Process Monitor - отслеживание активности процессов Windows. Общие сведения о программе Process Monitor . Process Monitor - программа от компании Sysinternals для наблюдения в реальном масштабе времени за действиями различных процессов в среде операционной системы Windows. После приобретения Sysinternals компанией Майкрософт, в разделе технической поддержки появился раздел Windows Sisinternals где можно найти описание и ссылки для скачивания большинства программных продуктов Sysinternals. Утилита Process Monitor, включает в себя возможности программы мониторинга обращений к реестру Regmon и программы мониторинга обращений к файловой системе Filemon, и дополнительно, позволяет получать более подробную информацию о взаимодействии процессов, использовании ресурсов, сетевой активности и операциях ввода-вывода. Авторы - Марк Руссинович (Mark Russinovich) и Брюс Когсуэлл (Bryce Cogswell) Программа работает во всех версиях ОС Windows (проверено на Windows 2000 и старше), не требует инсталляции, однако должна выполняться под учетной записью с правами администратора. В архиве также присутствует файл документации на английском языке procmon.chm и текстовый файл с кратким описанием и лицензионным соглашением. Для своей работы, Process Monitor устанавливает в системе собственный драйвер PROCMON20.SYS , с помощью которого выполняется перехват контролируемых монитором системных функций и сбор данных подлежащих мониторингу. Наблюдение выполняется для следующих классов операций - обращения к файловой системе (file system), обращение к реестру (Registry), работа с сетью (Network), и активность процессов (Process). При первом запуске на экран будет выдано лицензионное соглашение, требующее подтверждения пользователя. Затем, после старта программы Process Monitor, выводится окно с фильтрами для исключения из процесса наблюдения событий стандартной активности системы и самого монитора.
Интерфейс программы
Интерфейс программы состоит из 3-х частей - строка меню (menu bar), панель инструментов (toolbar) и область вывода данных в виде списка. Программа перехватывает отслеживаемые события, связанные с активностью процессов и выдает данные в соответствии с заданными критериями фильтрации и пользовательскими настройками отображаемых колонок. Для остановки мониторинга нужно щелкнуть мышкой по кнопке с лупой на панели инструментов, так, чтобы ее изображение стало перечеркнутым красной линией. Повторный щелчок вернет режим перехвата. Каждому событию, перехваченному программой Process Monitor, соответствует одна строка в окне вывода данных. Двойной щелчок на отдельной строке вызовет окно просмотра свойств события (Event Properties). Порядок следования строк соответствует последовательности выполнения операций. Информация в окне вывода данных разделена на несколько столбцов, состав которых можно выбрать с помощью контекстного меню Select Columns, вызываемого правой кнопкой мышки на поле описания колонок или через главное меню - Options - Select Columns. Возможен вывод колонок, разбитых на 3 категории: Application Details - сведения о процессе Event Details - сведения о событии Process Management - данные о родительском процессе, порождаемых потоках и контексте учетной записи безопасности исследуемого процесса. Вывод всех колонок на экран неудобен, поэтому лучше ограничиться их минимально необходимым количеством, а более детализированную информацию получать двойным щелчком на строке отображаемого события.
В последних версиях:
В последних версиях Process Monitor при первом запуске выводятся колонки, наиболее подходящие для быстрого анализа информации и дающие представление о том, какой процесс, какую операцию выполнил, и с каким результатом.: Sequence - номер строки (порядок следования события по времени) с начала сессии перехвата отслеживаемых событий. Process Name - имя процесса, вызвавшего событие. Operation - выполняемая операция. Значение зависит от типа обращения и представляет собой краткое описание, как , например, открытие ключа реестра RegOpenKey или отправка TCP пакета TCP Send Path - путь, связанный с используемым ресурсом. Это может быть файл, ключ реестра, данные TCP соединения и т.п. Result - результат выполнения запроса: END OF FILE - обнаружен признак конца файа (EOF) NAME NOT FOUND - файл, каталог или данные реестра не найдены NAME COLLISION - была попытка создать новый файл, но файл с таким именем уже существует. FILE LOCKED -файл открыт для монопольного доступа. SUCCESS - операция выполнена успешно. INVALID DEVICE REQUEST - неверный запрос к устройству. FAST I/O DISALLOWED - операция ввода/вывода с использованием устаревшего запроса к драйверу запрещена (интерфейс "fast I/O" в большинстве современных драйверов не поддерживается и заменен на интерфейс IRP - I/o Request Packet - пакет запроса на ввод/вывод). Detail - дополнительная информация о событии, описывающая тип запроса, права доступа, свойства файла или каталога, тип данных, значение ключа реестра и т.п.