Process Monitor
Process Monitor — программа от компании Sysinternals для наблюдения в реальном масштабе времени за действиями различных процессов в среде операционной системы Windows .
После приобретения Sysinternals компанией Майкрософт , в разделе технической поддержки появился раздел Windows Sisinternals где можно найти описание
и ссылки для скачивания большинства программных продуктов Sysinternals .
Утилита Process Monitor , включает в себя возможности программы мониторинга обращений к реестру Regmon и программы мониторинга обращений к файловой системе Filemon ,
и дополнительно , позволяет получать более подробную информацию о взаимодействии процессов , использовании ресурсов , сетевой активности и операциях ввода-вывода .
Авторы — Марк Руссинович ( Mark Russinovich ) и Брюс Когсуэлл ( Bryce Cogswell )
Программа работает во всех версиях ОС Windows ( проверено на Windows 2000 и старше ) , не требует инсталляции ,
однако должна выполняться под учетной записью с правами администратора .
Выявляем кражу паролей методом анализа сетевой активности утилитой Process Monitor
В архиве также присутствует файл документации на английском языке procmon . chm и текстовый файл с кратким описанием и лицензионным соглашением .
Для своей работы , Process Monitor устанавливает в системе собственный драйвер PROCMON20 . SYS , с помощью которого выполняется перехват контролируемых монитором системных функций
и сбор данных подлежащих мониторингу . Наблюдение выполняется для следующих классов операций — обращения к файловой системе ( file system ) ,
обращение к реестру ( Registry ) , работа с сетью ( Network ) , и активность процессов ( Process ) .
При первом запуске на экран будет выдано лицензионное соглашение , требующее подтверждения пользователя .
Затем , после старта программы Process Monitor , выводится окно с фильтрами для исключения из процесса наблюдения событий стандартной активности системы и самого монитора .
Источник: b14esh.com
Как отследить что делает программа на компьютере.
Если вас тормозит компьютер или сервер на ОС Windows, и вы хотите понять что именно делает процесс который аномально грузит систему, либо если вам просто интересно что делает та или иная программа на вашем компьютере, то вам пригодится утилита Process Monitor.
Process Monitor утилита от не безызвестных SysInternals, об одном из набора их утилит — pstools, а именно об утилите PsExec, которая позволяет удаленно управлять компьютером Windows из командной строки я уже писал. В общем Process Monitor позволяет посмотреть что именно делает процесс, что пишет на диск, что отправляет по сети, что пишет в реестр и т.п. Скачать ее можно здесь . Качаем архив, разархивируем в любую папку и запускаем программу procmon.exe (для запуска нужны права администратора).
Программа будет непрерывно писать действия всех процессов, что может сказаться на производительности, будьте внимательны. Что бы приостановить запись событий нужно нажать на кнопку Capture (коминация Ctrl+E)
Что бы отфильтровать записи по определнным процессам нужно нажать кнопку Filter (комбинация Сtrl+L)
Например отобразим процессы Chrome. Для этого в фильтре выбираем Process Name, is, Chrome.exe, Include. Жмем кнопку Add и Apply
В списке процессов останутся только процессы Chrome.
Так же программа позволяет оставить только то что нас интересует, например сетевая активность процесса, либо операции с файловой системой ну или операции с реестром, все это включается выбором нужных нам кнопок. Например я оставил только сетевую активность.
Так же ProcessMonitor позволяет построить дерево процессов, и посмотреть от каких процессов зависит процесс который мы изучаем, где находится его исполняемый файл и какие команды вызываются процессом
В общем, при помощи данной небольшой утилиты можно узнать практически все о любом процессе на вашем компьютере.
Источник: www.mytechnote.ru
SMEARG
Наверное, каждый уважающий себя ИТ-шник знает (или хотя бы слышал) про Process Monitor (ProcMon) от Sysinternals.
Недавно рассказывал одному юному падавану как пользоваться этим замечательным, а в некоторых случаях незаменимым инструментом. И пока рассказывал пришла в голову мысль написать такую вводную инструкцию для тех, кто только начинает свой тернистый путь админа.
