Что за программа process monitor

Многих интересует вопрос «Как узнать, что делает программа при установке, запуске, закрытии, работе? Как следить за программой?» Ответ: с помощью другой программы, которая называется Process Monitor.
Process Monitor – программа для Windows, которая в режиме реального времени показывает куда записываются или откуда удаляются файлы, какие файлы читаются той или иной программой, какие действия программа делает с реестром, как и когда отслеживаемая программа использует сеть (интернет), а также следит за процессами и потоками. Программа оснащена мощным фильтром для отслеживания нужных процессов или событий. Process Monitor является главным инструментом для устранения неисправностей системы и избавления от вредоносных программ (вирусов).

А теперь рассмотрим подробнее как работать с программой, и разберем ее ключевые функции. Для более подробного ознакомления с программой смотри колонку «видео» справа, так как для полного описание программы потребуется написать книгу ).

Так выглядит главное окно программы при запуске Process Monitor. Сразу после запуска начинается запись процессов Windows это обращение и создание файлов, обращение к реестру, сети и т.д.

Process Monitor: отслеживание файловой активности

Разумеется, сразу записывается очень большое количество информации, и найти в ней нужное не очень легко, но здесь на помощь к нам прейдут фильтры, но о них чуть позже сначала разберемся с интерфейсом программы.

На основной панели программы :

Размещены ее основные функции. Самая правая группа значков

Это значки предварительной (грубой) фильтрации. Слева направо: показывать обращения к реестру, к файловой системе, к сети (интернету), показывать процессы и потоки, профилирование для каждого процесса. Соответственно если выбрать одну иконку, например, обращение к реестру, то и будет показываться только обращение к реестру, если две, то две и т.д. Замечу что даже если вы какие то иконки не выбираете, то запись ее все равно продолжается и если вы ее включите, то будут показаны события до ее включения.

Следующие два пункта это поиск и переход:

Соответственно если нажать поиск то высветится окно где надо будет ввести фразу или параметры, а если нажать переход то откроется проводник, если вы смотрите допустим что за файл создается или редактор реестра, если смотреть какие параметры реестра меняются или читаются.

Следующая группа меню фильтры

Первый пункт это непосредственно сам фильтр при нажатии откроется окно где надо будет выбрать параметры фильтрации. Второй пункт это выделение определенных строчек, т.е. тоже фильтр, но нужные данные он просто выделяет. Третий пункт «прицел» он нужен для быстрого добавления процесса, если вы не знаете, как он называется. Например, открылось какое-то окно, но вы не знаете что это за окно, нажимаете на прицел и держите его, перетаскивая на появившееся окно, автоматически создастся фильтр, который будет следить за этим процессом.

Следующая группа меню отвечает за отображение событий в главном окне

Выявляем кражу паролей методом анализа сетевой активности утилитой Process Monitor

Увеличительное стекло это остановка и запуск слежения. Список со стрелочкой это автоматическая прокрутка, когда появляется новая запись. А список с ластиком это очистка списка событий, которые отображаются на кране.

Последние два меню, думаю сильно объяснять не надо это сохранение или загрузка прослеженных процессов

Сохранить можно, например, если хотите разобрать данные на другом компьютере.

А теперь разберем работу программы на примере. Допустим, мы хотим узнать, что делает какое-то приложение у нас в компьютере. Пусть это приложение у нас будет блокнот. В процессах мы заранее знаем, что он называется как notepad.exe. Запускаем Process Monitor, нажимаем кнопку «Filter» (Ctrl+L) и видим следующее окно:

По умолчанию в нем уже включены несколько фильтров, которые исключают из списка разного рода системные процессы, процессы самой программы Process Monitor и другие, которые обычно не нужны для анализа.

Создадим свой фильтр, который будет показывать только процесс notepad.exe. Для этого нажимаем первую стрелочку вниз, где по умолчанию написано “Architecture” и из предложенного списка выбираем “Process Name” Рис.1. Далее из второго списка выбираем пункт “is”, который стоит по умолчанию Рис.2.

