Process Monitor

Программа Process Monitor является усовершенствованным инструментом отслеживания для Windows, который в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков.

Пользовательский интерфейс программы Process Monitor и параметры схожи с интерфейсом и параметрами программ Filemon и Regmon, но в программе Process Monitor есть ряд существенных улучшений, таких как:

· отслеживание запуска и завершения работы процессов и потоков, включая информацию о коде завершения;

· отслеживание загрузки образов (библиотек DLL и драйверов устройств, работающих в режиме ядра);

· больше собираемых данных о параметрах операций ввода и вывода;

· безвредные фильтры позволяют устанавливать фильтры, которые не будут приводить к потере данных;

· сбор стеков потоков для каждой операции позволяет в большинстве случаев определить исходную причину выполнения операции;

· достоверный сбор информации о процессах, включая путь к образу процесса, командную строку, а также ID пользователя и сессии;

· настраиваемые и перемещаемые колонки для каждого свойства события;

· фильтры можно установить на любое поле с данными, включая поля, которые не являются колонками;

· усовершенствованная архитектура записи журналов расширяет возможности программы до десятков миллионов зарегистрированных событий и гигабайтов записанных данных о событиях;

· дерево процессов отображает отношения между всеми процессами, перечисленными в сведениях трассировки;

· основной формат журнала сохраняет все данные, чтобы их можно было загрузить в другом экземпляре программы Process Monitor;

· подсказки к процессам для простого просмотра информации об образе процесса;

· детальные подсказки позволяют получить удобный доступ к форматированным данным, которые не помещаются в колонке;

· прекращаемый поиск;

· запись в журнал всех операций во время загрузки системы.

Например, процесс verclsid.exe с идентификатором 796 запрашивает операцию Process Start (начать работу процесса), она выполнена с успехом (Result – SUCCESS), в деталях (Detail) указан идентификатор процесса-родителя.

Вкладка свойств некоторого события: здесь выводится время, когда произошло событие, есть ли у него потоки, его класс (профилирование), операция (процесс профилирования), ее результат (успех), местонахождение файлов, продолжительность.

Снизу выводится информация о том, сколько времени он выполнялся ядром, количество затраченного пользовательского времени, сколько он затратил памяти, и сколько было байт задействовано на его исполнение.

В свойствах процесса выводится, кому принадлежит процесс, его имя, версия, местонахождение, команда для запуска, идентификатор, идентификатор родительского процесса, текущий пользователь, время начала работы системы, статус процесса, тип архитектуры, список модулей с адресом, размером и местонахождением.