Вообще, по моему мнению всё, что касается ProcMon лучше всего описано в книге от разработчиков, которая так и называется “Утилиты Sysinternals. Справочник администратора”.
Я же не буду лезть в дебри, и постараюсь изложить с минимумом теории, и максимумом практики на конкретном примере.
Запуск ProcMon
Во-первых, я не рекомендую запускать ProcMon просто так, чтобы посмотреть, что он делает, и как выглядит. Я вам и так скажу, что он делает цитатой из книги:
Регистрирует активность файловой системы, реестра, сети, процессов, потоков, а также загрузку образов в реальном времени.
Если просто запустить ProcMon рабочее окно программы моментально заполнился разными событиями, даже если вы ничего не делаете. Разобраться в этих событиях, и найти интересующие даже опытному мастеру очень сложно. Да и не нужно, но обо всём по порядку.
Чаще всего ProcMon запускается с конкретной целью, например, определить, что делает та, или иная программа, какой процесс пишет файлы в определённый каталог или ветвь реестра, куда девается место на диске, и т.д. Поэтому, если просто запусить ProcMon то придётся остановить сбор событий (Ctrl+E), очистить уже собранные события (Ctrl+X), настроить фильтры (Ctrl+L), и снова запустить наблюдение. Для того, чтобы не делать столько лишний движений предусмотрен параметр командной строки /noconnect:
Запуск с этим параметром запускает Procmon, но не начинает наблюдение, вместо этого сразу же открывается окно фильтров.
Вообще для упрощения запуска, я делаю (и всем советую делать так) как описывается всё в той же книге:
Мой соавтор Аарон обычно создает папку C:Program FilesSysinternals и распаковывает в нее содержимое пакета Sysinternals Suite. Там утилиты невозможно изменить без прав администратора. Затем он добавляет этот каталог в системную переменную окружения Path, что позволяет легко запускать утилиты откуда угодно, в том числе через меню Start | Run (Пуск | Выполнить).
Фильтры в ProcMon
Как было сказано выше окно фильтров открывается при запуске с параметром /noconnect. Если вы его нечаянно закрыли, или нужно подправить уже настроенные фильтры, открыть окно фильтров можно сочетанием клавиш Ctrl+L, или через меню Filter | Filter… .
Вот мы и добрались до практики
Как мониторить реестр я уже рассказывал, поэтому сегодня будем учиться мониторить файловую систему. Для примера будем отслеживать какие изменения делает стандартный блокнот.
Итак, у нас открыто окно фильтров.
Фильтры в ProcMon
На всякий случай нажимаем кнопку сброса фильтров в состояние по умолчанию – Reset(по умолчанию в ProcMon настроено до фига фильтров, не рекомендуется их удалять) и добавляем фильтр
Process Name is notepad.exe include.
Нажимаем кнопку Add. Как можно понять из названия захватываться будут только события, связанные с процессом notepad.exe, т.е. те события, которые генерирует блокнот.
Важный момент: имя процесса должно быть указано полностью – с расширением, иначе ProcMon ничего не захватит. Как вариант можно использовать фильтр
Process Name begins with notepad include
В таком случае будут захвачены события, связанные с процессами, начинающимися на notepad, это может быть как стандартный блокнот, так и Notepad++ , или какой-нибудь ещё блокнот. Таким же образом добавляем фильтр на запись файлов:
Operation is WriteFile include
Нажимаем Add и OK (вообще можно просто нажать OK, в таком случае ProcMon скажет, что такого фильтра ещё нет, и спросит хотим-ли мы его добавить. Дело в том, что нажатие кнопки закрывает OK окно фильтров, если это не единственный фильтр, то лучше нажать кнопку Add, это позволит добавить фильтр, и оставить окно фильтров открытым для последующих фильтров).
Так как нас интересует только файловая активность, в главном окне ProcMon отключаем значки наблюдения за реестром, сетью и процессами – оставляем только наблюдение за файловой системой (выделены на скриншоте ниже).
Ещё один важный момент.