В следующем меню мы можем выбрать процесс из уже запущенных или добавить его самим, написав в поле “notepad.exe”т.к. блокнот нами еще не запущен Напишем его сами Рис.3. Последний пункт это то как позиционировать этот процесс “Include” оставить только его, а “Exclude” исключить его из общего потока. Выбираем “Include” Рис.4. Нажимаем ниже кнопочку “Add” добавить фильтр.

В итоге у нас должно получиться следующее:

Нажимаем внизу “Apply” “Ok” и мы видим, что список в программе стал чистым это, потому что мы включили фильтр процесс, который еще не запущен и добавили условие игнорировать все кроме этого процесса.

Запускаем блокнот и видим следующее:

Первой строчкой видим запуск процесса с PID и Parent PID, потом создается поток, загружаются графические файлы, создается файл в папке C:WindowsPrefetch и с именем NOTEPAD.EXE-D8414F97.pf. Можем сразу перейти в эту папку для этого достаточно выделить строчку в данном случаи пятая и нажать на главной панели зеленую стрелочку, и сразу отроется папка, в которой создан этот файл. Далее идет подгрузка различных системных библиотек, чтение настроек из реестра как системных таки и пользовательских и много еще чего.

На главном меню есть еще один значок, о котором не говорилось раньше это: Это иконка дерева процессов. Если ее нажать то увидем следующее окно:

По этому дереву видно, какая программа, какой процесс запускала, папка, откуда запускалась, сколько жил процесс и много-много разной информации.

На этом все, как я уже говорил все показать потребуется написание целой книги, поэтому смотрите видео, которые расположены справа там больше рассказывается да еще и показывается ).

Комментарии по вышесказанному приветсвуются.

Монитор процессов

Рис. 1. Монитор процессов

Напротив каждого процесса отображена следующая информация:

• Активные процессы – количество текущих экземпляров процесса;
• Активные задачи – количество активных на данный момент задач по всем экземплярам процесса;
• Завершенные процессы – количество завершенных экземпляров процесса;
• Прерванные процессы – количество прерванных экземпляров процесса.

Щелкните мышью по названию процесса, и откроется страница монитора процесса, на которой расположена полная информация по всем экземплярам этого процесса.

Щелкая мышью по цифрам, обозначающим количество текущих, завершенных и прерванных экземпляров процесса и количество задач, Вы будете перемещаться на страницу монитора процесса с соответственно отфильтрованной информацией на вкладку Процессы или Задачи в зависимости от выбора.

Слева отображается дерево фильтров:

• Все – отображает на странице экземпляры по всем процессам, доступным текущему пользователю. Данный раздел также позволяет работать с фильтрами, подробнее о работе с ними см. соответствующий раздел справки.
• Монитор процессов – отображает монитор процессов (рис. 1).
• Полный монитор процессов – отображает полное дерево процессов таким же как в Дизайнере. Данный раздел позволяет организовать удобную навигацию в тех случаях, когда необходимо осуществлять мониторинг большого количества процессов и уже нецелесообразно отображать их плоским списком. Этот раздел появляется только у тех пользователей, которые обладают правами на полный монитор процессов.
• Ниже отображаются персональные и общие фильтры.

Список процессов, полученный с помощью фильтра, может быть экспортирован в файл Excel. Для этого необходимо на панели настроек таблицы списка экземпляров процесса в карточке фильтра нажать кнопкой мыши на иконку .

Данная кнопка появляется на панели настроек таблицы только у пользователей, обладающих правами на экспорт списка объектов. Права доступа назначаются в разделе Администрирование – Доступ приложений – Глобальные настройки доступа – Процессы – Экспорт процессов.

Процесс экспорта списка экземпляров процесса аналогичен процессу экспорта списка задач, подробнее об этом см. в соответствующем разделе справки.

