我正在尝试自动使用 procmon,并且我想指定任意过滤器。我发现您可以通过使用 /loadconfig 加载 .pmc 文件从命令行执行此操作。所以我假设我可以生成自己的 .pmc,然后启动 procmon。
但是,我无法理解这种格式。
有人能指导我如何创建自己的 .pmc 文件吗?如果没有,是否有选项可以通过命令行加载 pmf 文件(因为我已经能够通过 python 脚本生成 pmf 文件)
答案1
PMC 文件是您在设置 Procmon 配置后导出的结果。
- 启动 Procmon
- 配置过滤器
- 测试它们以确保它们按照你希望的方式工作
- 将历史深度设置为你想要的;我建议 1
- 启用删除已过滤事件
一旦一切都按照您想要的方式设置好,将配置导出到 PMC 文件以保存设置并允许您在命令行中使用它们。
现在,当通过命令行启动 Procmon 时,您将需要使用以下语法:
Procmon.exe /BackingFile C:\temp\PM.PML /LoadConfig c:\temp\pm.pmc /quiet
显然,更改驱动器和路径以适合您的特定环境。
如果您不使用/quiet,该工具将在每次启动时提示您确认过滤器。
资源: https://technet.microsoft.com/sysinternals/processmonitor.aspx
希望这可以帮助。