我在这个网站上找到的有关 Systinternals Process Monitor 的最新文章已有 13 年了。我肯定错过了什么,因为我仍然遇到同样的问题。 我这台电脑上装有 Windows 7。(我还没有在我的 Windows 11 电脑上尝试过。)我有 2023 年 9 月 29 日发布的 procmon,这似乎是最新的。当我尝试运行它时,它会显示基本进程窗口,尽管是空的。我收到一个带有以下消息的框: 无法加载进程监视设备驱动程序:找不到指定的过程。 由于人们经历过这种情况(或非常13 年前我遇到了一个类似的问题,我怀疑恢复到旧版本(即使我能找到它...
当我启动桌面应用程序时,在 SysInternals Process Monitor 日志中看到一个名为“QueryDeviceInformationVolume”的操作。只是想获取有关此操作及其含义的一些详细信息。 ...
假设我启动了记事本。在 PowerShell 窗口中,我运行ps notepad | Stop-Process -Force以终止所有记事本会话。我在这些操作期间捕获了 procmon 跟踪。是否有可能找出是 PowerShell 导致记事本退出?我试过了,但失败了。所有条目都成功了,似乎没有任何线索。我只是想知道这是否可能。谢谢。 ...
我正在尝试跟踪我们的构建脚本以及它为完成创建发布的任务而生成的所有进程的 CPU 使用率。我procmon64.exe在成功构建发布的过程中运行了一个(带有分析)会话并保存了生成的.pml文件。后来我启动procmon /noconnect并加载了该.pml文件以进行分析。 在工具菜单中,我选择process tree并找到运行我们脚本的 powershell.exe 的初始调用。选择该父进程后,我将其及其所有子进程 PID 添加到过滤器中。因此,我有一个仅由 PID 包含列表组成的过滤器。 这一切都运行正常,过滤后的进程事件正是我期望和想要的选择。现在我想...
我编写了一个 32 位 C++ Hello World 程序。然后我通过 SysInternal 的 Procmon 观察了它的执行情况。令我惊讶的是,我有 5 个“加载图像”类型的事件。加载了以下内容: 动态链接库 内核32库 内核库 应用程序帮助文件 msvcrt.dll msvcrt.dll 和 kernel32.dll 是我的 Hello World 程序导入的 DLL。因此预计会加载。 根据我的研究,Windows 将 apphelp.dll 作为应用程序兼容性的一部分加载到我的进程中。 我想知道: 为什么Windows也加载ntdll.dl...
普罗克蒙很难\长时间输入筛选器一遍又一遍——尤其是对很多人来说不同,可重复任务。 这让我想知道是否有人知道它将当前的 Filter 状态存储在哪里。 它是一个文件,还是一个注册表项,或者其他。 我尝试使用 Procmon 本身来查找任何内容(通过取消选中默认框),但却找不到结果。 ...
我已将整个脚本包含在下方。即使没有第 16 行添加的这一段,它也能正常工作。如果我删除第 16 行添加的代码,脚本将完成,但不会保存过滤的信息。 /LoadConfig C:\Temp\ProcmonOutlookConfiguration.pmc /SaveApplyFilter /SaveAs C:\Temp\outlook.csv /Quiet 我通过调试器运行了该脚本并设置了多个断点。在第 16 行添加部分后,该脚本无法完成,并且似乎在第 21 行和第 22 行陷入了循环。 问题:我该如何解决这个问题,以便脚本正确完成并保存包含过滤信息的 .c...
我在 procmon 中捕获了以下 Java 程序,该程序对 Web 上的 url 进行了 HTTP GET 调用。它确实捕获了 TCP 接收等操作。但我不确定 这里的 Path 是什么意思 Path 中的每一行都有两个端口,初始端口似乎在变化, 而第二个端口没有变化。 ...
使用 procmon 跟踪进程时,我看到了几种操作类型。我找不到 任何详细的解释。其中一种叫做查询目录 这是什么意思。 ...
我有一个 Windows 应用程序,以前在 Windows 10 上可以运行,但现在启动时崩溃了。我使用进程监视器 (PROCMON) 进行了一些调查,发现在应用程序崩溃前的短暂运行时间内,出现了大量 ACCESS DENIED 错误。 正如你所看到的,这些似乎大多与系统证书或者企业证书 我在系统上识别出每个通风口的用户。该帐户具有管理员权限。我还尝试过“以管理员身份”运行应用程序本身,但它仍然崩溃。 我下一步该做什么来诊断和解决问题? 谢谢。 RegOpenKey HKLM\System\CurrentControlSet\Services\Wi...
Sysinternals 进程监视器在事件属性>堆栈元素上有一个“查看源代码”按钮: 它在我的跟踪中被禁用。我需要做什么才能启用它? ...
因此,我竭尽全力阻止我的外部驱动器启动。它们一有机会停止运转,就会一次又一次地醒来。 TortoiseSVNCache 是罪魁祸首之一。频繁访问文件的用户帮助是另一个罪魁祸首。 现在就剩下我和这个家伙了。 最奇怪的是那个驱动器,它是一个 plex 媒体驱动器。Q 也是,但它没有看到所有这些奇数点被访问。 有人能告诉我它们是什么以及如何阻止它们吗? 编辑:哦,天哪。我把这个缩减了很多。我看着这些启动,因为我的所有 4 个外部设备都依次唤醒了。这些肯定是罪魁祸首。有人能识别吗?无论是什么导致了 $Mft 和 $Logfile,我甚至无法从驱...
%20%E4%B8%AD%E5%87%BA%E7%8E%B0%E5%A4%A7%E9%87%8F%E2%80%9CNAME%20NOT%20FOUND%E2%80%9D%E7%BB%93%E6%9E%9C.png)
几天前,我的笔记本电脑(运行 Windows 10)出了点问题;常用应用程序(浏览器、VLC 等)加载需要很长时间。我调查了很久,但还是找不到原因。经过多次重启、检查和扫描后,问题似乎消失了。 然而,在此过程中,我注意到有几十个甚至几百个进程每秒(主要是注册表操作)有不成功的返回值,如下所示进程监控。 例如: | Process Name | Operation | Path | Result | |--------------|------------|-----...
在 Windows 10 上,我的构建过程是复制将只读文件复制到几个不同的位置。经过几次构建后,原始文件将变为可写,并且其“修改日期”会更新。 我正在尝试查找哪个进程或命令接触了该文件。有什么方法可以做到这一点吗?以下是我使用 sysinternals 进程监视器 (ProcMon) 的不幸经历:过滤器设置: 请注意,唯一的过滤器是文件路径 - 我删除了所有默认设置。因此,ProcMon 不会隐藏任何内容。 结果: 有一个明确的WriteFile操作。系统是否有理由触碰文件的日期? 我在这里发布了这个问题,因为它看起来像一个文件系统问题。 ...
我一直对 ProcMon 提供的服务数量之多感到惊讶,但检测屏幕截图这一主题对我来说仍然未得到探索。如果我每天使用的程序恶意截取我的屏幕截图——我有充分的理由相信它们确实如此——那么如何检测这种行为呢? ...