Рубрики
Windows информация

Process Monitor

Process Monitor - отслеживание активности процессов Windows.
Общие сведения о программе Process Monitor .

Process Monitor - программа от компании Sysinternals для наблюдения в реальном масштабе времени за действиями различных процессов в среде операционной системы Windows. 
После приобретения Sysinternals компанией Майкрософт, в разделе технической поддержки появился раздел Windows Sisinternals где можно найти описание 
и ссылки для скачивания большинства программных продуктов Sysinternals. 

Утилита Process Monitor, включает в себя возможности программы мониторинга обращений к реестру Regmon и программы мониторинга обращений к файловой системе Filemon, 
и дополнительно, позволяет получать более подробную информацию о взаимодействии процессов, использовании ресурсов, сетевой активности и операциях ввода-вывода.
Авторы - Марк Руссинович (Mark Russinovich) и Брюс Когсуэлл (Bryce Cogswell)


Программа работает во всех версиях ОС Windows (проверено на Windows 2000 и старше), не требует инсталляции, 
однако должна выполняться под учетной записью с правами администратора. 
В архиве также присутствует файл документации на английском языке procmon.chm и текстовый файл с кратким описанием и лицензионным соглашением.

Для своей работы, Process Monitor устанавливает в системе собственный драйвер PROCMON20.SYS , с помощью которого выполняется перехват контролируемых монитором системных функций 
и сбор данных подлежащих мониторингу. Наблюдение выполняется для следующих классов операций - обращения к файловой системе (file system), 
обращение к реестру (Registry), работа с сетью (Network), и активность процессов (Process). 
При первом запуске на экран будет выдано лицензионное соглашение, требующее подтверждения пользователя. 
Затем, после старта программы Process Monitor, выводится окно с фильтрами для исключения из процесса наблюдения событий стандартной активности системы и самого монитора. 

Интерфейс программы

Интерфейс программы состоит из 3-х частей - строка меню (menu bar), панель инструментов (toolbar) и область вывода данных в виде списка. 
Программа перехватывает отслеживаемые события, связанные с активностью процессов и выдает данные в соответствии с заданными критериями фильтрации 
и пользовательскими настройками отображаемых колонок. 
Для остановки мониторинга нужно щелкнуть мышкой по кнопке с лупой на панели инструментов, так, 
чтобы ее изображение стало перечеркнутым красной линией. 
Повторный щелчок вернет режим перехвата. 

Каждому событию, перехваченному программой Process Monitor, соответствует одна строка в окне вывода данных. 
Двойной щелчок на отдельной строке вызовет окно просмотра свойств события (Event Properties). 
Порядок следования строк соответствует последовательности выполнения операций. 
Информация в окне вывода данных разделена на несколько столбцов, состав которых можно выбрать с помощью контекстного меню Select Columns, 
вызываемого правой кнопкой мышки на поле описания колонок или через главное меню - Options - Select Columns. 

Возможен вывод колонок, разбитых на 3 категории:
Application Details - сведения о процессе
Event Details - сведения о событии
Process Management - данные о родительском процессе, порождаемых потоках и контексте учетной записи безопасности исследуемого процесса.

Вывод всех колонок на экран неудобен, поэтому лучше ограничиться их минимально необходимым количеством, 
а более детализированную информацию получать двойным щелчком на строке отображаемого события.

В последних версиях:

В последних версиях Process Monitor при первом запуске выводятся колонки, наиболее подходящие для быстрого анализа информации 
и дающие представление о том, какой процесс, какую операцию выполнил, и с каким результатом.:
Sequence - номер строки (порядок следования события по времени) с начала сессии перехвата отслеживаемых событий.
Process Name - имя процесса, вызвавшего событие.
Operation - выполняемая операция. 
Значение зависит от типа обращения и представляет собой краткое описание, как , например, 
открытие ключа реестра RegOpenKey или отправка TCP пакета TCP Send
Path - путь, связанный с используемым ресурсом. Это может быть файл, ключ реестра, данные TCP соединения и т.п.


Result - результат выполнения запроса: 
END OF FILE - обнаружен признак конца файа (EOF)
NAME NOT FOUND - файл, каталог или данные реестра не найдены
NAME COLLISION - была попытка создать новый файл, но файл с таким именем уже существует.
FILE LOCKED -файл открыт для монопольного доступа.
SUCCESS - операция выполнена успешно.
INVALID DEVICE REQUEST - неверный запрос к устройству.
FAST I/O DISALLOWED - операция ввода/вывода с использованием устаревшего запроса к драйверу запрещена 
(интерфейс "fast I/O" в большинстве современных драйверов не поддерживается и заменен на интерфейс IRP - I/o Request Packet - пакет запроса на ввод/вывод). 

Detail - дополнительная информация о событии, описывающая тип запроса, права доступа, свойства файла или каталога, тип данных, значение ключа реестра и т.п.