Софт-Архив

Procmonitor

Рейтинг: 4.0/5.0 (1147 проголосовавших)

Категория: Windows: Мониторинг

Описание

Process Monitor от Русская версия

RSLOAD.NET - скачай все бесплатно

Представленная программа является довольно неплохой и усовершенствованной разработкой отслеживания для операционной системы Windows. После запуска вы сможете в режиме реального времени просматривать довольно много полезной информации, например активность вашей файловой системы, также это относится к системному реестру, можно просматривать запущенные процессы и потоки, скачать Microsoft Process Monitor вы сможете с нашего проекта в полной новости.

Данная разработка сочетает в себе все возможности двух ранее приложений от создателей Sysinternal, а именно речь идет про Filemon и Regmon. Были добавлены и некоторые новые фишки, например стоит отметить достаточно расширенную и продуманную фильтрацию, можно просматривать довольно обширные данные событий, можно не только просматривать ID сессий, но и имена пользователей. Microsoft Process Monitor покажет также достоверную информацию о всех процессах, имеется и обширный стек потока которые имеет встроенную поддержку всех проводимых операций, присутствует и одновременная запись информации в файлы и большое количество прочих плюсов. Таким образом, по словам разработчиков, данный продукт можно назвать ключевым для устранения разного рода неполадок и избавления пользователей от вредоносных программ.

Microsoft Process Monitor не требует установки, весит крайне мало, не нагружает систему, может запускаться с любого носителя, имеется и простой пользовательский интерфейс, все предельно ясно и понятно сразу после начала работы. Русской поддержки нет, но надеюсь проблем не возникнет у вас с этим делом, по сути там разбираться не в чем. В общем если будут какие-то вопросы, дополнения, может минусы какие-то известны, не забываем по этому делу отписываться в комментариях. Мне остается надеяться, что Microsoft Process Monitor пригодится вам в работе и теперь работать с процессами станет проще.

Забыл дописать, что программа прекрасно работает с Windows 2000 SP4, поддержка Windows XP тоже имеется, а еще Windows Server 2003, Vista и 7, x64 поддержка тоже присутствует, в общем думаю запуститься у всех. Теперь точно все, обзор можно считать завершенным, всем приятного дня.

Procmonitor:

  • скачать
  • скачать
  • Другие статьи, обзоры программ, новости

    Process Monitor Ru

    Process Monitor 3.10 [Ru/En]

    Process Monitor 3.10 Версия программы: 3.10

    Официальный сайт: ссылка

    Язык интерфейса: Русский, Английский

    Лечение: не требуется

    Системные требования:
    • Windows 2000 / XP / Vista / 7 / 8
    Описание:

    Программа Process Monitor является усовершенствованным инструментом отслеживания для Windows, который в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков. В этой программе сочетаются возможности двух ранее выпущенных программ от Sysinternals: Filemon и Regmon, а также огромный ряд улучшений, включая расширенную и безвредную фильтрацию, всеобъемлющие свойства событий, такие как ID сессий и имена пользователей, достоверную информацию о процессах, полноценный стек потока со встроенной поддержкой всех операций, одновременную запись информации в файл и многие другие возможности. Эти уникальные возможности делают программу Process Monitor ключевым инструментом для устранения неполадок и избавления от вредоносных программ.

  • отслеживание запуска и завершения работы процессов и потоков, включая информацию о коде завершения;

  • отслеживание загрузки образов (библиотек DLL и драйверов устройств, работающих в режиме ядра);

  • больше собираемых данных об параметрах операций ввода и вывода;

  • безвредные фильтры позволяют устанавливать фильтры, которые не будут приводить к потере данных;

  • сбор стеков потоков для каждой операции позволяет в большинстве случаев определить исходную причину выполнения операции;

  • достоверный сбор информации о процессах, включая путь к образу процесса, командную строку, а также ID пользователя и сессии;

  • настраиваемые и перемещаемые колонки для каждого свойства события;

  • фильтры можно установить на любое поле с данными, включая поля, которые не являются колонками;

  • усовершенствованная архитектура записи журналов расширяет возможности программы до десятков миллионов зарегистрированных событий и гигабайтов записанных данных о событиях;

  • дерево процессов отображает отношения между всеми процессами, перечисленными в сведениях трассировки;

  • основной формат журнала сохраняет все данные, чтобы их можно было загрузить в другом экземпляре программы Process Monitor;

  • подсказки к процессам для простого просмотра информации об образе процесса;

  • детальные подсказки позволяют получить удобный доступ к форматированным данным, которые не помещаются в колонке;

  • прекращаемый поиск;

  • запись в журнал всех операций во время загрузки системы.

