Process-Monitor-中文幫助文檔

1、Process Monitor 幫助文檔【介紹】Process Monitor（進(jìn)程監(jiān)視器）是一個(gè)Windows下的高級(jí)監(jiān)視工具，可以實(shí)時(shí)顯示文件系統(tǒng)、注冊(cè)表和進(jìn)程/線程的活動(dòng)。它將Sysinternals以前的兩個(gè)實(shí)用程序Filemon（文件監(jiān)視器）和Regmon（注冊(cè)表監(jiān)視器）結(jié)合在一起，并且添加了大量的改進(jìn)功能，包括豐富的非破壞性的過濾器，全面的事件屬性如會(huì)話ID和用戶名，可靠的進(jìn)程信息，對(duì)每個(gè)操作帶有集成的調(diào)試符號(hào)支持的完整線程堆棧，同步記錄日志文件等等。Process Monitor獨(dú)特的強(qiáng)大功能將使它成為你在系統(tǒng)故障排除和惡意軟件查殺中使用的核心實(shí)用程序。Process Monit

2、or可以在Windows 2000 SP4 with Update Rollup 1、Windows XP SP2、Windows Server 2003 SP1、Windows Vista，以及64位版本的Windows XP、Windows Server 2003 SP1和Windows Vista等系統(tǒng)上運(yùn)行。（譯者注：Process Monitor不支持Windows 98、Windows NT等以前的系統(tǒng)，不過可以使用Filemon和Regmon來實(shí)現(xiàn)它的部分功能。）【在Filemon和Regmon基礎(chǔ)上的改進(jìn)】Process Monitor的用戶界面和選項(xiàng)與Filemon和Regm

3、on很相似，但它是從頭全部重寫的，并且包括許多重大改進(jìn)，例如：（此處引用自wbpluto的漢化版說明） 監(jiān)視進(jìn)程和線程的啟動(dòng)和退出，包括退出狀態(tài)代碼 監(jiān)視映像 (DLL 和內(nèi)核模式驅(qū)動(dòng)程序) 加載 捕獲更多輸入輸出參數(shù)操作 非破壞性的過濾器允許你自行定義而不會(huì)丟失任何捕獲的數(shù)據(jù) 捕獲每一個(gè)線程操作的堆棧，使得可以在許多情況下識(shí)別一個(gè)操作的根源 可靠捕獲進(jìn)程詳細(xì)信息，包括映像路徑、命令行、完整性、用戶和會(huì)話ID等等 完全可以自定義任何事件的屬性列 過濾器可以設(shè)置為任何數(shù)據(jù)條件，包括未在當(dāng)前視圖中顯示的 高級(jí)的日志機(jī)制，可記錄上千萬的事件，數(shù)GB的日志數(shù)據(jù) 進(jìn)程樹工具顯示所有進(jìn)程的關(guān)系 原生的日志

4、格式，可將所有數(shù)據(jù)信息保存，讓另一個(gè) Process Monitor 實(shí)例加載 進(jìn)程懸停提示，可方便的查看進(jìn)程信息 詳細(xì)的懸停提示信息讓你方便的查看列中不能完整顯示的信息 搜索可取消 系統(tǒng)引導(dǎo)時(shí)記錄所有操作 要熟悉Process Monitor的功能，最好的方法是通讀幫助文件，然后在一個(gè)實(shí)際運(yùn)行的系統(tǒng)中嘗試使用一下每一個(gè)菜單和選項(xiàng)。 【使用Process Monitor】運(yùn)行Process Monitor需要本地管理員組成員的權(quán)限。當(dāng)你啟動(dòng)Process Monitor后，它會(huì)立刻開始監(jiān)視三類操作：文件系統(tǒng)、注冊(cè)表和進(jìn)程。 文件系統(tǒng)Process Monitor顯示W(wǎng)ind

