期間不運(yùn)行 Proc

27、ess Monitor ，你將捕獲到從開(kāi)機(jī)到關(guān)機(jī)的整個(gè)周期的跟蹤記 錄。當(dāng)你運(yùn)行 Process Monitor 時(shí)，它查看之前是否生成了一個(gè)引導(dǎo)日志，如果是的話，會(huì)詢 問(wèn)你想要把處理過(guò)的引導(dǎo)日志輸出文件放在哪里。當(dāng)轉(zhuǎn)換完成后，Process Monitor 將顯示跟蹤記錄。 如果要查看引導(dǎo)過(guò)程早期的唯一進(jìn)程 System 進(jìn)程的活動(dòng)， 需要在“過(guò)濾器” 菜單中選擇“啟用高級(jí)輸出”。如果你設(shè)置了啟用引導(dǎo)日志，而系統(tǒng)在引導(dǎo)過(guò)程的初期崩潰了，你可以通過(guò)在Windows啟動(dòng)菜單（在引導(dǎo)過(guò)程中按F8鍵）中選擇“最近一次的正確配置”來(lái)取消引導(dǎo)日志。【命令行選項(xiàng)】Process Monitor 支持一些命

28、令行選項(xiàng)：/Openlog < 保存的PML日志文件>讓 Process Monitor 直接打開(kāi)并加載指定的日志文件。/Backingfile < 日志文件名 >讓 Process Monitor 創(chuàng)建并使用指定的文件名作為日志文件。/Pagingfile 將事件保存到虛擬內(nèi)存中。/Noconnect 當(dāng)此標(biāo)記存在時(shí)， Process Monitor 不會(huì)自動(dòng)開(kāi)始記錄活動(dòng)。/Nofilter啟動(dòng)時(shí)清除過(guò)濾器。/AcceptEula自動(dòng)接受并跳過(guò)最終用戶許可協(xié)議（EULA對(duì)話框。/Profiling啟用線程剖析事件類(lèi)。/Minimized啟動(dòng) Process Monit

29、or 時(shí)最小化窗口到任務(wù)欄。/WaitForIdle等待 Process Monitor 實(shí)例準(zhǔn)備完畢。/Terminate終止 Process Monitor 的所有實(shí)例并退出。/Quiet在啟動(dòng)時(shí)不確認(rèn)過(guò)濾器設(shè)置。/Run32使用這個(gè)開(kāi)關(guān)在 64位的 Windows上運(yùn)行32位版本的Process Monitor，用來(lái)打開(kāi)在 32位系統(tǒng)上創(chuàng)建的日志。/HookRegistry這個(gè)開(kāi)關(guān)只在 32 位的 Vista 和 Server 2008 上有效，它讓 Process Monitor 使用系統(tǒng)調(diào)用鉤子代替注冊(cè)表回調(diào)機(jī)制，來(lái)監(jiān)視注冊(cè)表的活動(dòng)。這使它能夠在這些操作系統(tǒng)上看到SoftGrid 虛

30、擬注冊(cè)表操作。這個(gè)選項(xiàng)必須在 Process Monitor 在系統(tǒng)中第一次運(yùn)行時(shí)使用，并且僅用于SoftGrid 應(yīng)用程序的故障排除。【編寫(xiě) Process Monitor 腳本】你可以在批處理文件中使用 Process Monitor 命令行選項(xiàng)。例如要跟蹤捕獲notepad.exe的執(zhí)行過(guò)程，批處理文件應(yīng)該像下面這樣寫(xiě)（譯者注：可以將此腳本保存成.cmd 或 .bat 文件）第 11 頁(yè) 共 16 頁(yè)set PM=C:sys in t'procm on. exestart %PM% /quiet /mi ni mized /back in gfile C:tempnotepad.

31、pml%PM% /waitforidleno tepad.exe%PM% /termi nate對(duì)Process Monitor的第一次調(diào)用使用了start以確保進(jìn)程脫離控制臺(tái)窗口，這使它能夠與后面的命令并行運(yùn)行。第二次調(diào)用帶有/WaitForldle ，可以使批處理文件暫停執(zhí)行，直到第 一個(gè)實(shí)例啟動(dòng)完畢并開(kāi)始捕獲事件。最后一次調(diào)用帶有/Terminate，讓第一個(gè)實(shí)例停止捕獲， 提交所有未保存的數(shù)據(jù)到后備文件并干凈退出。 分隔線好了，看完了上面的幫助文檔，是不是對(duì)它的功能基本有了一些了解？下面我再以 wbpluto漢化版為例，介紹一下在Process Monitor 的使用中需要注意的一些問(wèn)