      This release adds registry create file disposition (create vs open) and a new switch, /saveapplyfilter, which has Process Monitor apply the current filter to the output file as it saves it.
  • Скачать Process Monitor для Windows

    Process Monitor для Windows

    Обновилась программа Process Monitor, которая объединяет в себе возможности известных утилит Filemon и Regmon, которые ранее выпускались компанией Sysinternals. Напомним, что эта компания была приобретена корпорацией Microsoft.

    Программа Process Monitor наблюдает за работой системы и умеет отображать все происходящие процессы в реальном времени. С помощью данной программы можно увидеть, как работает Windows, как приложения используют файлы и DLL’и, устранить ошибки в системных файлах.

    Также эта программа может показывать все изменения, происходящие с файлами и сообщать об их удалении или открытии. В программе Process Monitor предусмотренны инструменты для слежения за состоянием реестра системы. Она покажет Вам, какие приложения в данный момент обращаются к реестру и, в частности, к каким именно ключам, какие данные они читают или пытаются записать. Особенность данной программы в том, что она не только отлавливает значения и ключи, которые были изменены, но и наглядно показывает, какие именно изменения были внесены.

    В данной версии добавлена поддержка файлов логов загрузки большого размера, улучшено преобразование номеров версий в текст.

    Process Monitor - скачать бесплатно Process Monitor

    Process Monitor 3.20

    Process Monitor - инструмент отслеживания для Windows. В режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков. включая расширенную и безвредную фильтрацию, всеобъемлющие свойства событий, такие как ID сессий и имена пользователей, достоверную информацию о процессах, полноценный стек потока со встроенной поддержкой всех операций, одновременный запись информации в файл и многие другие возможности. Эти уникальные возможности делают Process Monitor ключевым инструментом для устранения неполадок и избавления от вредоносных программ.

    Особенности Process Monitor :

    • отслеживание запуска и завершения работы процессов и потоков, включая информацию о коде завершения;
    • отслеживание загрузки образов (библиотек DLL и драйверов устройств, работающих в режиме ядра);
    • больше собираемых данных об параметрах операций ввода и вывода;
    • безвредные фильтры, которые можно установить на любое поле с данными, позволяют устанавливать фильтры, которые не будут приводить к потере данных;
    • сбор стеков потоков для каждой операции позволяет в большинстве случаев определить исходную причину выполнения операции;
    • достоверный сбор информации о процессах, включая путь к образу процесса, командную строку, а также ID пользователя и сессии;
    • усовершенствованная архитектура записи журналов расширяет возможности программы до десятков миллионов зарегистрированных событий и гигабайтов записанных данных о событиях;
    • дерево процессов отображает отношения между всеми процессами, перечисленными в сведениях трассировки;
    • детальные подсказки позволяют получить удобный доступ к форматированным данным, которые не помещаются в колонке;
    • прекращаемый поиск;
    • запись в журнал всех операций во время загрузки системы.
    Отзывы о Process Monitor 3.20

    The Bat! Home

    Ashampoo WinOptimizer

    Mozilla Firefox

    CheMax Rus

    Virtual DJ

    Pidgin (Gaim)

    Process Explorer

    Русская Рыбалка

    Process Monitor скачать бесплатно

    Process Monitor 3.04

    Process Monitor - бесплатная программа для мониторинга файловой системы Windows, системного реестра и процессов в оперативной памяти, которая объединяет возможности трех программ: Filemon (мониторинг файловой системы), Regmon (мониторинг реестра) и Process Explorer (мониторинг процессов). Программа в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков, включая расширенную и безвредную фильтрацию, подробные свойства событий, такие как ID сессий и имена пользователей, достоверную информацию о процессах, полноценный стек потока со встроенной поддержкой всех операций, одновременную запись информации в файл и ряд других возможностей. Благодаря уникальным возможностям программа Process Monitor будет вам служить ключевым инструментом для удаления вредоносных программ и устранения неполадок в системе.

