系统极客一直在努力
专注操作系统及软件使用技能

Process Monitor:Windows事件监控实例(下)

process-monitor-3-1

在前两次文章中我们对 Process Monitor 的界面和常用功能进行了介绍,相信大家通过一段时间的使用和摸索都比较熟悉了。本次文章我们将以示例的方式向大家演示 Process Monitor 在平常使用中的用途,以加深大家对 Process Monitor 的了解和使用。


经常看我博客和其它网站的用户可能会发现,很多时候我们要调整一项 Windows 的功能时只需更改一下注册表即可实现。而很多大家眼中所谓的高手,对 Windows 注册表更是玩得出神入化。难道这些高手把 Windows 注册表都记下来了?答案是当然不可能。那么,我们怎么知道 Windows 中的某个功能对应的是哪个注册表值呢?

在接下来的文章内容中,我们将以示例的方式教会大家使用 Process Monitor 的事件监控功能来找出某个 Windows 选项所对应的注册表值。

使用Process Monitor找出注册表值

相信大家都经常通过 Windows 中的复选框或下拉框来更改系统配置,那这些配置项到底是存储到哪儿的呢?其实在 Windows 操作系统中,各系统配置项大多都是存储在注册表中的。例如大家更改组策略配置、Windows 服务配置和启动状态等都是存储到注册表当中的,现在我们就以示例的方式向大家演示如何找出这些注册表路径。

演示示例

大家都知道可以在任务栏选项卡中勾选锁定任务栏功能来对任务栏进行锁定,那我们就以找出锁定任务栏时对应的注册表路径来给大家做个演示!

process-monitor-3-2

我们先打开 Process Monitor 让其开始对系统事件进行监控,然后再勾选锁定任务栏之后点击应用,应用完之后 Process Monitor 应该已经抓取到更改此项时所对应的注册表值了。但此时 Process Monitor 中抓取到的  Windows 事件会非常多,此时我们需要使用筛选功能过滤出设置注册表的所有事件,所以先应用一个 Operation(操作)为 RegSetValue 过滤器。在对无关事件进行屏蔽之后,我们再手动来找所需的信息就变得非常容易了。

process-monitor-3-3

当在 Process Monitor 中找到相关注册表路径之后,我们可以使用 Jump To 跳转到注册表的具体路径。如果无法判断该路径和所对应的注册表项是否就是与我们更改的 Windows 选项所对应,只需在重新更改 Windows 选项之后检查注册表值是否变化即可判断。

process-monitor-3-4

当确定 Windows 选项与注册表值对应无误之后,我们便可以确定其对应关系了。

process-monitor-3-5

上面是我臆想出来的一个演示示例,下面我举一个实际的事例来给大家说明。

实操示例

我在 Windows 10 中安装完 Adobe 的一些软件后,资源管理器左侧多出来一个 Creative Cloud 文件 栏目,感觉十分碍眼于是决定将其干掉。

先打开 Process Monitor 将系统监控起来,由于知道这个目录是显示在资源管理器上的,而资源管理器使用 explorer.exe 进程,所以为了以防止干扰,我在 Process Monitor 只将 Explorer.exe 进程的相关事件筛选出来。

process-monitor-3-6

为了能够捕获到该文件夹的相关事件,所以我点击资源管理器的左侧  Creative Cloud 文件 图标以方便 Process Monitor 进行抓取。之后我再用 Ctrl + F 搜索 Creative Cloud 文件 关键字。

process-monitor-3-7

搜索出来的结果便是 Creative Cloud 文件 所对应的注册表路径

process-monitor-3-8

在注册表中将该路径删除之后,资源管理器左侧的 Creative Cloud 文件 栏目消失。

process-monitor-3-9

注意:为免出现意外,操作注册表之前请先进行备份。

小结

相信通过本文的示例介绍之后,大家对 Process Monitor 的使用有了更明确的认识。如果大家在使用上有任何疑问和问题,可以在评论中留言大家讨论。

赞(1) 赞赏

评论 2

  1. #2

    如何借助脚本与该Procmon(或者procexp)实现对特定程序文件的所有活动的自动全程监控呢……
    (即从开机开始便准备好对制定程序的所有活动进行监控和存储。不从开机开始而从脚本运行开始也没问题。)

    因为:
    我有天晚上2:30被笔记本散热风扇吵醒,发现我往群里上传的视频1:30已经上传完成了,而风扇变吵的原因就是因为qq自己占用CPU已经到了60%左右,磁盘读取也有3.5Mbps了。
    我当时被吓到直接关机了。但仍心有余悸,想知道它到底在干啥,因而现在找到了这工具,不过发现Procmon只能查看现在开始的进程行为。所以便想有没有脚本能帮助实现针对特定程序行为的自动监控并存储记录。

    感谢。

    hiddm6年前 (2018-08-24)回复
  2. #1

    越来越发现博主介绍的SysInternals工具好用和过人之处,简直不能离开了,太赞!

    絮沫纷飞8年前 (2017-06-14)回复

微信赞赏