32、題。當(dāng)你下載了 Process Monitor之后，把下載的壓縮包解開(kāi)，無(wú)需安裝直接運(yùn)行 Procmon.exe 即可。當(dāng)程序第一次啟動(dòng)時(shí)，會(huì)顯示一個(gè)用戶許可協(xié)議窗口，點(diǎn)擊“同意”按鈕， 以后它就不會(huì)再出現(xiàn)了。由于軟件原版是英文的， 其默認(rèn)設(shè)置的字體對(duì)中文來(lái)說(shuō)比較小，我們首先在“選項(xiàng)”菜單下的“字體”對(duì)話框中，將顯示的字體改為“宋體”，字號(hào)“小五”，這樣就看得比較清晰-Jal x|了。Process Monitor - Sysinternals: wwwrsysinternalsj文件（日編輯（或爭(zhēng)件加過(guò)濾器0工具選項(xiàng)&"幫助但）保幷在頂部（U序號(hào)時(shí)聞430:00 .490:

33、00 .50口 0031040520:00 .539:00 .54 ：g .550血5S0:00.600:00.610:00.,E20 oo .朋HF1D1期£ex eeseeX &ex E109210321092102109210921092102109210921092高殼顯示顫色冏二配置符號(hào).選揮列歷史記錄探痕fa） 咅g析爭(zhēng)件住）啟用引導(dǎo)日志注冊(cè)惡二 M 由I 怕Hii.M'ErirE'：TYFcljc7:nrSoiicrs. ：TYPolicy'Si ：TYFolicrS. ：TYFol icyVSi ：TV>BlicASi :TYPo

34、liC7S- mpoiicr ：TYFolicy :TYPolicyS. TYPolicyS-1092 海蜩壷關(guān)閉項(xiàng)BXLM$ECVELITYlMlibl$10 趨冊(cè)表-tT開(kāi)/HKLMKSECWTY Fol i crS.第13頁(yè)共16頁(yè)已艶示106牛事件供石彌個(gè)X沁）|逋過(guò)貝面文件備份程序啟動(dòng)之后就會(huì)自動(dòng)開(kāi)始捕獲事件，接下來(lái)的具體操作參考上面的幫助文檔就可以了。沖ISOZTA1£»» 233M ?3W?jw J咖 跆樸 爐00 ?H01 ;?J4tldMOSfl4« nwi nvo 23411OW ® 00 a> »：G 00

35、 a-»- o DO n w 0 00 080 00 0- 0003 0 G0- a w 0.00-0皿 ft »& tn0 DO HEB 00 a. do. a QO 0.00. D: DO.A 00二芷.靜 "T¥«k* ll 4K =T "IVCh*ll O nrciwiil «k 二甸ehMt « xmhriltll *7 rwkot «x iE二 FVh呵 *T 二sV'chvE e 二 jvchy «3T i的宀<x """

36、1; " SY<L3it! +£ i kfewl «TVJwst 卯= 3tn.V5*1r -tJf #* TFfirafl"! 和 尊 jtn.vi-e« 4-x*ix?i*3 <«畳Hr KJ1TI«V 4鼻XJ1 3-Bte *x« e M祐” *JL«L0”92 V吊 XA¥I«B tut-XJIVI «> -IJC.4SJ+11 ZMKEJI1S 23116 Z： 117n& M 加囹niHHF理TW的磁旬幵環(huán) 】誡咗冊(cè)樸打幷斥 門(mén)曲證爺豐

37、-掃開(kāi)環(huán) ?«咗養(yǎng)？（-査喟說(shuō) 門(mén)聲 rl«-jtcflis 11*注爭(zhēng)農(nóng)-打幵W 1TW imF-HffiS 2違圖農(nóng)町開(kāi)W 12迂期我-打開(kāi)用 】“ rfF打啊 葉汪珊山型 1T分逵鳥(niǎo)匚齊間If1TW莊佩*置間理 1?M頤晨-花聞理 曲 rTiflF Hfflf 毎茅長(zhǎng)-*凋詛 汝*迄引施丟屈* ；工用砰-打幵JI 如応用孰誰(shuí)詢曜 246< :如注引書(shū)說(shuō)羽 2M<述咽言，7J幵理 昂M石明表打殲JS 沁注爭(zhēng)羸査誨理 jti/kh 卡*-T W H*-, <C：I *?IQ- 3J-LL：7mCTCLSIB ',汁克 I AS10- KMClet

38、$Hl Wit LAJtt>-339l-l t n KH71iC15IIJ> HHlADlO-SMVIlteM9C«gID啊ktlMLM溥1T t 淞 SOXUKLEIJ ：CEL mto- 3料1 -1L iS NWO£W-1 i Km 和：LS It 491 It" WM-ltW KHlLSIDVIKHMli '. LSJD訂啊CIO- JSI-ttK mCTCLS3DXMlMl9-33«J-l!K SarjCLS in w W L UlO- iJ91-ILK WICIKtntX 忖 Dtllf * 曠糊 IltR aumo HHlAStO-3tMl -11» ?OISXrLSIi«EL*=ilO-139!-l l：v flu曲7inS»f lr*lCl *i“Ml* 址111 l <r y flttuiM】 曲JIXS5EAH 訕 t <r 硼弭 tgtia