Process Monitor是一個高級的Windows監(jiān)視工具,不但可以監(jiān)視進(jìn)程/線程,還可以關(guān)注到文件系統(tǒng),注冊表的變化.它包含2個Sysinternals遺留組件:Filemon 和 Regmon,并添加了大量功能,有興趣的可以去再關(guān)注一下.  

【軟件介紹】

Process Monitor一款系統(tǒng)進(jìn)程監(jiān)視軟件，總體來說，Process Monitor相當(dāng)于Filemon+Regmon，其中的Filemon專門用來監(jiān)視系統(tǒng) 中的任何文件操作過程，而Regmon用來監(jiān)視注冊表的讀寫操作過程。 有了Process Monitor，使用者就可以對系統(tǒng)中的任何文件和 注冊表操作同時進(jìn)行監(jiān)視和記錄，通過注冊表和文件讀寫的變化， 對于幫助診斷系統(tǒng)故障或是發(fā)現(xiàn)惡意軟件、病毒或木馬來說，非常 有用。 這是一個高級的 Windows 系統(tǒng)和應(yīng)用程序監(jiān)視工具，由優(yōu)秀的 Sysinternals 開發(fā)，并且目前已并入微軟旗下，可靠性自不用說。

【軟件功能】

1、監(jiān)視進(jìn)程和線程的啟動和退出，包括退出狀態(tài)代碼;
2、監(jiān)視映像 (DLL 和內(nèi)核模式驅(qū)動程序) 加載;
3、捕獲更多輸入輸出參數(shù)操作;
4、非破壞性的過濾器允許你自行定義而不會丟失任何捕獲的數(shù)據(jù);
5、捕獲每一個線程操作的堆棧，使得可以在許多情況下識別一個操作的根源;
6、可靠捕獲進(jìn)程詳細(xì)信息，包括映像路徑、命令行、完整性、用戶和會話ID等等;
7、完全可以自定義任何事件的屬性列;
8、過濾器可以設(shè)置為任何數(shù)據(jù)條件，包括未在當(dāng)前視圖中顯示的條件;
9、高級的日志機(jī)制，可記錄上千萬的事件，數(shù)GB的日志數(shù)據(jù);
10、進(jìn)程樹工具顯示所有進(jìn)程的關(guān)系;
11、原生的日志格式，可將所有數(shù)據(jù)信息保存，讓另一個 Process Monitor 實例加載;

【軟件特色】

捕獲操作的輸入和輸出參數(shù)的更多數(shù)據(jù)
非破壞性過濾器，允許您設(shè)置過濾器而不會丟失數(shù)據(jù)
捕獲每個操作的線程堆棧，在許多情況下它可以找出一個操作的根源
可靠捕獲進(jìn)程的詳細(xì)信息，包括映像路徑、命令行、用戶和會話 ID
任何事件屬性的可配置和可移動列
可將過濾器設(shè)置為任何數(shù)據(jù)字段，包括未配置為列的字段
高級日志記錄架構(gòu)，擴(kuò)展到數(shù)以百萬計的捕獲事件和千兆字節(jié)的日志數(shù)據(jù)
進(jìn)程樹工具顯示在跟蹤中引用的所有進(jìn)程的關(guān)系
本機(jī)日志格式保存，在不同的 Process Monitor 實例中加載的所有數(shù)據(jù)
進(jìn)程工具提示，方便查看進(jìn)程映像信息
詳細(xì)信息工具提示，允許方便地訪問不適合的列數(shù)據(jù)格式
可取消搜索
所有操作的啟動時間日志

【使用教程】

安裝

1、從本網(wǎng)站下載Process Monitor軟件包，將壓縮包直接解壓。
注：解壓壓縮包需要使用壓縮解壓工具，推薦使用WinRAR，技術(shù)成熟可靠。WinRAR下載地址：http://www.onlinedown.net/soft/5.htm



2、打開解壓得到的文件夾，使用鼠標(biāo)左鍵雙擊打開其中的應(yīng)用程序文件。



3、打開Process Monitor的軟件相關(guān)許可協(xié)議，如無異議的話，則點擊下方的“Agree”按鈕表示同意協(xié)議。



4、這樣就能直接打開Process Monitor軟件了，無需安裝。



基本操作

可能有這樣的一些情況，我們在企業(yè)中部署了某一些軟件，然后要對軟件標(biāo)準(zhǔn)化，包括UI，功能設(shè)置等等的標(biāo)準(zhǔn)化。我相信管理員應(yīng)該不會愿意一臺機(jī)器一臺機(jī)器去設(shè)置，設(shè)上幾百遍。這時候我們可能想到使用組策略來做，有一些軟件會提供一些ADM或是ADMX文件，比如微軟的office，有了這些文件，倒是輕松了。但并不是所有的軟件都會提供這些，管理員可能需要自己去制作這樣的一些ADM或是ADMX文件，而這項工作的第一步，或許就是從將軟件UI設(shè)置找到對應(yīng)的注冊表開始。這里我們就拿calc計算器程序來試下手吧，讓他啟動時默認(rèn)啟用科學(xué)型，



而不是標(biāo)準(zhǔn)型



1、啟動Process Monitor，選擇Fiter菜單中的Fiter



2、打開以后，添加process is calc.exe



3、同時添加operation is RegSetValue



4、完成以上操作后，我們再去打開calc.exe，并將標(biāo)準(zhǔn)型切換成科學(xué)型，便可以從process monitor中看到相應(yīng)注冊表項了，選擇jump to便可打開到相應(yīng)的注冊表項



