Process Monitor一款系統(tǒng)進(jìn)程監(jiān)視軟件，總體來說，Process Monitor相當(dāng)于Filemon+Regmon，其中的Filemon專門用來監(jiān)視系統(tǒng)中的任何文件操作過程，而Regmon用來監(jiān)視注冊(cè)表的讀寫操作過程。

基本簡(jiǎn)介

Process Monitor 是一款由 Sysinternals 公司開發(fā)的包含強(qiáng)大的監(jiān)視和過濾功能的高級(jí) Windows 監(jiān)視工具，可實(shí)時(shí)顯示文件系統(tǒng)、注冊(cè)表、進(jìn)程/線程的活動(dòng)。它結(jié)合了兩個(gè) Sysinternals 的舊版工具 Filemon 和 Regmon 的功能，并添加了一個(gè)包含豐富的和非破壞性的廣泛增強(qiáng)過濾功能列表，全面的事件屬性（例如會(huì)話 ID 和用戶名稱），可靠的進(jìn)程信息，每個(gè)操作的完整線程、堆棧與集成符號(hào)支持，同時(shí)記錄到一個(gè)文件中，以及更多。其獨(dú)一無二的強(qiáng)大功能將使 Process Monitor 在您的系統(tǒng)故障排除和惡意軟件檢測(cè)中發(fā)揮重要的作用。

軟件特色

監(jiān)視進(jìn)程和線程的啟動(dòng)和退出，包括退出狀態(tài)代碼；

監(jiān)視映像 (DLL 和內(nèi)核模式驅(qū)動(dòng)程序) 加載；

捕獲更多輸入輸出參數(shù)操作；

非破壞性的過濾器允許你自行定義而不會(huì)丟失任何捕獲的數(shù)據(jù)；

捕獲每一個(gè)線程操作的堆棧，使得可以在許多情況下識(shí)別一個(gè)操作的根源；

可靠捕獲進(jìn)程詳細(xì)信息，包括映像路徑、命令行、完整性、用戶和會(huì)話ID等等；

完全可以自定義任何事件的屬性列；

過濾器可以設(shè)置為任何數(shù)據(jù)條件，包括未在當(dāng)前視圖中顯示的條件；

高級(jí)的日志機(jī)制，可記錄上千萬的事件，數(shù)GB的日志數(shù)據(jù)；

進(jìn)程樹工具顯示所有進(jìn)程的關(guān)系；

原生的日志格式，可將所有數(shù)據(jù)信息保存，讓另一個(gè) Process Monitor 實(shí)例加載；

進(jìn)程懸停提示，可方便的查看進(jìn)程信息；

詳細(xì)的懸停提示信息讓你方便的查看列中不能完整顯示的信息；

搜索可取消；

系統(tǒng)引導(dǎo)時(shí)記錄所有操作。

更新日志

Process Monitor 現(xiàn)在包括一個(gè)/運(yùn)行時(shí)開關(guān)用于控制無頭捕獲的持續(xù)時(shí)間, 正確顯示 PICO 進(jìn)程, 顯示 Windows 10 中引入的文件系統(tǒng) API 的詳細(xì)信息，并包括許多小改進(jìn)和錯(cuò)誤修復(fù)。