Process Monitor 3.01

Многих интересует вопрос «Как узнать, что делает программа при установке, запуске, закрытии, работе? Как следить за программой?» Ответ: с помощью другой программы, которая называется Process Monitor.

Process Monitor – программа для Windows, которая в режиме реального времени показывает куда записываются или откуда удаляются файлы, какие файлы читаются той или иной программой, какие действия программа делает с реестром, как и когда отслеживаемая программа использует сеть (интернет), а также следит за процессами и потоками.  Программа оснащена мощным фильтром для отслеживания нужных процессов или событий.  Process Monitor является главным инструментом для устранения неисправностей системы и избавления от вредоносных программ (вирусов).

А теперь рассмотрим подробнее как работать с программой, и разберем ее ключевые функции.  Для более подробного ознакомления с программой смотри колонку «видео» справа, так как для полного описание программы потребуется написать книгу ).

Так выглядит главное окно программы при запуске Process Monitor. Сразу после запуска начинается запись процессов Windows это обращение и создание файлов, обращение к реестру, сети и т.д.

Разумеется, сразу записывается очень большое количество информации, и найти в ней нужное не очень легко, но здесь на помощь к нам прейдут фильтры, но о них чуть позже сначала разберемся с интерфейсом программы.

На основной панели программы :

Размещены ее основные функции. Самая правая группа значков

 

Это значки предварительной (грубой) фильтрации.  Слева направо: показывать обращения к реестру, к файловой системе, к сети (интернету), показывать процессы и потоки, профилирование для каждого процесса.  Соответственно если выбрать одну иконку, например, обращение к реестру, то и будет показываться только обращение к реестру, если две, то две и т.д.  Замечу что даже если вы какие то иконки не выбираете, то запись ее все равно продолжается и если вы ее включите, то будут показаны события до ее включения.

Следующие два пункта это поиск и переход:

 

Соответственно если нажать поиск то высветится окно где надо будет ввести фразу или параметры, а если нажать переход то откроется проводник, если вы смотрите допустим что за файл создается или редактор реестра, если смотреть какие параметры реестра меняются или читаются.

Следующая группа меню фильтры

Первый пункт это непосредственно сам фильтр при нажатии откроется окно где надо будет выбрать параметры фильтрации.
Второй пункт это выделение определенных строчек, т.е. тоже фильтр, но нужные данные он просто выделяет.
Третий пункт «прицел» он нужен для быстрого добавления процесса, если вы не знаете, как он называется. Например, открылось какое-то окно, но вы не знаете что это за окно, нажимаете на прицел и держите его, перетаскивая на появившееся окно, автоматически создастся фильтр, который будет следить за этим процессом.

Следующая группа меню отвечает за отображение событий в главном окне

Увеличительное стекло это остановка и запуск слежения. Список со стрелочкой это автоматическая прокрутка, когда появляется новая запись. А список с ластиком это очистка списка событий, которые отображаются на кране.

Последние два меню, думаю сильно объяснять не надо это сохранение или загрузка прослеженных процессов

Сохранить можно, например, если хотите разобрать данные на другом компьютере.

А теперь разберем работу программы на примере. Допустим, мы хотим узнать, что делает какое-то приложение у нас в компьютере. Пусть это приложение у нас будет блокнот.  В процессах мы заранее знаем, что он называется как notepad.exe. Запускаем Process Monitor, нажимаем кнопку «Filter» (Ctrl+L) и видим следующее окно:

По умолчанию в нем уже включены несколько фильтров, которые исключают из списка разного рода системные процессы, процессы самой программы Process Monitor и другие, которые обычно не нужны для анализа.  

Создадим свой фильтр, который будет показывать только процесс notepad.exe. Для этого нажимаем первую стрелочку вниз, где по умолчанию написано “Architecture” и из предложенного списка выбираем “Process Name” Рис.1.  Далее из второго списка выбираем пункт “is”, который стоит по умолчанию Рис.2. В следующем меню мы можем выбрать процесс из уже запущенных или добавить его самим, написав в поле “notepad.exe”т.к. блокнот нами еще не запущен Напишем его сами Рис.3. Последний пункт это то как позиционировать этот процесс “Include” оставить только его, а “Exclude” исключить его из общего потока. Выбираем “Include” Рис.4. Нажимаем ниже кнопочку “Add” добавить фильтр. 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

В итоге у нас должно получиться следующее:

Нажимаем внизу “Apply” “Ok”  и мы видим, что список в программе стал чистым это, потому что мы включили фильтр процесс, который еще не запущен и добавили условие игнорировать все кроме этого процесса.

Запускаем блокнот и видим следующее:

Первой строчкой видим запуск процесса с PID и Parent PID, потом создается поток, загружаются графические файлы, создается файл в папке C:WindowsPrefetch и с именем NOTEPAD.EXE-D8414F97.pf. Можем сразу перейти в эту папку для этого достаточно выделить строчку в данном случаи пятая и нажать на главной панели зеленую стрелочку, и сразу отроется папка, в которой создан этот файл. Далее идет подгрузка различных системных библиотек, чтение настроек из реестра как системных таки и пользовательских и много еще чего.

На главном меню есть еще один значок, о котором не говорилось раньше это:

Это иконка дерева процессов. Если ее нажать то увидем следующее окно:

По этому дереву видно, какая программа, какой процесс запускала, папка, откуда запускалась, сколько жил процесс и много-много разной информации.

На этом все, как я уже говорил все показать потребуется написание целой книги, поэтому смотрите видео, которые расположены справа там больше рассказывается да еще и показывается ).

Комментарии по вышесказанному приветсвуются.

О программе
Разработчик Mark Russinovich и Bryce Cogswell
Сайт разработчика http://technet.microsoft.com/ru-ru/sysinternals/
Версия программы 3.01
Язык программы Английский
Windows XP/Vista/7 x32 и x64 битные версии
Статьи 0
Видео 4
  • Process Monitor: отслеживание файловой активности
    Process Monitor: отслеживание файловой активности
    Смотреть
  • Process Monitor - как работать с фильтром
    Process Monitor - как работать с фильтром
    Смотреть
  • Process Monitor, реестр и вирусы
    Process Monitor, реестр и вирусы
    Смотреть
  • Process Monitor - Мониторинг для продвинутых
    Process Monitor - Мониторинг для продвинутых
    Смотреть
КОММЕНТАРИИ
kitoboi
kitoboi
Скажите пожалуйста как отследить приложение, записывающее непонятные файлы на диск Process Monitor ?
Aleksandra
Aleksandra
Огромное спасибо! Именно то, что нужно, все четко и понятно.
Вячеслав
Вячеслав
Именно то, что искал, чтобы написать маааленький, но полезный скриптик! Спасибо огромное!!!
Alex
Alex
Спасибо за пояснения. Поставил Process Monitor чтобы следить куда браузеры записывают инфу на компе (помимо куков). Хочу отслеживать таким образом всю хрень которая оседает на компе из сети.
Эвальд
Эвальд
Видео Process Monitor звук работает с большим перебоем.Пытался понять,но не получилось.
Игорь
Игорь
Спасибо!
Богдан
Богдан
Очень понятное и подробное объяснение. Спасибо!