Process monitor что это за программа
Как пользоваться программой Process Monitor
Process Monitor – это фирменная утилита от Microsoft для ОС Windows, позволяющая в режиме реального времени отследить активность любой программы или приложения, установленного на компьютере. Грубо говоря, Process Monitor отвечает на вопросы: как узнать, что делает та или иная программа при установке, запуске, работе, удалении, какие записи вносит в системный реестр Windows, как используется интернет-соединение, и многие другие. Однако, при первом знакомстве с этой утилитой многие пользователи не сразу поймут, как же работать с программой Process Monitor, поэтому далее вкратце рассмотрим основные моменты.
И так, скачать последнюю версию Process Monitor вы можете с нашего сайта. Скачав, и запустив утилиту, в главном окне программы мы увидим примерно следующее.
Несмотря на отсутствие русского интерфейса Process Monitor, найти то что нужно, используя эту утилиту, не составит особого труда, а всё благодаря простой и интуитивно понятной системе фильтрации.
Далее рассмотрим работу программы (как работают фильтры в Process Monitor) на примере.
Допустим, что нам требуется узнать о том, что делает то или иное приложение на нашем компьютере, к примеру браузер Google Chrome.
Для начала нам необходимо знать имя исследуемого процесса, в нашем примере это chrome.exe. Дальше алгоритм действий следующий: используя контекстное меню программы (Filter) или сочетание клавиш (Ctrl+L) открываем Process Monitor Filter (окно на скриншоте ниже).
Здесь мы видим, что по умолчанию в программе уже задействован ряд фильтров, исключающих из общего списка (отображены в главном окне программы) различного рода системные процессы, в которых нет необходимости для анализа априори.
В примере мы создадим свой собственный фильтр (по имени процесса) с целью найти и отследить только то, что касается браузера Google Chrome (файлы, записи в системном реестре, сетевая активность и т.д.).
В первом выпадающем списке выбираем «Process Name» (по умолчанию там «Architecture»).
Во втором случае оставляем «is», т.е. мы включаем значение в поиск, а далее выбираем сам процесс «chrome.exe», при условии, что браузер уже запущен (если мы ходим отследить, что делает та или иная программа до запуска, то название процесса в это поле необходимо вводить вручную).
В четвёртом поле также оставляем значение по умолчанию «Include» (это позволит отображать в общем потоке, только интересующий нас процесс). Для добавления фильтра нажимаем «Add».
Нажимаем «Apply» и «OK».
И сразу же видим всю детальную информацию именно по процессу «chrome.exe»: ID процесса, потока, обращения к файлам, системному реестру Windows и т.д.
Нажав зелёную стрелочку в меню программы, можно сразу же перейти к месту расположения любого файла или ключа реестра из списка.
Если у вас имеются вопросы, или возникли проблемы в процессе работы с Process Monitor, то рекомендуем посетить официальный форум разработчика (Sysinternals), посвященный этой программе.
Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра
Серия уроков по пакету утилит SysInternals
5. Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра
В этой статье мы научим вас, как использовать Process Monitor для устранения неполадок и поиска ключей реестра, которыми можно менять настройки системы, о которых вы бы не узнали другим способом.
Process Monitor — один из самых впечатляющих инструментов, которые вы можете иметь в своём наборе инструментов, поскольку другого способа увидеть, что на самом деле делает приложение, практически не существует. Это единственный способ узнать, какие файлы и какие процессы записывают, где что-то хранится в реестре и какие файлы к ним обращаются.
Мы начнём с того, что посмотрим, как найти ключи реестра с помощью диалоговых окон настроек Windows и Process Monitor, а затем рассмотрим фактический сценарий устранения неполадок, с которым мы столкнулись на одном из наших компьютеров в лаборатории и который был легко решён с помощью Process Monitor.
Как использовать Process Explorer для поиска ключей реестра, которые меняют настройки
Настраивая операционную систему мы устанавливаем флажок или меняем значение раскрывающегося списка, но задумывались ли вы, где на самом деле хранятся эти значения? Многие приложения и практически все настройки Windows хранятся в реестре… где-то.
В сегодняшнем примере мы определим, в каком именно ключе реестра хранится первая настройка Панели задач под названием «Закрепить панель задач», которая должна присутствовать во всех версиях Windows. Итак, теперь наша миссия — выяснить, где именно этот параметр хранится в реестре. Вы можете следить за этим конкретным параметром, или вы можете попробовать один из других параметров в том же диалоговом окне — или в любом другом месте, для которого вы хотите найти место в реестре, где он хранится.