См. также:

• Доступ к процессам;
• Мои процессы;
• Контроль выполнения и мониторинг;
• Страница монитора процесса;
• Полный монитор процессов.

⇡#Новые возможности работы с несколькими мониторами в Windows 8

С выходом Windows 8, релиз которой, напомним, запланирован на 25 октября, владельцы мультимониторных систем (согласно данным, собранным в рамках программы сбора отзывов о Windows, это 14% настольных ПК и 5% ноутбуков) получат в свое распоряжение больше средств для настройки. В новой операционной системе можно будет задавать отображение отдельного фона рабочего стола на каждом мониторе или же растягивать фон рабочего стола на все мониторы. В параметрах персонализации Windows 8 можно будет даже обнаружить новую панорамную тему.

В новой операционной системе впервые будет реализована и такая востребованная функция, как показ панели задач на всех подключенных мониторах. Причем способом отображения значков можно гибко управлять. Например, кнопки запущенных приложений могут отображаться:

• только на той панели задач, где открыто окно;
• на панелях задач всех мониторов;
• на панели задач основного монитора и на той панели задач, где открыто окно.

Изменения коснутся и способа доступа к элементам управления интерфейсом. В Windows 7 меню «Пуск» отображается только на одном мониторе, а в Windows 8 можно будет вывести стартовый экран, панель Charms или панель для переключения между запущенными приложениями с любого монитора — углы и края на всех дисплеях будут интерактивными. Также будет реализована возможность запуска на одном мониторе классических программ, а на другом — приложений в стиле Metro. Наконец, разработчики обещают перетаскивание Metro-приложений между мониторами с помощью мыши и с использованием «горячих» клавиш.

Таким образом, Windows 8 устраняет все основные недоработки, которые касались работы с несколькими мониторами на Windows 7. Но пока еще новая система не вышла и не получила широкого распространения, приложения от сторонних разработчиков, решающие старые проблемы многомониторных систем, будут оставаться актуальными.

Самые известные из подобных программ — это Actual Multiple Monitors, DisplayFusion и UltraMon. Но все они распространяются на коммерческой основе, а если учесть улучшения в Windows 8, вряд ли найдется много желающих платить за лицензию, которая после перехода на новую ОС может оказаться ненужной. Поэтому обратимся к бесплатным приложениям и посмотрим, что они могут предложить пользователям Windows 7.

Источник: android-mob.ru

Process Monitor

Process Monitor – мощная портативная утилита, предназначенная для отслеживания процессов и вносимых ими изменений в файловую систему и реестр операционной системы. Утилита регистрирует такие события как создание, удаление и модификация файлов, папок и ключей реестра, открытие и завершение процессов, создание или открытие объектов отображенных в памяти файлов для заданных файлов, активность сетевых протоколов и так далее.

Полное описание

Помимо типа операции, программа показывает путь исполняемого файла и идентификатор процесса, точное время активности и его текущий статус.

Открыв двойным кликом свойства процесса, можно получить подробные о нем сведения: длительность, ID пользователя, сеанса, родительского процесса, имена загруженных динамических библиотек и драйверов ядра, уровень доверия, список стеков с указанием фрейма, адреса команды и адреса кода в модуле. Так как по умолчанию Process Monitor перехватывает и выводит все события, для отслеживания только определенных событий в программе реализована функция фильтрации. Данные могут быть отфильтрованы по 27 критериям, кроме того, пользователь может указать дополнительные условия фильтрации.

Также утилитой поддерживается отключение показа события определенного типа из графического меню, запись информации в файл, запись в журнал всех операций во время загрузки системы, быстрый переход к объекту, захват событий, получение сводок по файлам, реестру, стекам, сети и перекрестным ссылкам, представление процессов в виде древовидной структуры и прекращаемый поиск. Из дополнительных возможностей инструмента можно отметить импорт и экспорт конфигурации, сохранение фильтров и просмотр базовых сведений о системе.