По умолчанию ProcMon регистрирует всю активность системы, даже те события, которые не попадают под фильтры, что в некоторых случаях может приводить к подтормаживанию работы. Если вы уверены в том, что фильтры настроены правильно (в данном примере мы уверены), и вам не нужны события, скрытые ими – их можно отбросить при помощи опции Filter | Drop Filtered Events (Удаление отфильтрованных событий) в меню Filter. Данный параметр действует только на регистрацию текущих событий, ранее записанные события из журнала не удаляются.
После того как фильтры настроены запускаем сбор событий (кнопка с изображением лупы, или Ctrl+E). Запускаем блокнот, пишем какой-то текст и сохраняем файл. Смотрим, что получилось:
Файловая активность в ProcMon
Как видно из скриношота ProcMon зафиксировал событие записи файла процессом notepad.exe по пути C:temptest.txt.
Проведём ещё один эксперимент.
Остановим захват событий (Ctrl+E), з акроем блокнот и очистим собранные события (Ctrl+X). Вызовем окно фильтов (Ctrl+L), сбросим фильтры (кнопкой Reset) и добавим следующий фильтр:
Path begins with c:temp
Этим самым мы указываем, что нас интересует любая активность по пути C:temp. А так как значение указано не точно (не is, а begins with), то захватываться будут события не только из этого каталога, но и из всех его подкаталогов.
Проверьте, чтобы было включено наблюдение только за файловой системой (при сбросе фильтров всё сбрасывается в состояние по умолчанию)
Фильтры в ProcMon
Запустим наблюдение. Откроем проводник и перейдём по нашему пути. Заглянем в ProcMon.
Так выглядит открытие каталога в ProcMon
Там будет куча непонятных нам событий, но они нам и не нужны, просто посмотрите сколько событий происходит, когда вы всего лишь заходите в каталог.
Можете открыть файл и посмотреть какая неразбериха будет в ProcMon. Вот почему я никогда не советую запускать ProcMon только для того, чтобы посмотреть, что там происходит в системе.
Для того, чтобы увидеть сами события чтения файла, остановите сбор событий, очистите окно результатов, добавьте фильтр
Operation is ReadFile
и снова откройте файл.
Должно получиться, что-то вроде этого (как видно из скриншота я открывал файл двумя разными процессами):
А вот так выглядит чтение файла в ProcMon
Вот таким простым способом можно узнать кто пишет файлы в определённый каталог. Ещё раз отмечу, что это не всё, на что способен ProcMon, это только верхушка айсберга. Для более близкого знакомства с ним рекомендую почитать книгу “Утилиты Sysinternals. Справочник администратора”, а также искать дополнительную информацию в интернете, например, на YouTube, или TechDays. Кстати, на TechDays есть записи от самого Марка Русиновича с русским переводом
Источник: smearg.wordpress.com
Process Monitor 3.04: управление процессами и реестром
Вышла новая версия программы Process Monitor, объединяющая возможности известных утилит Filemon и Regmon, которые ранее выпускались компанией Sysinternals. Напомним, что эта компания ныне является частью корпорации Microsoft.
Process Monitor наблюдает за работой системы и отображает все происходящие процессы в реальном времени. При помощи программы можно увидеть, как работает Windows, как приложения используют файлы и DLL, устранить ошибки в системных файлах. Также программа может показывать все изменения, происходящие с файлами, сообщать об их удалении или открытии.
В Process Monitor есть и инструменты для слежения за состоянием реестра. Она покажет, какие приложения обращаются к реестру и, в частности, к каким ключам, какие данные они читают или пытаются записать. Особенность этой программы в том, что не только отлавливает значения и ключи, которые были изменены, но и наглядно показывает, какие именно изменения были внесены.
В последней версии обновлен компонент Procmon. Он теперь поддерживает Windows 8 и исправляет ошибку в отображении всплывающих подсказок.
Разработчик: Mark Russinovich и Bryce Cogswell
Распространяется: бесплатно
Операционная система: Windows All
Размер 1,05 Мбайт
Скачать можно отсюда.
Материалы по теме:
- CCleaner 4.0 умеет искать дубликаты файлов;
- RegSeeker 2.4: порядок в реестре.
Источник:
Источник: 3dnews.ru