Теперь, когда у нас есть масса данных в списке, пришло время отфильтровать список, чтобы уменьшить количество строк, которые нам придётся просматривать. Поскольку мы рассматриваем значение реестра, которое изменяется, нам необходимо выполнить фильтрацию по «RegSetValue», которое Windows использует для фактической установки нового параметра в разделе реестра. Используйте опцию «Include», чтобы показать только эти события.
Теперь ваш список должен быть ограничен только ключами реестра, которые были изменены, поэтому пришло время взглянуть на события и попытаться выяснить, какой это может быть раздел реестра. Поскольку мы проверяем параметр «Заблокировать панель задач», а один из настраиваемых разделов реестра содержит в названии слово «Панель задач», это хорошее место для начала. Щёлкните правой кнопкой мыши путь и выберите Jump To («Перейти к месту»).
Process Monitor откроет редактор реестра и выделит ключ в списке. Теперь нам нужно убедиться, что это действительно правильный ключ, который довольно легко определить. Взгляните на настройку, а затем посмотрите на ключ. Сейчас настройка включена, а ключ установлен на 0.
Поэтому измените настройку, нажмите «Применить» в диалоговом окне, а затем используйте клавишу F5, чтобы обновить окно редактора реестра. В нашем случае мы определённо выбрали правильный параметр, поэтому теперь вы можете видеть, что для параметра TaskbarSizeMove установлено значение 1.
Если вы выбрали неправильное значение, вы не увидите изменений при повторном тестировании настроек. Так что идите и найдите следующий логичный вариант и начните заново.
Устранение проблем с помощью Process Monitor
На самом деле невозможно проиллюстрировать в одной статье, как устранить любую проблему с помощью Process Monitor или любого другого инструмента в этом отношении. Слишком много комбинаций проблем, слишком много путей, по которым что-то может пойти не так.
Однако мы можем показать, как на самом деле мы использовали Process Monitor для устранения реальной проблемы, которая действительно произошла с одним из наших тестовых компьютеров. Мы устанавливали какое-то вредоносное ПО, а затем решили попробовать очистить компьютер. Проблема заключалась в записи на панели «Удаление программ», которая просто не исчезла.
Каждый раз, когда мы нажимали «Изменить», чтобы удалить её, мы получали сообщение об ошибке «Произошла ошибка при попытке удалить AwfulApp. Возможно, она уже была удалена. Вы хотите удалить AwfulApp из списка «Программы и компоненты? ».
Это было бы здорово, если бы мы не получили сообщение об ошибке: «У вас недостаточно прав для удаления OutfoxTV из списка программ и функций. Пожалуйста, обратитесь к системному администратору».
Первое, что нужно было сделать, это снова попробовать процесс удаления с запущенным Process Monitor, который захватил огромное количество данных. На этот раз мы решили использовать функцию Find («Найти») (CTRL+F), чтобы быстро найти то, что мы искали в списке. Вы также можете использовать фильтр, если хотите, но это казалось простым и, к счастью, сработало в первый раз.
Взглянув на первый элемент в списке, мы заметили ошибку: Windows пыталась получить доступ к разделам реестра, связанным с программой удаления, но на самом деле их не было в реестре в том месте, которое искала Windows. Если вы посмотрите на пару ключей вниз, вы увидите событие RegOpenKey с результатом УСПЕХ для какого-то объекта в HKLM\Software\Wow6432Node.
Выполнение поиска по этому ключу реестра очень быстро привело нас к источнику проблемы: сообщению ACCESS DENIED (доступ запрещён), когда Windows пыталась выполнить очистку списка с помощью операции RegDeleteKey. Интересно!
Конечно же, посмотрите на все эти ключи реестра! Неудивительно, что он до сих пор фигурирует в списке.
Чтобы быть уверенным, мы открыли каталог C:\Program Files\, чтобы посмотреть, остались ли какие-либо файлы, но очевидно, что приложение уже было стёрто с ПК.
Решение было очень простым: мы просто вручную удалили раздел реестра, с удалением которого у Windows возникли проблемы. Если бы мы получили сообщение об отказе в доступе, мы могли бы использовать настройку разрешений, чтобы убедиться, что у нас есть доступ, и повторить попытку.
К счастью, удаление сработало немедленно, и теперь список программ удаления стал чистым.
Это лишь некоторые из множества способов использования Process Monitor — это чрезвычайно важная и полезная утилита, освоение которой займёт некоторое время, но как только вы это сделаете, она действительно может помочь вам решить многие проблемы.
Следующий урок
Далее мы рассмотрим многие другие утилиты в SysInternals Toolkit, включая некоторые из мощных инструментов командной строки.