    - Отслеживание запуска и завершения работы процессов и потоков, включая информацию о коде завершения

    - Отслеживание загрузки образов (библиотек DLL и драйверов устройств, работающих в режиме ядра)

    - Больше собираемых данных об параметрах операций ввода и вывода

    - Безвредные фильтры позволяют устанавливать фильтры, которые не будут приводить к потере данных

    - Сбор стеков потоков для каждой операции позволяет в большинстве случаев определить исходную причину выполнения операции

    - Достоверный сбор информации о процессах, включая путь к образу процесса, командную строку, а также ID пользователя и сессии

    - Настраиваемые и перемещаемые колонки для каждого свойства события

    - Фильтры можно установить на любое поле с данными, включая поля, которые не являются колонками

    - Усовершенствованная архитектура записи журналов расширяет возможности программы до десятков миллионов зарегистрированных событий и гигабайтов записанных данных о событиях

    - Дерево процессов отображает отношения между всеми процессами, перечисленными в сведениях трассировки

    - Подсказки к процессам для простого просмотра информации об образе процесса

    - Детальные подсказки позволяют получить удобный доступ к форматированным данным, которые не помещаются в колонке

    - Запись в журнал всех операций во время загрузки системы

    Программа работает без установки в систему.

    Платформа: Windows® 2000/XP/2003/Vista/7

    Интерфейс: multi/русский

    Лицензия: free/свободно

    Process Monitor скачать бесплатно - Программа Process Monitor для Windows 7

    Process Monitor - бесплатная программа, которая отображает все процессы, в режиме реального времени, происходящие в ОС Windows. Данная утилита предоставляет информацию о всех запущенных программах, драйверах, куда удаляются/перемещаются файлы, какие программы подключаются к сети Интернет и для каких целей, и многое другое. Предлагаем с нашего сайта утилиту Process Monitor скачать бесплатно, без регистрации и отправки sms.

    Для просмотра процессов, происходящих в системе, многие использую диспетчер задач, но он отображает не все процессы и предоставляет минимум данных. Чтобы быть в курсе всей работы ОС, вам отлично подойдет программа Process Monitor версии 3.10, которая выполняет мониторинг всех процессов/файловой системы/работы реестра и т.д.

    Чаще всего, утилиту используют для поиска/отслеживания неполадок в системе, которые другие программы обнаружить не могут.

    Помимо этого, Process Monitor способен удалять вредоносное ПО, с которым анитвирусники не справляются, а также отслеживать/предотвращать появление странных файлов на своем ПК.

    Подходит Process Monitor Windows 7, ХР и Vista, который отслеживает запуск/завершение всех процессов, предоставляет путь к образу процесса/дерево процессов/ID сессии, ведет журнал всех операций, способен фиксировать до 10 миллионов событий, предоставляет подсказки во время работы и др.

    Чтобы воспользоваться этой программой, достаточно скачать Process Monitor бесплатно с данной страницы сайта, установить и приступать к работе. Все достаточно просто и не требует особых знаний.

    Для работы с PDF файлами, используйте утилиту Adobe Acrobat Reader DC. которая содержит большое количество полезных функций.

    Process Monitor скачать бесплатно

    ProcessMonitor_1185.zip - Зеркало 1

    Process Monitor: пример использования

    Process Monitor: пример использования

    Есть такая замечательная программа, как Process Monitor, которая позволяет отследить различные непонятные телодвижения в вашей системе. Например, если вы нашли странные файлы, которые непонятно откуда взялись, то с помощью Process Monitor можно найти ту программу, что их создает.

    Именно этот пример мы и рассмотрим. В первую очередь, скачаем и запустим программу.

    Программа следит за разнообразной активностью в системе, анализируя события в системном реестре, сети, системных процессах и файловой системе. В данном случае нам нужна только файловая система.

    Чтобы убрать лишнее на панели инструментов активируйте значок Show File System Activity . а вот значки Show Registry Activity. Show Network Activity, Show Process and Tread Activity. Show Profiling Events отключите нафик, щелкнув на них один раз мышкой.

    Теперь нажмите комбинацию клавиш <Ctrl+L> и активируйте фильтр для поиска нужных значений.

    Настроим фильтр. В первом списке следует выбрать значение Path – это путь к нужному файлу.

    В следующем списке выберите значение contains – так мы укажем условие, по которому будет осуществляться фильтрация. Впрочем, можно выбрать и значения begins with (начальное значение) либо ends with (конечное значение).

    Следующий шаг – текстовое поле, в котором нужно указать либо имя файла, либо название папки, в которой постоянно появляются странные файлы.

    Осталось выбрать в последнем списке значение Include – так мы выбираем, что все указанные условия будут использоваться в результате работы.

    Наконец, щелкните на кнопке Add – фильтр появится в списке. Щелкнем на кнопке ОК и фильтр будет активирован.

    Конечно Process Monitor может показать слишком много лишней информации. Чтобы с ней справится можно использовать дополнительные фильтры либо конкретные действия, что следует анализировать. Кроме того, порой достаточно отключить отслеживание определенных процессов, что нас не интересуют.

