备选问题: Windows (Sysinternals) 进程监视器 (下午): 如何一次性将所有当前选定的事件添加到活动过滤器中? 使用 PM 的一个非常常见的场景是尝试捕获与某些用户操作相关的特定活动(即特定的注册表或文件访问)(UA)通常,这意味着在 100-1000 个已记录事件的列表中找到一个针。 减少事件数量的一种方法是开始捕获,然后快速激活 UA。 另一种方法是使用不带特定 UA 的程序,然后手动排除常见的已记录事件,然后(由于大多数常见事件被过滤掉,日志活动减少)触发 UA。使用这种方法手动排除每种事件类型需要太多的用户输入(添加 10-10...
当我启动桌面应用程序时,在 SysInternals Process Monitor 日志中看到一个名为“QueryDeviceInformationVolume”的操作。只是想获取有关此操作及其含义的一些详细信息。 ...
假设我启动了记事本。在 PowerShell 窗口中,我运行ps notepad | Stop-Process -Force以终止所有记事本会话。我在这些操作期间捕获了 procmon 跟踪。是否有可能找出是 PowerShell 导致记事本退出?我试过了,但失败了。所有条目都成功了,似乎没有任何线索。我只是想知道这是否可能。谢谢。 ...
我在任务管理器中发现 Windows 进程下运行着进程“服务主机:辅助登录”,命令行文件位于 system32 中svchost.exe,我发现该进程至少在我的用户名下运行了十次(不仅仅是 SYSTEM 和 LOCAL SERVICE)。我还有服务主机:远程过程调用,以及大约 80 个其他服务主机正在运行,但 CPU 较低。 我的问题是,这是恶意软件的明显迹象吗?我该如何禁用它?Windows 安全没有发现任何威胁,自从注意到这一点以来,我一直将计算机保持离线状态,以防万一。 ...
有人在 Telegram 群组中分享了一个 exe 文件。分享它的人不知道它的来源,但该软件做了它应该做的事情。我担心的是它在后台做了其他事情。 经过阅读,我发现一种安全的方法是使用虚拟机打开它并使用像 Process Monitor 这样的软件来监视其活动。 另一种方法是使用像 x64dbg 这样的软件调试器,但这样我就必须学习汇编,而且这似乎太高级了。 我想知道是否还有其他更有效的方法来验证exe文件的安全性。 ...
我正在尝试跟踪我们的构建脚本以及它为完成创建发布的任务而生成的所有进程的 CPU 使用率。我procmon64.exe在成功构建发布的过程中运行了一个(带有分析)会话并保存了生成的.pml文件。后来我启动procmon /noconnect并加载了该.pml文件以进行分析。 在工具菜单中,我选择process tree并找到运行我们脚本的 powershell.exe 的初始调用。选择该父进程后,我将其及其所有子进程 PID 添加到过滤器中。因此,我有一个仅由 PID 包含列表组成的过滤器。 这一切都运行正常,过滤后的进程事件正是我期望和想要的选择。现在我想...
普罗克蒙很难\长时间输入筛选器一遍又一遍——尤其是对很多人来说不同,可重复任务。 这让我想知道是否有人知道它将当前的 Filter 状态存储在哪里。 它是一个文件,还是一个注册表项,或者其他。 我尝试使用 Procmon 本身来查找任何内容(通过取消选中默认框),但却找不到结果。 ...
我想使用Sysinterals 进程监视器检查我的 Windows 计算机上的特定进程。 有没有办法通过可执行文件路径或 PID 搜索正在运行的进程? 我尝试使用“查找”工具和“过滤”工具,但都没有成功。我还想也许可以按其中一列对线程/进程进行排序,但按列排序是不可能的。 我正在使用 3.89 版本。 (仅供参考,这是为了帮助我调试这个问题,但在 Stack Overflow 上寻求使用软件的帮助不符合主题。) ...
Sysinternals procmon有时非常有价值,但我经常发现它用起来很尴尬,因为我通常必须浏览大量不相关的结果才能找到我想要的东西。 我正在尝试使用特定命令来诊断问题,因此理想情况下,我希望告诉 procmon 启动什么,并让它自动开始捕获,运行命令,等待退出,然后停止捕获。 这可能吗? ...
我试图找出哪些程序发出了某些声音,而我遇到的唯一具有此功能的工具是 Syinternals Process Monitor。 筛选器 不幸的是,它似乎无法一次过滤多种文件类型。相反,我必须先过滤 .wav... 然后是 .mp3,等等... 我缺少一个选项来让我可以过滤多种文件类型或所有声音吗? 或者有一个程序(除了 Volume Mixer 之外)可以帮助完成这个任务? 谢谢! ...
(sysinternals) Process Monitor 能否检测到“系统声音”(其中一个 wav 文件)的播放情况?我使用的是 Windows 7 我试过这个过滤器“以”“wav”结尾,但它没有接收到 我尝试通过单击“系统声音”中的“测试”按钮来触发 WAV,如上图所示窗口所示。 并点击下面资源管理器窗口中的后退和前进按钮 他们播放了声音。但是进程监视器没有检测到。 ...
我最近发表了一篇关于某些程序在每次启动时将注册表项从 1 更改为 0 的帖子。我使用进程监视器的启动记录器HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\ProxySettingsPerUser发现这个程序是 svchost.exe(特别是命令)。C:\WINDOWS\System32\svchost.exe -k NetSvcs -p -s iphlpsvc 我撤销了 SYSTEM 对该密钥的完全控制权限,禁用了 svchost services.msc,并...
我使用 SysInternals 的 Process Monitor 查看用户无法启动应用程序时的日志。很多时候,用户会运行各种他们甚至不知道的安全软件,我会尝试找出其中是否有任何原因导致进程提前终止。 但据我所知,在 ProcMon 中没有办法看到什么进程负责终止另一个进程。我在测试时发现的唯一东西是QueryNameInformationFile从终止进程到被终止进程的引用。 有没有办法从 ProcMon 日志中看出这一点,或者我需要使用其他工具来解决这个问题? ...
Sysinternals 进程监视器在事件属性>堆栈元素上有一个“查看源代码”按钮: 它在我的跟踪中被禁用。我需要做什么才能启用它? ...
使用系统内部进程监控(procmon.exe或procmon64.exe),如何跟踪具有给定 PID 的进程及其子进程? 我的第一个(天真的)想法是同时包含“PID 是 1234”和“父 PID 是 1234”谓词——结果发现它们是使用 AND 而不是 OR 连接的,因此是互斥的。 是否有可能以某种方式使用 OR 连接过滤器? ...