Process-Monitor-中文帮助文档.doc

第 PAGE 10 页 共 NUMPAGES 10 页 Process Monitor 帮助文档【介绍】 Process Monitor可以在Windows 2000 SP4 with Update Rollup 1、Windows XP SP2、Windows Server 2003 SP1、Windows Vista，以及64位版本的Windows XP、Windows Server 2003 SP1和Windows Vista等系统上运行。〔译者注：Process Monitor不支持Windows 98、Windows NT等以前的系统，不过可以使用Filemon和Regmon来实现它的局部功能。〕 【在Filemon和Regmon根底上的改良】 Process Monitor的用户界面和选项与Filemon和Regmon很相似，但它是从头全部重写的，并且包括许多重大改良，例如： 　　〔此处引用自wbpluto ?【使用Process Monitor】 　? ?　? 注册表　　Process Monitor记录所有注册表操作，并使用习惯的缩写形式来显示注册表根键〔例如将HKEY_LOCAL_MACHINE显示为HKLM〕。 ?　　在Process Monitor的工具栏上取消“显示注册表活动〞按钮的选择，就可以从视图中移除注册表操作的记录，按下这个按钮又会将注册表操作添加回视图。 ?　? 进程　　在进程/线程监视子系统中，Process Monitor跟踪所有进程和线程的创立和退出操作，以及DLL〔动态链接库〕和设备驱动程序的加载操作。 ?　　在Process Monitor的工具栏上取消“显示进程和线程活动〞按钮的选择，就可以从视图中移除进程和线程操作的记录，按下这个按钮又会将进程和线程操作添加回视图。 ?　? 剖析事件　　这种事件类型可以在“选项〞菜单中启用。当它被启用时，Process Monitor扫描系统中所有的活动线程，并为每个线程创立一个剖析事件，记录它消耗的核心和用户CPU时间，以及该线程自上次剖析事件以来执行了多少次上下文转换。注意：在剖析中不包括System进程。? 有一些根本选项控制着Process Monitor的根本操作： ?捕获： 自动滚动：选择“编辑〞菜单中的“自动滚动〞项，工具栏上的“自动滚动〞按钮，以及快捷键Ctrl+A来切换Process Monitor的自动滚动行为，以保证最近的操作在视图中是可见的。 ?去除：选择“编辑〞菜单中的“去除显示〞菜单项，工具栏上的“去除〞按钮，以及快捷键Ctrl+X，可以去除视图中显示的所有内容。 ?【选择列】 你可以拖动列来重新排列它们的顺序。选择“选项〞菜单中的“选择列〞菜单项，翻开“列选择〞对话框，你可以在这里定制要显示的列。可供选择的列包括： ?应用程序详细信息 　? 进程名 发生事件的进程名称　? 映像路径　? 　? 公司名称　? 描述　? 版本　? 体系架构 应用程序的体系架构〔如32位、64位等〕 ?事件详细信息 　? 　? 事件类　? 操作　? 日期和时间 操作发生的日期和时间　? 时间?仅包括操作发生的时间　? 类别 操作的类别〔例如读取、读取元数据等〕　? 路径 事件引用资源的路径　? 详细信息?事件的额外具体信息　? 结果?操作完成后返回的状态代码　? 相对时间?相对于Process Monitor启动时间或上次去除视图时间的操作时间　? 持续时间 已完成操作的持续时间 ?进程管理 　? 用户名　? 会话ID?执行操作的进程运行时所属的Windows会话　? 认证ID?执行操作的进程运行时所属的登录会话　? 进程ID 执行操作的进程ID〔PID〕　? 线程ID 执行操作的线程ID〔TID〕　? 父ID?执行操作的进程的父进程ID　? 完整性 执行操作的进程运行中的完整性〔仅适用于Windows Vista〕　? 虚拟化?执行操作的进程的虚拟化状态〔仅适用于Windows Vista〕 ?【事件属性】你可以通过在事件上双击鼠标来查看某个特定事件的属性，或者选择“事件〞菜单下的“属性〞菜单项，或者当用右键单击某个事件时，在上下文菜单中选择“属性〞。“事件属性〞对话框由“事件〞、“进程〞和“堆栈〞三页组成，你可以使用对话框下方的箭头按钮移动到下一个或上一个显示的或高亮的事件。? 事件 进程 堆栈 ?选择“事件〞菜单下的“堆栈〞菜单项，可以翻开事件属性对话框并直接显示“堆栈〞页。 ?【过滤和高亮显示】 ?包括和排除过滤器你可以在过滤器中指定事件属性，Process Monitor将只显示或排除与属性值相匹配的事件。所有的过滤器都是非破坏性的，意思是说它们只影响事件在Process Monito