    Process Monitor - отслеживание активности процессов Windows

    Process Monitor - отслеживание активности процессов Windows. Общие сведения о программе Process Monitor .

        Process Monitor - программа от компании Sysinternals для наблюдения в реальном масштабе времени за действиями различных процессов в среде операционной системы Windows. После приобретения Sysinternals компанией Майкрософт, в разделе технической поддержки появился раздел Windows Sisinternals где можно найти описание и ссылки для скачивания большинства программных продуктов Sysinternals.

    Утилита Process Monitor. включает в себя возможности программы мониторинга обращений к реестру Regmon и программы мониторинга обращений к файловой системе Filemon. и дополнительно, позволяет получать более подробную информацию о взаимодействии процессов, использовании ресурсов, сетевой активности и операциях ввода-вывода.

    Авторы - Марк Руссинович (Mark Russinovich) и Брюс Когсуэлл (Bryce Cogswell)

    Программа работает во всех версиях ОС Windows (проверено на Windows 2000 и старше), не требует инсталляции, однако должна выполняться под учетной записью с правами администратора. В архиве также присутствует файл документации на английском языке procmon.chm и текстовый файл с кратким описанием и лицензионным соглашением.

    Для своей работы, Process Monitor устанавливает в системе собственный драйвер PROCMON20.SYS. с помощью которого выполняется перехват контролируемых монитором системных функций и сбор данных подлежащих мониторингу. Наблюдение выполняется для следующих классов операций - обращения к файловой системе (file system), обращение к реестру (Registry), работа с сетью (Network), и активность процессов (Process).

    При первом запуске на экран будет выдано лицензионное соглашение, требующее подтверждения пользователя. Затем, после старта программы Process Monitor. выводится окно с фильтрами для исключения из процесса наблюдения событий стандартной активности системы и самого монитора.

    Созданию фильтров будет посвящен отдельный раздел статьи, поэтому пока можно просто закрыть это окно и продолжить знакомство с программой.

        После запуска исполняемого файла procmon.exe начинается сбор, обработка и вывод данных об отслеживаемых событиях в основном окне программы:

    Интерфейс программы состоит из 3-х частей - строка меню (menu bar), панель инструментов (toolbar) и область вывода данных в виде списка. Программа перехватывает отслеживаемые события, связанные с активностью процессов и выдает данные в соответствии с заданными критериями фильтрации и пользовательскими настройками отображаемых колонок. Для остановки мониторинга нужно щелкнуть мышкой по кнопке с лупой на панели инструментов, так, чтобы ее изображение стало перечеркнутым красной линией. Повторный щелчок вернет режим перехвата.

    Каждому событию, перехваченному программой Process Monitor. соответствует одна строка в окне вывода данных. Двойной щелчок на отдельной строке вызовет окно просмотра свойств события (Event Properties). Порядок следования строк соответствует последовательности выполнения операций. Информация в окне вывода данных разделена на несколько столбцов, состав которых можно выбрать с помощью контекстного меню Select Columns. вызываемого правой кнопкой мышки на поле описания колонок или через главное меню - Options - Select Columns.

        Возможен вывод колонок, разбитых на 3 категории:

    Application Details - сведения о процессе

    Event Details - сведения о событии

    Process Management - данные о родительском процессе, порождаемых потоках и контексте учетной записи безопасности исследуемого процесса.

    Вывод всех колонок на экран неудобен, поэтому лучше ограничиться их минимально необходимым количеством, а более детализированную информацию получать двойным щелчком на строке отображаемого события.

    В последних версиях Process Monitor при первом запуске выводятся колонки, наиболее подходящие для быстрого анализа информации и дающие представление о том, какой процесс, какую операцию выполнил, и с каким результатом.:

    Sequence - номер строки (порядок следования события по времени) с начала сессии перехвата отслеживаемых событий.

    Process Name - имя процесса, вызвавшего событие.

    Operation - выполняемая операция. Значение зависит от типа обращения и представляет собой краткое описание, как. например, открытие ключа реестра RegOpenKey или отправка TCP пакета TCP Send

    Path - путь, связанный с используемым ресурсом. Это может быть файл, ключ реестра, данные TCP соединения и т.п.

    Result - результат выполнения запроса:

    END OF FILE - обнаружен признак конца файла (EOF)

    NAME NOT FOUND - файл, каталог или данные реестра не найдены

    NAME COLLISION - была попытка создать новый файл, но файл с таким именем уже существует.

    FILE LOCKED -файл открыт для монопольного доступа.

    SUCCESS - операция выполнена успешно.