Как использовать монитор процессов устранение системных ошибок, вызванных неполадок доступа к файлам в Microsoft Dynamics SL
ВВЕДЕНИЕ
Дополнительные сведения
Монитор процессов отслеживает и отображает в системе в режиме реального времени активности файловой системы. Возможности Process Monitor лучше мощным средством для идентификации источника неполадок в Microsoft Dynamics SL. Отметок функция Process Monitor показано, когда выполняются следующие действия:
В столбце состояние в Process Monitor сообщает результат действия. Процесс монитор начинает наблюдение за после запуска процесса монитора. В окне вывода в Process Monitor можно сохранить в файле и отправлен в службу технической поддержки для просмотра.
Монитор процессов работает с Windows Vista, Windows Server 2003, Windows XP и Microsoft Windows 2000.
Чтобы загрузить, установить и запустить Process Monitor, выполните следующие действия.
Чтобы загрузить Process Monitor, посетите следующий веб-узел корпорации Майкрософт:
Извлеките файл ProcessMonitor.zip на компьютере, который требуется наблюдать.
Примечание. Необходимо иметь права локального администратора для запуска процесса монитора.
Чтобы приостановить запись событий, нажмите кнопку запись или нажмите сочетание клавиш CTRL + E.
Чтобы удалить записи, нажмите кнопку Очистить или нажмите клавиши CTRL + X.
Запустите Microsoft Dynamics SL, а затем Microsoft Dynamics SL к точке до возникновения ошибки.
Для запуска записи событий, нажмите кнопку запись или нажмите сочетание клавиш CTRL + E.
Запустите Microsoft Dynamics SL до возникновения ошибки.
После появления ошибки перейдите в Process Monitor.
Чтобы приостановить запись событий, нажмите кнопку запись или нажмите сочетание клавиш CTRL + E.
Примечание. Результатов захвата событий можно просмотреть на экране или сохранены в файл. Этот файл можно затем направляется технической поддержки для просмотра.
Программа работает во всех версиях ОС Windows (проверено на Windows 2000 и старше), не требует инсталляции, однако должна выполняться под учетной записью с правами администратора. В архиве также присутствует файл документации на английском языке procmon.chm и текстовый файл с кратким описанием и лицензионным соглашением.
Созданию фильтров будет посвящен отдельный раздел статьи, поэтому пока можно просто закрыть это окно и продолжить знакомство с программой.
После запуска исполняемого файла procmon.exe начинается сбор, обработка и вывод данных об отслеживаемых событиях в основном окне программы:
  Возможен вывод колонок, разбитых на 3 категории:
Вывод всех колонок на экран неудобен, поэтому лучше ограничиться их минимально необходимым количеством, а более детализированную информацию получать двойным щелчком на строке отображаемого события.
В последних версиях Process Monitor при первом запуске выводятся колонки, наиболее подходящие для быстрого анализа информации и дающие представление о том, какой процесс, какую операцию выполнил, и с каким результатом.:
  Панель инструментов позволяет быстро выполнить наиболее необходимые и часто используемые в практической работе с программой, действия. Кнопки панели инструментов выполнены в стиле, характерном для большинства программных продуктов Sysinternals и, в основном, имеют схожее предназначение.
Пункты основного меню File
Пункты основного меню Edit
Пункты основного меню Event
Отображается окно свойств события Event Properties
Пункты основного меню Filter
Пункты основного меню Tools
Пункты основного меню Options
Создание фильтров вручную позволяет получать более гибкие правила, основанные на использовании логических выражений.
Запись правила фильтрации состоит из 4-х колонок:
Необходимо учитывать, что Procces Monitor, при завершении работы, запоминает последний активный фильтр и при следующем запуске применяет его в качестве текущего. Для сброса фильтра используется комбинация клавиш CTRL+R.
# Mozilla User Preferences
/* Do not edit this file.
*
* If you make changes to this file while the application is running,
* the changes will be overwritten when the application exits.
*
* To make a manual change to preferences, you can visit the URL about:config
* For more information, see http:// www.mozilla.org/ unix/ customizing.html#prefs
*/
При необходимости получения данных о статистике использования отдельных каталогов можно перейти на вкладку By Folder
При необходимости получения статистики использования файлов по расширениям нужно перейти на вкладку By Extensions
Позволяет получить данные об использовании различными процессами пользовательских функций и функций ядра. По сути, позволяет определить наиболее используемые процессами в период мониторинга библиотеки, службы, драйверы. Нажатие кнопки Go to Event позволяет перейти к событию, связанному с текущим вызовом в окне вывода данных Process Monitor.