而對于另外的一個文件操作的例子，我們經(jīng)?？梢栽谡搲锌吹接腥颂釂栒f文件經(jīng)常是默名其妙的被修改了，或是被隱藏了。像類似這樣的問題，我們關(guān)鍵的是要找出到底是哪個程序在做怪，一般可以啟用審核功能解決，這里我們也可以使用Process Monitor來解決
1、同樣啟動Process monitor，打開filter，設(shè)置path值為文件夾的路徑



2、做為測試，我們將test文件夾隱藏，便可以在Process Monitor中看到explorer.exe這個進(jìn)程對文件夾做了修改



Process Monitor 查找病毒

１，開超級用戶，雙擊打開程序，把用戶許可允許了，否則開機(jī)的時候會要求許可。為了讓程序盡快的啟動，建議將程序添加到注冊表userinit 項中。



2，設(shè)置程序右上四個監(jiān)視都打開，分別是注冊表，文件，網(wǎng)絡(luò)，進(jìn)程線程。程序啟動后就會監(jiān)視系統(tǒng)絕大部份操作了。簡單說一下，操作中 readfile 表示讀取文件，WriteFile表示寫入文件。



點擊工具欄如下圖標(biāo)，可以查看進(jìn)程樹，可以很清楚看到歷史上哪些進(jìn)程屬于哪個父進(jìn)程。注意這里是歷史記錄也就是他消失了也能看到。所以還是有很有用。這里顯示 我們的dbntcli.exe啟動了自身并啟動c_deskico.aex來處理桌面圖標(biāo)擺放，并導(dǎo)入了一些用戶的注冊表。還啟動了 smss.exe 這個深藍(lán)防逃費程序。



3，這里可以看我們的程序 DBNTclie.exe 給ser200這臺機(jī)子的 tcp端口 21983發(fā)送了消息，并接收了消息。tcp send(TCP發(fā)送) ， TCP Receive (TCP接收)，并寫入文件(Writefile) kdsm.exe 這個文件（從服務(wù)器ser200下載的）



4,因為消息太多，我們無法一一看完，所以我們選擇過濾圖標(biāo)，打開過濾窗口，汪厙 WriteFile 也就是只看寫入文件的日志。



5，這下就只有寫入文件的日志，一目了然。



6，可以看到explorer.exe 寫了 tldrdll.bat 文件，但我們并沒有操作，難道explorer.exe中毒了。



7，找到資源管理，雙擊process tab，有一個不明的dll注入 PKWSSNGT.dll
8，這個文件是哪的呢？返回主界面搜索，就可以找到是哪個程序釋放的了，一些特殊原因，這里就不繼續(xù)展開了。這下，基本的操作都會了吧？

【常見問題】

process monitor怎么監(jiān)視注冊表修改與否？
1、點擊Process Monitor頂部工具欄中的“Filter”按鈕，在打開的下拉菜單中選中“Filter…”一欄。



2、之后將列表中已有的項目通過點擊右上方“Remove”按鈕的方式依次去除。



3、然后將上方左側(cè)的選擇框修改為“Process Name”，右側(cè)選擇框修改為“Include”，再在中間的選擇框中選擇需要監(jiān)控的程序名。







4、選擇好后，點擊上方的“Add”按鈕將此監(jiān)控添加金列表中，并點擊“OK”。



5、之后會進(jìn)入Process Monitor的準(zhǔn)備時間，這個過程大約需要5分鐘。



6、當(dāng)進(jìn)度條完成后，就會開始執(zhí)行監(jiān)控項了，如果有修改的話，此處會一目了然，快來試試吧。



怎么監(jiān)控？
1、在安裝過程開始后，打開Process Monitor；2、單擊工具欄的Filter圖標(biāo)，在彈出的Process Moniter Filter窗口中，先把列表中內(nèi)容Remove；3、在選擇Process Name is 你的安裝程序的進(jìn)程名，勾選 Includ，單擊Add后，在下面的列表框看到綠色勾圖標(biāo)就表示添加成功了，單擊OK按鈕；4、這個時候就會在Monitor的主窗口顯示監(jiān)控的信息，可以通過工具欄的 Register來只顯示注冊表信息；5、執(zhí)行安裝過程，注冊表的修改信息就會被記錄下來。備注：記得要點亮工具欄的Capture按鈕哦，不如不會捕捉（叉叉表示停止捕捉）

【軟件對比】

Process Monitor和360任務(wù)管理器是兩款在電腦上用于進(jìn)程監(jiān)控的工具，能夠?qū)㈦娔X中的每一個進(jìn)程都呈現(xiàn)在用戶面前，那么這兩款軟件有什么區(qū)別呢？
Process Monitor是一款專用于進(jìn)程監(jiān)控的便捷工具，與Windows系統(tǒng)自帶的任務(wù)管理器類似，但功能更加強(qiáng)大，能夠自行選擇需要監(jiān)控的模塊，更加符合用戶需要。Process Monitor目前沒有官方漢化版本，國內(nèi)用戶使用起來會有一些不便。
360任務(wù)管理器是360安全衛(wèi)士中自帶的附加功能之一，同樣與系統(tǒng)自帶的任務(wù)管理器功能相似，但是展現(xiàn)出的內(nèi)容更加直觀，不管用戶處于何種水平，都能輕松地了解電腦目前的基本情況。不過360任務(wù)管理器沒有獨立的運(yùn)行程序，需要依托于360安全衛(wèi)士才能正常更新、使用。
綜上所述，兩款軟件各有優(yōu)缺點，用戶們可以根據(jù)使用需要來選擇一款下載。

【更新日志】

Process Monitor 現(xiàn)在包括一個/運(yùn)行時開關(guān)用于控制無頭捕獲的持續(xù)時間, 正確顯示 PICO 進(jìn)程, 顯示 Windows 10 中引入的文件系統(tǒng) API 的詳細(xì)信息，并包括許多小改進(jìn)和錯誤修復(fù)。