    INVALID DEVICE REQUEST - неверный запрос к устройству.

    FAST I/O DISALLOWED - операция ввода/вывода с использованием устаревшего запроса к драйверу запрещена (интерфейс "fast I/O" в большинстве современных драйверов не поддерживается и заменен на интерфейс IRP - I/o Request Packet - пакет запроса на ввод/вывод).

    Detail - дополнительная информация о событии, описывающая тип запроса, права доступа, свойства файла или каталога, тип данных, значение ключа реестра и т.п.

    Панель инструментов программы Process Monitor .

        Панель инструментов позволяет быстро выполнить наиболее необходимые и часто используемые в практической работе с программой, действия. Кнопки панели инструментов выполнены в стиле, характерном для большинства программных продуктов Sysinternals и, в основном, имеют схожее предназначение.

    - Open - открыть ранее сохраненные данные мониторинга. Комбинация клавиш Ctrl+O

    - Save - сохранить текущие данные мониторинга в файл. Имеется возможность сохранить все события (All Events), события, отфильтрованные текущими фильтрами (Events displayed using current filter) или события выделенные подсветкой (Highlighted events). Можно также использовать различный формат сохраняемых данных - обычный формат утилиты Process Monitor (PML), файл с разделителями (CSV), файл в формате XML. Комбинация клавиш Ctrl+S

    - Capture - Включение / выключение режима перехвата событий. Если значок лупы перечеркнут - мониторинг активности процессов остановлен. Комбинация клавиш Ctrl+E

    - Autoscroll - Включение / выключение режима автоматической прокрутки экрана данных. При включении, в окне данных будут отображаться последние по времени выполнения операции. Если значок перечеркнут - прокрутка не будет выполняться. Комбинация клавиш Ctrl+E

    - Clear - очистить текущие данные перехвата событий активности процессов. Комбинация клавиш Ctrl+X

    - Filter - вызвать окно настройки фильтров. Комбинация клавиш Ctrl+L

    - Highlight - вызвать окно настройки подсвечиваемых событий. Комбинация клавиш Ctrl+H

    - Include Process From Window - Позволяет включить в мониторинг процесс, связанный с определенным окном. Для выбора окна нужно нажать левую кнопку мышки на значке мишени и (не отпуская кнопку) переместить указатель на нужное окно.

    - Show Process Tree - отобразить окно с деревом процессов. Информация отображается в виде иерархической структуры, отображающей зависимости между родительскими и порожденными процессами. Процессы, имеющие одного и того же родителя, отображаются в порядке, соответствующем времени запуска. Так, например, процесс wininit.exe c идентификатором ( PID ) равным 364 запустил services.exe с идентификатором 420, который, в свою очередь породил несколько процессов svchost.exe и т.д.

    При отображении дерева процессов для каждого из них выводится информация с именем, описанием, путем исполняемого файла, владельцем, командной строкой запуска и временем старта. При установке указателя мыши на строку конкретного процесса, в нижней части окна будет выведена подробная информация о нем.

    - Find - стандартный диалог поиска строки Windows. Комбинация клавиш Ctrl+F

    - Jump To Object - Стандартная для многих приложений от Sysinternals возможность быстрого перехода к исследуемому объекту - ключу или разделу в редакторе реестра, папке или файлу в проводнике Windows. Комбинация клавиш Ctrl+J

    Следующая группа кнопок панели инструментов задает тип отображаемых событий (класс событий). Если кнопка "утоплена" - события данного типа будут отображаться:

    - Show Registry Activity - отображать информацию об обращениях к реестру Windows

    - Show File System Activity - отображать информацию об обращениях к файловой системе Windows

    - Show Network Activity - отображать информацию о сетевой активности процессов

    - Show Process and Thread Activity - отображать информацию об активности процессов, связанной с загрузкой библиотек, созданием и завершением других процессов или потоков.

    - Show Process and Thread Activity - отображать информацию об активности процессов, связанной с загрузкой библиотек, созданием и завершением других процессов или потоков.

    - Show Profiling Events - Отображать события класса Profiling. Применяется для определения степени использования центрального процессора (CPU) отдельными процессами и их компонентами.

    Основное меню (menu bar) программы Process Monitor .

    Пункты основного меню File

    Open CTRL+O - открыть из файла ранее сохраненный отчет и просмотреть его

    Save CTRL+S - сохранить содержимое окна в файл отчета .

    Backing Files CTRL+B - файл для записи информации о событиях. По умолчанию, используется файл подкачки (pagefile.sys).