В данном окне можно также включить режим периодического перехвата состояния всех процессов (Profiling) с интервалом в 1 секунду или 100 миллисекунд.
Режим записи информации в журнал мониторинга начнется в ходе загрузки Windows с момента запуска драйвера программы ( PROCMON20.SYS ) и будет продолжаться до тех пор, пока утилита Process Monitor не будет запущена вновь вошедшим в систему пользователем. Данный режим выполняется только для одной перезагрузки системы.
После нового запуска Process Monitor, пользователь получит сообщение о том, что имеется журнал с данными мониторинга активности в процессе загрузки Windows, созданный предыдущим экземпляром программы и запрос на сохранение собранных данных.
После ответа «Да» файл отчета будет сохранен, и можно приступать к анализу полученной информации.
Необходимо учитывать тот факт, что процесс записи данных мониторинга продолжается после завершения загрузки системы и регистрации пользователя, и если не выполнить запуск Process Monitor, то файл журнала ( C:\Windows\procmon.pmb ) будет продолжать расти в размере и, в конце концов, может вызвать переполнение диска.
Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»
Process monitor что это за программа
Многих интересует вопрос «Как узнать, что делает программа при установке, запуске, закрытии, работе? Как следить за программой?» Ответ: с помощью другой программы, которая называется Process Monitor.
Process Monitor – программа для Windows, которая в режиме реального времени показывает куда записываются или откуда удаляются файлы, какие файлы читаются той или иной программой, какие действия программа делает с реестром, как и когда отслеживаемая программа использует сеть (интернет), а также следит за процессами и потоками. Программа оснащена мощным фильтром для отслеживания нужных процессов или событий. Process Monitor является главным инструментом для устранения неисправностей системы и избавления от вредоносных программ (вирусов).
А теперь рассмотрим подробнее как работать с программой, и разберем ее ключевые функции. Для более подробного ознакомления с программой смотри колонку «видео» справа, так как для полного описание программы потребуется написать книгу ).
Так выглядит главное окно программы при запуске Process Monitor. Сразу после запуска начинается запись процессов Windows это обращение и создание файлов, обращение к реестру, сети и т.д.
Разумеется, сразу записывается очень большое количество информации, и найти в ней нужное не очень легко, но здесь на помощь к нам прейдут фильтры, но о них чуть позже сначала разберемся с интерфейсом программы.
На основной панели программы :
Размещены ее основные функции. Самая правая группа значков
Это значки предварительной (грубой) фильтрации. Слева направо: показывать обращения к реестру, к файловой системе, к сети (интернету), показывать процессы и потоки, профилирование для каждого процесса. Соответственно если выбрать одну иконку, например, обращение к реестру, то и будет показываться только обращение к реестру, если две, то две и т.д. Замечу что даже если вы какие то иконки не выбираете, то запись ее все равно продолжается и если вы ее включите, то будут показаны события до ее включения.
Следующие два пункта это поиск и переход:
Соответственно если нажать поиск то высветится окно где надо будет ввести фразу или параметры, а если нажать переход то откроется проводник, если вы смотрите допустим что за файл создается или редактор реестра, если смотреть какие параметры реестра меняются или читаются.
Следующая группа меню фильтры
Первый пункт это непосредственно сам фильтр при нажатии откроется окно где надо будет выбрать параметры фильтрации.
Второй пункт это выделение определенных строчек, т.е. тоже фильтр, но нужные данные он просто выделяет.
Третий пункт «прицел» он нужен для быстрого добавления процесса, если вы не знаете, как он называется. Например, открылось какое-то окно, но вы не знаете что это за окно, нажимаете на прицел и держите его, перетаскивая на появившееся окно, автоматически создастся фильтр, который будет следить за этим процессом.
Следующая группа меню отвечает за отображение событий в главном окне
Увеличительное стекло это остановка и запуск слежения. Список со стрелочкой это автоматическая прокрутка, когда появляется новая запись. А список с ластиком это очистка списка событий, которые отображаются на кране.
Последние два меню, думаю сильно объяснять не надо это сохранение или загрузка прослеженных процессов
Сохранить можно, например, если хотите разобрать данные на другом компьютере.
А теперь разберем работу программы на примере. Допустим, мы хотим узнать, что делает какое-то приложение у нас в компьютере. Пусть это приложение у нас будет блокнот. В процессах мы заранее знаем, что он называется как notepad.exe. Запускаем Process Monitor, нажимаем кнопку «Filter» (Ctrl+L) и видим следующее окно:
По умолчанию в нем уже включены несколько фильтров, которые исключают из списка разного рода системные процессы, процессы самой программы Process Monitor и другие, которые обычно не нужны для анализа.