procmon
是否可以使用 procmon 来找出进程结束的原因?
假设我启动了记事本。在 PowerShell 窗口中,我运行ps notepad | Stop-Process -Force以终止所有记事本会话。我在这些操作期间捕获了 procmon 跟踪。是否有可能找出是 PowerShell 导致记事本退出?我试过了,但失败了。所有条目都成功了,似乎没有任何线索。我只是想知道这是否可能。谢谢。 ...
procmon
procmon
Sysinternals procmon“进程活动摘要”缺少大多数进程
我正在尝试跟踪我们的构建脚本以及它为完成创建发布的任务而生成的所有进程的 CPU 使用率。我procmon64.exe在成功构建发布的过程中运行了一个(带有分析)会话并保存了生成的.pml文件。后来我启动procmon /noconnect并加载了该.pml文件以进行分析。 在工具菜单中,我选择process tree并找到运行我们脚本的 powershell.exe 的初始调用。选择该父进程后,我将其及其所有子进程 PID 添加到过滤器中。因此,我有一个仅由 PID 包含列表组成的过滤器。 这一切都运行正常,过滤后的进程事件正是我期望和想要的选择。现在我想...
procmon
Procmon“加载图像”和Hello World
我编写了一个 32 位 C++ Hello World 程序。然后我通过 SysInternal 的 Procmon 观察了它的执行情况。令我惊讶的是,我有 5 个“加载图像”类型的事件。加载了以下内容: 动态链接库 内核32库 内核库 应用程序帮助文件 msvcrt.dll msvcrt.dll 和 kernel32.dll 是我的 Hello World 程序导入的 DLL。因此预计会加载。 根据我的研究,Windows 将 apphelp.dll 作为应用程序兼容性的一部分加载到我的进程中。 我想知道: 为什么Windows也加载ntdll.dl...
procmon
进程监视器过滤临时文件
普罗克蒙很难\长时间输入筛选器一遍又一遍——尤其是对很多人来说不同,可重复任务。 这让我想知道是否有人知道它将当前的 Filter 状态存储在哪里。 它是一个文件,还是一个注册表项,或者其他。 我尝试使用 Procmon 本身来查找任何内容(通过取消选中默认框),但却找不到结果。 ...
procmon
如何将 Procmon 中的过滤结果保存到.csv 文件?
我已将整个脚本包含在下方。即使没有第 16 行添加的这一段,它也能正常工作。如果我删除第 16 行添加的代码,脚本将完成,但不会保存过滤的信息。 /LoadConfig C:\Temp\ProcmonOutlookConfiguration.pmc /SaveApplyFilter /SaveAs C:\Temp\outlook.csv /Quiet 我通过调试器运行了该脚本并设置了多个断点。在第 16 行添加部分后,该脚本无法完成,并且似乎在第 21 行和第 22 行陷入了循环。 问题:我该如何解决这个问题,以便脚本正确完成并保存包含过滤信息的 .c...
procmon
了解 procmon 中的 TCP 操作路径
我在 procmon 中捕获了以下 Java 程序,该程序对 Web 上的 url 进行了 HTTP GET 调用。它确实捕获了 TCP 接收等操作。但我不确定 这里的 Path 是什么意思 Path 中的每一行都有两个端口,初始端口似乎在变化, 而第二个端口没有变化。 ...
procmon
procmon 中的 QueryDirectory 操作是什么意思
使用 procmon 跟踪进程时,我看到了几种操作类型。我找不到 任何详细的解释。其中一种叫做查询目录 这是什么意思。 ...
procmon
注册表访问错误 访问被拒绝
我有一个 Windows 应用程序,以前在 Windows 10 上可以运行,但现在启动时崩溃了。我使用进程监视器 (PROCMON) 进行了一些调查,发现在应用程序崩溃前的短暂运行时间内,出现了大量 ACCESS DENIED 错误。 正如你所看到的,这些似乎大多与系统证书或者企业证书 我在系统上识别出每个通风口的用户。该帐户具有管理员权限。我还尝试过“以管理员身份”运行应用程序本身,但它仍然崩溃。 我下一步该做什么来诊断和解决问题? 谢谢。 RegOpenKey HKLM\System\CurrentControlSet\Services\Wi...
procmon
如何在进程监视器中启用“查看源代码”?