    Capture Events CTRL+E - Включить/выключить режим перехвата событий.

    Export Configuratuion - экспорт конфигурации. Позволяет сохранить текущие настройки Process Monitor в специальном файле конфигурации (.PMC)

    Import Configuration - загрузить настройки Process Monitor из сохраненного файла конфигурации.

    Пункты основного меню Edit

    Copy CTRL-C - скопировать в буфер обмена выделенные строки.

    Find CTRL+F - поиск строки с заданным текстом.

    Auto Scroll CTRL+A - автоматическая прокрутка в окне отображения событий.

    Clear Display CTRL+X - очистить список перехваченных данных. Удаляются все строки, записанные с момента начала перехвата.

    Пункты основного меню Event

    Properties CTRL-P - отобразить свойства выбранного события.

    Отображается окно свойств события Event Properties

    Вкладка Event содержит подробную информацию о событии - время, класс события, выполняемая операция, результат и некоторые данные, зависящие от типа выполняемой операции.

    Вкладка Process позволяет просмотреть подробную информацию о процессе - имя, версию, путь исполняемого файла, параметры командной строки, PID самого процесса и PID его родителя, список загруженных библиотек.

    Вкладка Stack - информация о вызовах функций модулей ядра (помечены буквой K ) и модулей среды пользователя (помечены буквой U ).

    Jump to CTRL+J - быстрый переход к просмотру источника события.

    Search Online - поиск в Интернет информации, связанной с описанием события.

    Include - добавление в список отслеживаемых событий по имени процесса, пути исполняемого файла, параметров командной строки и т.д.

    Exclude - исключение из списка отслеживаемых событий по имени процесса, пути исполняемого файла, параметров командной строки и т.д.

    Highlight - выделение из списка отслеживаемых событий по имени процесса, пути исполняемого файла, параметров командной строки и т.д.

    Последние три пункта меню позволяют быстро сформировать фильтры для обработки данных Process Monitor.

    Пункты основного меню Filter

    Enable Advanced Output - расширенный вывод данных события. Касается, в основном, представления информации о выполненной операции.

    Filter CTRL+L - вызов окна настройки фильтров.

    Reset Filter CTRL+R - сброс текущих настроек фильтров.

    Load Filter - загрузить ранее созданный фильтр.

    Save Filter - сохранить текущий фильтр.

    Organize Filter - удалить, переименовать, экспортировать или импортировать фильтр.

    Highlight CTRL+H - вызов окна настройки выделения (подсвечивания) событий.

    Пункты основного меню Tools

    System Details - показать информацию о системе - имя компьютера, операционную систему, корневой каталог ОС, количество процессоров (CPU), объем оперативной памяти, разрядность 32/64 бит..

    Process Tree CTRL+T - вывести дерево процессов.

    Process Activity Summary - суммарные данные активности процессов. По каждому процессу выдается суммарная таблица количества операций ввода-вывода, обращений к файлам и реестру, степени использования процессора.

    File Summary - суммарные данные использования файловой системы. С помощью выбора вкладок можно получить статистику по использованию путей, каталогов, файлов с определенными расширениями.

    Registry Summary - суммарные данные по обращениям к реестру Windows. Общее количество обращений, количество операций открытия, закрытия, чтения, записи. Статистика обращений к различным разделам и ключам.

    Stack Summary - суммарные данные по использованию функций Windows.

    Network Summary - суммарные данные по использованию сети Число установлений соединений, число разрывов, число передач и приемов, количество принятых и переданных байт, сетевые пути.

    Cross Reference Summary - суммарные данные по совместному использованию ресурсов Windows разными процессами. Информация о файлах, в которые одни процессы выполняют запись, а другие - чтение.

    Count Occurrences - можно получить суммарные данные по выбранным колонкам. Название колонки нужно выбрать в поле Column и нажать кнопку Count В поле данных будет выведена статистическая информация об использовании различных значений выбранной колонки.

    Пункты основного меню Options

    Always on Top - всегда отображать окно программы Process Monitor поверх всех остальных окон.

    Font - выбор шрифта для окна

    Highlight Colors - выбор цвета для фона и текста записей, выбранных в качестве подсвечиваемых.Позволяет задать цвет текста (кнопка FG) и цвет фона (кнопка BG) для выделяемых подсветкой событий

    Configure Symbols - конфигурирование источника для определения имен функций.

    History Depth - Позволяет задать степень использования виртуальной памяти (количество запоминаемых в течении сессии записей - от 1 до 199 миллионов). В случае, когда монитор процессов работает длительное время, часть записей о событиях может быть отброшена, но в любом случае наиболее часто регистрируемая активность будет сохранена.