ОС: Windows 11, 10, 8.1

Источник: www.white-windows.ru

Диагностика медленной загрузки Windows с помощью Process Monitor

13.02.2017

itpro

Windows 10, Windows 7

Один комментарий

Для диагностики причин медленной загрузки ОС Windows существует ряд довольно мощных утилит и методик анализа журналов событий, позволяющих выполнить детальную отладку всех этапов процесса загрузки системы и запуска служб (xperf/xbootmgr из Windows Performance Toolkit / Analyzer). Но их использование может вызвать ряд трудностей, особенно для начинающего системного администратора. В этой статье мы покажем, как с помощью Process Monitor можно довольно просто и быстро определить, какие программы, службы и драйвера долго выполняются при старте системы, увеличивая тем самым общее время загрузки для пользователя.

Безусловно, всем системным администраторам Windows, должна быть знакома утилита Process Monitor из комплекта системных утилит Sysinternals. Утилита Process Monitor позволяет в реальном времени отслеживать активность запущенных процессов, обращения к файловой системе и реестру. Одной из малоизвестной функцией Process Monitor является возможность включения режима мониторинга процессов запускаемых во время загрузки Windows.

Для диагностики этапа загрузки, Process Monitor создает отдельную службу в разделе реестра HKLMSYSTEMCurrentControlSetServices. Данная служба загружает драйвер режима загрузки procmon23.sys, стартующий после запуска Winload.exe, который протоколирует активность всех, процессов выполняющихся во время запуска системы и входа пользователя.

Скачайте и распакуйте архив с ProcessMonitor (http://download.sysinternals.com/files/ProcessMonitor.zip)

Запустите с правами администратора файл procmon.exe

В меню Options выберите пункт Enable Boot Logging

В появившемся окне выберите опцию Generate thread profiling events -> Every second. В этом режиме драйвер procmon будет перехватывать состояние всех процессов каждую секунду

Перезагрузите компьютер и дождитесь появления рабочего стола

Драйвер procmon23.sys будет записывать все события до тех пор, пока пользователь не запустит утилиту Process Monitor . После этого режим протоколирования загрузки отключается.

В окне Process Monitor соглашаемся с предложение сохранить собранные данные в файл.

Примечание. Если не остановить работу Process Monitor, то временный файл журнала %windir%procmon.pmb со временем займет все свободное место на системном диске.

Выберите каталог, в котором нужно сохранить файл и дождётесь его сохранения. В моем случае в целевом каталоге появилось три файла Bootlog .pml, Bootlog-1.pml и Bootlog-2.pml общим размером 700 Мб.

Щелкните по заголовку таблицы в окне ProcMon, выберите SelectColumns и включите отображение столбца Duration

Создадим новый фильтр в меню Filter.

В качестве параметра фильтрации укажем Duration, условие more than и значение 10. Нажмите кнопку Add и ОК.

Таким образом, в списке процессов окажутся только те процессы, у которых на выполнение некоторых операций ушло больше 10 секунд (10 секунд я выбрал для большей наглядности примера).

Также для анализа процесса загрузки можно воспользоваться функцией в меню Tools ->Process Tree, позволяющей отобразить все процессы в виде графического дерева с информацией о начале, завершении и длительности процесса.

Осталось проанализировать полученный список процессов (в случае необходимости можно провести дальнейший анализ проблемного процесса, включив фильтр по имени исполняемого файла), соотнести процессы со службами, программами и драйверами и провести оптимизацию системы.

Как правило, этот анализ поможет выявить «тормозящие» процессы, засевший в системе троян (в первую очередь нужно анализировать дочерние процессы Winlogon.exe), принять решение о необходимости удалить/обновить проблемное ПО или драйвер устройства, отключить некоторые службы или изменить тип их запуска (отложенный запуск или ручной по запросу), убрать программы из автозагрузки. Чаще всего в этом списке оказываются антивирусы и другое «тяжелое» ПО.

Предыдущая статья Следующая статья

Источник: winitpro.ru