Process Monitor帮助文档.pdfVIP

【译者注】 Process Monitor 是一款非常著名的系统进程监视软件。总体来说，Process Monitor 相当 于Filemon+Regmon，其中的Filemon 专门用来监视系统中所有文件的操作过程，而Regmon 用来监视注册表的读写操作过程。用户可以利用 Process Monitor 对系统中的文件系统以及 注册表操作等方面同时进行监视和记录。通过监控系统中相应位置的变化，对于帮助诊断系 统故障或是发现恶意软件、病毒或木马来说，非常有用。这是一款先进的 Windows 系统和 应用程序监视工具，由优秀的 Sysinternals 所开发，并且目前已并入微软旗下，可靠性自不 用说。 在此我翻译这款软件的帮助文档，有助于大家更好更全面地了解 Process Monitor 的各 项特性，基本上它的所有功能，我都有配图，使得读者仅仅看翻译文档就能很快地掌握这款 软件的使用方法。因为这款软件是反病毒的利器，而我以后也会写一些用这款软件对病毒的 行为进行分析的文章，因此这个翻译文档就是为以后的文章打下基础。在本翻译文档的最后， 我也会用一个实际的例子来简单展示一下Process Monitor 的使用方法。本文档翻译自Process Monitor v3.10 所自带的帮助文档。 由于我的水平有限，翻译难免出现不妥当的地方，也希望大家批评指教。欢迎大家访问 我的技术博客/ioio_jy。 【引言】 Process Monitor Copyright © 1996-2010 Mark Russinovich and Bryce Cogswell Sysinternals – Process Monitor 是一款为Windows 操作系统设计的高级监控工具，它能够实时地显示 文件系统、注册表以及进程/线程的活动信息。它集成了Sysinternals 的两款老牌知名软件— —Filemon 以及 Regmon——的特点，并且增加了一些强大的扩展功能，包括丰富的无损筛 选器，综合的事件属性，比如会话 ID 以及用户名，可信的进程信息，为每一个操作提供完 整符号帮助的线程堆栈，同步日志到文件等许多特性。它的这些特性能够使得 Process Monitor 成为你的系统中用于故障排除以及捕获恶意程序的核心软件。 Process Monitor 可以运行在Windows XP SP2 ，Windows Server 2003 SP1 与Windows Vista ， 以及64 位版本的Windows XP ，Windows Server 2003 以及Windows Vista 等操作系统中。 图1 Process Monitor 程序界面 【使用Process Monitor】 运行Process Monitor 需要本地管理员权限。当您启动Process Monitor 软件后，它就会 立刻开始监控三类操作：文件系统、注册表以及进程。 ● 文件系统 （File System ） Process Monitor 会显示Windows 文件系统的所有活动信息，包括本地的存储文件以及 远程文件系统。Process Monitor 能够自动侦测到新加入的文件系统设备并且对其进行监控。 当一个文件系统开始运行后，与用户会话相关的所有文件系统路径都会被显示出来。举例来 说，如果用户A 将Z 盘设置为了共享，那么所有使用这个共享的用户都会因为与Z 盘建立了 关系，而显示在Process Monitor 中。 如果想去除文件系统监控的显示，可以取消选择在 Process Monitor 工具栏上的文件系 统按键，而如果想将文件系统的操作监控重新加回，则只需再次按下该按钮即可。 图2 显示文件系统活动 ● 注册表 （Registry） Process Monitor 能够记录所有的注册表操作并且将注册表根键以常用的缩写形式来表 示，以显示注册表路径（比如将HKEY_LOCAL_MACHINE 表示为HKLM）。 如果想去除注册表监控的显示，可以取消选择在 Process Monitor 工具栏上的注册表按 键，而如果想将注册表操作监控重新加回，则只需再次按下该按钮即可。