    Profiling Events - интервал перехвата состояния выполняющихся процессов.

    Enable Boot Logging - установить режим мониторинга процессов во время загрузки ОС.

    Show Resolved Network Addresses CTRL+N - установить режим отображения сетевых имен вместо IP-адресов.

    Установка фильтров программы Process Monitor .

        Process Monitor запоминает последний используемый набор фильтров и применяет его при следующем запуске программы. Задать условия фильтрации можно сразу после старта утилиты или вызвав окно настройки фильтров ( Process Monitor Filters ) в любой момент времени с использованием меню программы или комбинации клавиш CTRL+L. Кроме непосредственного создания правил фильтрации вручную, возможно использование кнопок панели инструментов и контекстного меню, вызываемого правой кнопкой мышки.

    Меню позволяет выполнять действия фильтров Include. Exclude и Highlight с использованием данных выбранного события. Так, например, выбор пункта меню Exclude "PTStartmon.exe" приведет к созданию правила фильтра для исключения из наблюдения процесса с именем PTStartmon.exe. Выбор Highlight - выпадающее меню - Result вызовет подсвечивание всех записей, в поле результата выполнения отслеживаемой операции которых, будет такое же значение, как и в текущем событии.

    Exclude и Category - исключить из выходных данных события, категория которых совпадает с категорией выбранной записи.

    Обычно, используется исключение операций, путей и процессов, информация о которых не нужна в выходных данных.

        Создание фильтров вручную позволяет получать более гибкие правила, основанные на использовании логических выражений.

    Запись правила фильтрации состоит из 4-х колонок:

    Column - колонка (содержимое поля описания события) записи события. Можно выбрать одно из возможных полей отображаемого в окне данных программы события.

    Relation - логическое выражение. Is - равно, принимает значение

    Is not - не равно

    Less then - меньше чем

    More then - больше чем

    Begin with - начинается с

    Ends with - заканчивается на

    Contains - содержит

    Excludes - не содержит

    Value - значение. Зависит от свойств выбранного поля в первой колонке (Columns)

    Action - действие. Exclude - исключить событие, соответствующее условиям данного фильтра. Include - включить событие, соответствующее условиям данного фильтра.

    Выпадающие меню позволяют выбрать элемент события (признак по которому будет срабатывать правило фильтрации), логическую операцию над ним и действие, выполняемое при удовлетворении условий фильтрации. Например, для того, чтобы не отслеживались события, связанные с процессами компании Microsoft, можно создать следующее правило:

    Column (колонка) - выбираем значение Company

    Relation (выражение - можно выбрать is (равно) или, более универсально - contain (содержит)

    Value (значение) - выбираем Microsoft Corporation

    Action (действие) - выбираем Exclude - исключить.

    В итоге, получаем правило - "не отображать события, в поле имени компании которых присутствует значение Microsoft Corporation".

    Необходимо учитывать, что Procces Monitor, при завершении работы, запоминает последний активный фильтр и при следующем запуске применяет его в качестве текущего. Для сброса фильтра используется комбинация клавиш CTRL+R.

    Практика применения утилиты Process Monitor .

        Одно из основных применений Process Monitor - определение причин аварийного завершения приложений в случае отсутствия или неверного расположения файлов, каталогов, разделов и ключей реестра. Иногда программа используется для исследования работы конкретного приложения, например для определения местонахождения настроек обозревателя Mozilla Firefox.

        При исследовании поведения конкретного приложения, желательно создать такие условия фильтрации, чтобы не отображалась лишняя информация и не потерялась нужная. Как правило, настройки приложений хранятся либо в реестре, либо в файле, поэтому, нужно отсеять отображение событий, не связанных с данным приложением (имя процесса не равно firefox.exe ) и нужным видом активности Event Class (исключить события сетевой активности Network и класса Profiling и включить события классов Registry и File System).

    После настройки фильтра, желательно очистить активный буфер (CTRL+X) и вызвать выполнение исследуемого события - т.е. перейти в окно Firefox.exe, изменить и сохранить какую-либо из настроек. После чего нужно вернуться в окно Process Monitor. остановить процесс перехвата событий и приступить к анализу полученных данных.

    Конечно, в случае сложной программы, количество операций обращения к реестру и файловой системе может исчисляться сотнями или даже тысячами, и в подобных случаях, придется разбираться исходя из здравого смысла и возможной логики работы приложения. Так, наиболее вероятно, что

    - настройки любого приложения не могут храниться во временных файлах, поэтому их можно сразу исключить из анализа.