Sysinternals 进程监视器在事件属性>堆栈元素上有一个“查看源代码”按钮: 它在我的跟踪中被禁用。我需要做什么才能启用它? ...
procmon
有人能识别出 procmon 显示的这些文件是什么吗?尝试修复唤醒外部驱动器
因此,我竭尽全力阻止我的外部驱动器启动。它们一有机会停止运转,就会一次又一次地醒来。 TortoiseSVNCache 是罪魁祸首之一。频繁访问文件的用户帮助是另一个罪魁祸首。 现在就剩下我和这个家伙了。 最奇怪的是那个驱动器,它是一个 plex 媒体驱动器。Q 也是,但它没有看到所有这些奇数点被访问。 有人能告诉我它们是什么以及如何阻止它们吗? 编辑:哦,天哪。我把这个缩减了很多。我看着这些启动,因为我的所有 4 个外部设备都依次唤醒了。这些肯定是罪魁祸首。有人能识别吗?无论是什么导致了 $Mft 和 $Logfile,我甚至无法从驱...
%20%E4%B8%AD%E5%87%BA%E7%8E%B0%E5%A4%A7%E9%87%8F%E2%80%9CNAME%20NOT%20FOUND%E2%80%9D%E7%BB%93%E6%9E%9C.png)
procmon
Windows 进程监视器 (procmon) 中出现大量“NAME NOT FOUND”结果
几天前,我的笔记本电脑(运行 Windows 10)出了点问题;常用应用程序(浏览器、VLC 等)加载需要很长时间。我调查了很久,但还是找不到原因。经过多次重启、检查和扫描后,问题似乎消失了。 然而,在此过程中,我注意到有几十个甚至几百个进程每秒(主要是注册表操作)有不成功的返回值,如下所示进程监控。 例如: | Process Name | Operation | Path | Result | |--------------|------------|-----...
procmon
谁动了我的文件?
在 Windows 10 上,我的构建过程是复制将只读文件复制到几个不同的位置。经过几次构建后,原始文件将变为可写,并且其“修改日期”会更新。 我正在尝试查找哪个进程或命令接触了该文件。有什么方法可以做到这一点吗?以下是我使用 sysinternals 进程监视器 (ProcMon) 的不幸经历:过滤器设置: 请注意,唯一的过滤器是文件路径 - 我删除了所有默认设置。因此,ProcMon 不会隐藏任何内容。 结果: 有一个明确的WriteFile操作。系统是否有理由触碰文件的日期? 我在这里发布了这个问题,因为它看起来像一个文件系统问题。 ...
procmon
进程监视器能检测到是否已截屏吗?
我一直对 ProcMon 提供的服务数量之多感到惊讶,但检测屏幕截图这一主题对我来说仍然未得到探索。如果我每天使用的程序恶意截取我的屏幕截图——我有充分的理由相信它们确实如此——那么如何检测这种行为呢? ...
%20%E8%B7%AF%E5%BE%84%E4%B8%BA%20%5C%5C.%5C.%5C.png)
procmon
进程监视器 (Procmon) 路径为 \\.\.\
我正在通过 procmon 捕获尝试分析一个问题,我有大约四十行如下所示的内容: 0.700867755 Explorer.EXE 10480 CreateFile \\.\.\ SUCCESS Desired Access: Generic Read, Disposition: Open, Options: Directory, Attributes: n/a, ShareMode: Read, Write, Delete, AllocationSize: n/a, OpenResult: Opened \\.\.\ 0.7008677...
procmon
如何在不破坏 procmon.exe 文件的情况下编辑 procmon.exe 的驱动程序文件名
我有一个程序可以检测我正在运行 procmon.exe,经过大量搜索后我找到了这个解决方案: PM 的设备名称是“PROCMON10”。如果您从控制台 (cmd.exe) 运行设备管理器,则可以看到它,如下所示:设置 devmgr_show_nonpresent_devices=1 devmgmt.msc 在“查看”选项中启用“显示所有设备”,然后打开非即插即用节点。在那里您可以看到 PROCMON10。但是您无法用它做太多事情。删除它不会卸载它,也不会阻止您重新启动。 解决方法是将其重命名为“BROCMON10”。所以现在...