系统极客一直在努力
专注操作系统及软件使用技能

Process Monitor:Windows事件监控常用功能(中)

process-monitor-2-1

在上次的文章中我们对 Process Monitor 的作用及界面进行了简单的介绍,从本文开始我们将介绍 Process Monitor 的常用功能。

查看单个事件

虽然主界面中的事件列表太长、内容太多,但这还不是相看事件的最佳方法,我们可以随时双击 Process Monitor 中的任意一条事件来查看其详细信息。


双击打开 Event(事件) 标签,其中将列出该事件的详细时间、事件类型、事件所执行的操作、操作路径及事件的执行结果等内容。

process-monitor-2-2

当我们切换到 Process(进程) 选项卡之后,则可以看到生成该事件的进程的大量相关信息。虽然多大数时间我们都使用 Process Explorer 来管理进程,但用该选项卡来查看生成事件的进程信息还是非常有用的。

process-monitor-2-3

而在 Stack(堆栈) 标签中,我们可以查看到该事件进程的堆栈,通过该选项卡我们可以检查任何不正常的模块。举个例子,假设某个进程不断尝试查询或访问不存在的文件,但我们不知道为什么会发生这种情况。此时,便可以通过查看 Stack(堆栈) 标签来查看是否有任何不正常的模块。

process-monitor-2-4

跳转到事件路径

Process Monitor 对事件的记录非常详细,让人有种纷繁复杂之感。而要查看某项事件所更改数据的路径也非常简单,无需我们手动输入路径进行查看,只需右键选择 Jump To(跳转到) 便可直接浏览到事件所处理的路径。

提示:你也可以通过 Search Online 选项来快速搜索进程名称、注意表路径等任何你不清楚或想要了解的内容。

process-monitor-2-5

筛选Process Monitor数据

我们前文曾多次提到可以用非常颗粒化的过滤器来筛选 Process Monitor 所捕获的事件,这非常有利于我们对单个进程所生成的事件进行分析。例如当我们只关心 explorer.exe 所生成的事件时,只需将其过滤出来即可。

process-monitor-2-6

当我们选择 include ‘explorer.exe’ 之后,界面中则会只筛选出 explorer.exe 进行的相关事件。

process-monitor-2-7

当我们在 Process Monitor 主界面按下 Ctrl + L 快捷键之后则会打开筛选器配置选项,在此窗口中,我们可以按自己所需进行筛选器的精细化高级配置。当不需要对数据进行筛选时,点击 Reset 按钮便可恢复默认不筛选状态。

process-monitor-2-8

当然,大家也可以在此界面中手动更改或移除某个筛选器。

保存事件数据

当然 Process Monitor 非常重要的一个功能就是可以将所抓取的数据进行导出。试想你在一台老爷机上抓取了数据,则可以将其导出之后拿到性能好的机器上进行分析。当然,该功能更可以将数据导出之后交给专业人士帮助分析。

要导出数据我们只需在 File(文件) 菜单中选择 Save(保存) 即可进行导出保存。

process-monitor-2-9

小结

Process Monitor 的常用功能和使用技巧着实较多,我们只能在这里为大家分享部分常用功能。如果大家有兴趣可以自行进行深入研究和学习,有问题可以评论留言或加我QQ交流。下个小节的文章中我们将通过实例方式使用 Process Monitor 来解决问题,希望你会有兴趣学习。

赞(1) 赞赏

评论 1

  1. #1

    这个保存的文件果然还是占空太大了,轻易上1G……
    如果能只筛选出一个程序在行为符合特定要求时(比如CPU/内存占用达到怎样区间时、硬盘读写达到怎样区间时,等……)

    hiddm6年前 (2018-08-24)回复

微信赞赏