    - настройки обозревателя Firefox индивидуальны для каждого пользователя, и следовательно, связаны с его профилем ( каталог C:\documents And Settings\пользователь для Win2k/XP, C:\Users\Пользователь для Windows Vista/7) и раздел реестра HKEY CURRENT USER (HKCU) )

    - можно также выделить тот факт, что сохранение настроек - это операция записи .

    В результате таких предположений, круг поиска будет значительно сужен и процесс анализа событий станет проще.

    В качестве ответа для задачи поиска места хранения настроек Firefox - пользовательские настройки хранятся не в реестре, а файле с именем prefs.js. Анализ содержимого файла подтверждает предположение, что это именно настройки. В первых строках содержится текст:

    # Mozilla User Preferences

    /* Do not edit this file.

    * If you make changes to this file while the application is running,

    * the changes will be overwritten when the application exits.

    * To make a manual change to preferences, you can visit the URL about:config

    * For more information, see http://www.mozilla.org/unix/customizing.html#prefs

    Из перевода становится понятно, что настройки, внесенные вручную в данный файл, при запущенном обозревателе, не будут сохранены, поскольку будут перезаписаны при его завершении. И для ручного изменения настроек следует в адресной строке Mozilla Firefox набрать about:config. За дополнительной информацией предлагается перейти по ссылке на сайт mozilla.org.

    А также, понятно, что для сохранения текущих настроек обозревателя, можно скопировать содержимое файла prefs.js в файл с другим именем и при необходимости, в любой момент, восстановить их из сохраненной копии.

    Возможности Process Monitor позволяют также получать суммарные показатели использования ресурсов системы (меню Tools -. Summary)

    Пример отображения суммарных показателей использования файловой системы (меню Tools - File Summary):

    При необходимости получения данных о статистике использования отдельных каталогов можно перейти на вкладку By Folder

    При необходимости получения статистики использования файлов по расширениям нужно перейти на вкладку By Extensions

    Пример отображения суммарных показателей использования реестра (меню Tools - Registry Summary):

    Отображается статистика

    Total - общее число обращений к реестру

    Opens - число выполнений операций открытия

    Closes - число выполнений операций закрытия

    Reads - число выполнений операций чтения

    Writes - число выполнений операций записи

    Others - число выполнений других операций

    Paths - Путь раздела или ключа реестра

    Пример отображения суммарных показателей активности процессов (меню Tools - Process Summary):

    Отображается информация о количестве событий отдельных категорий - обращений к реестру, обращений к файловой системе, сетевой активности и т.п.

    Пример отображения суммарных показателей использования различных вызовов (меню Tools - Stack Summary):

    Позволяет получить данные об использовании различными процессами пользовательских функций и функций ядра. По сути, позволяет определить наиболее используемые процессами в период мониторинга библиотеки, службы, драйверы. Нажатие кнопки Go to Event позволяет перейти к событию, связанному с текущим вызовом в окне вывода данных Process Monitor.

        Еще одна очень полезная возможность утилиты Process Monitor - получить журнал активности процессов в ходе загрузки операционной системы.

    Для этого выбираете меню Options - Enable Boot Logging. Программа выдаст сообщение, что Procmon сконфигурирован для записи событий мониторинга в процессе следующей перезагрузки системы:

    В данном окне можно также включить режим периодического перехвата состояния всех процессов (Profiling) с интервалом в 1 секунду или 100 миллисекунд.

    Режим записи информации в журнал мониторинга начнется в ходе загрузки Windows с момента запуска драйвера программы ( PROCMON20.SYS ) и будет продолжаться до тех пор, пока утилита Process Monitor не будет запущена вновь вошедшим в систему пользователем. Данный режим выполняется только для одной перезагрузки системы.

    После нового запуска Process Monitor, пользователь получит сообщение о том, что имеется журнал с данными мониторинга активности в процессе загрузки Windows, созданный предыдущим экземпляром программы и запрос на сохранение собранных данных.

    После ответа "Да" файл отчета будет сохранен, и можно приступать к анализу полученной информации.

    Необходимо учитывать тот факт, что процесс записи данных мониторинга продолжается после завершения загрузки системы и регистрации пользователя, и если не выполнить запуск Process Monitor, то файл журнала ( C:\Windows\procmon.pmb ) будет продолжать расти в размере и, в конце концов, может вызвать переполнение диска.

    Если вы желаете поделиться ссылкой на эту страничку в своей социальной сети, можете воспользоваться кнопкой "Поделиться"

    Или рекомендовать сайт пользователям Google+