5、ows文件系統(tǒng)中的所有文件系統(tǒng)活動(dòng)，包括本地存儲(chǔ)器和遠(yuǎn)程文件系統(tǒng)。Process Monitor能夠自動(dòng)檢測到新添加的文件系統(tǒng)設(shè)備并且對(duì)它們進(jìn)行監(jiān)視。所有的文件系統(tǒng)路徑相對(duì)于執(zhí)行文件系統(tǒng)操作的用戶會(huì)話來顯示。例如，如果用戶A將一個(gè)共享路徑映射為驅(qū)動(dòng)器盤符Z:，那么任何對(duì)此共享路徑的訪問在Process Monitor中都會(huì)顯示為相對(duì)于Z:盤的路徑。 在Process Monitor的工具欄上取消“顯示文件系統(tǒng)活動(dòng)”按鈕的選擇，就可以從視圖中移除文件系統(tǒng)操作的記錄，按下這個(gè)按鈕又會(huì)將文件系統(tǒng)操作添加回視圖。  注冊(cè)表Process Monitor記錄所有注冊(cè)表操作，并使用習(xí)慣

6、的縮寫形式來顯示注冊(cè)表根鍵（例如將HKEY_LOCAL_MACHINE顯示為HKLM）。 在Process Monitor的工具欄上取消“顯示注冊(cè)表活動(dòng)”按鈕的選擇，就可以從視圖中移除注冊(cè)表操作的記錄，按下這個(gè)按鈕又會(huì)將注冊(cè)表操作添加回視圖。  進(jìn)程在進(jìn)程/線程監(jiān)視子系統(tǒng)中，Process Monitor跟蹤所有進(jìn)程和線程的創(chuàng)建和退出操作，以及DLL（動(dòng)態(tài)鏈接庫）和設(shè)備驅(qū)動(dòng)程序的加載操作。 在Process Monitor的工具欄上取消“顯示進(jìn)程和線程活動(dòng)”按鈕的選擇，就可以從視圖中移除進(jìn)程和線程操作的記錄，按下這個(gè)按鈕又會(huì)將進(jìn)程和線程操作添加回視圖。 

7、 剖析事件這種事件類型可以在“選項(xiàng)”菜單中啟用。當(dāng)它被啟用時(shí)，Process Monitor掃描系統(tǒng)中所有的活動(dòng)線程，并為每個(gè)線程創(chuàng)建一個(gè)剖析事件，記錄它耗費(fèi)的核心和用戶CPU時(shí)間，以及該線程自上次剖析事件以來執(zhí)行了多少次上下文轉(zhuǎn)換。注意：在剖析中不包括System進(jìn)程。 有一些基本選項(xiàng)控制著Process Monitor的基本操作： 捕獲：使用“文件”菜單中的“捕獲事件”菜單項(xiàng)，工具欄上的“捕獲”按鈕，以及快捷鍵Ctrl+E來切換Process Monitor的捕獲行為。自動(dòng)滾動(dòng)：選擇“編輯”菜單中的“自動(dòng)滾動(dòng)”項(xiàng)，工具欄上的“自動(dòng)滾動(dòng)”按鈕，以及快捷鍵Ctrl+A來切換

8、Process Monitor的自動(dòng)滾動(dòng)行為，以保證最近的操作在視圖中是可見的。 清除：選擇“編輯”菜單中的“清除顯示”菜單項(xiàng)，工具欄上的“清除”按鈕，以及快捷鍵Ctrl+X，可以清除視圖中顯示的所有內(nèi)容。 【選擇列】你可以拖動(dòng)列來重新排列它們的順序。選擇“選項(xiàng)”菜單中的“選擇列”菜單項(xiàng)，打開“列選擇”對(duì)話框，你可以在這里定制要顯示的列。可供選擇的列包括： 應(yīng)用程序詳細(xì)信息 進(jìn)程名 發(fā)生事件的進(jìn)程名稱 映像路徑 在進(jìn)程中運(yùn)行的映像文件的完整路徑 命令行 啟動(dòng)進(jìn)程時(shí)所使用的命令行 公司名稱 在進(jìn)程映像文件中嵌入的公司名稱版本字符串文本，

9、該文本由應(yīng)用程序開發(fā)者所選擇定義 描述 在進(jìn)程映像文件中嵌入的產(chǎn)品描述字符串文本，該文本由應(yīng)用程序開發(fā)者所選擇定義 版本 在進(jìn)程映像文件中嵌入的產(chǎn)品版本號(hào)，該信息由應(yīng)用程序開發(fā)者所選擇定義 體系架構(gòu) 應(yīng)用程序的體系架構(gòu)（如32位、64位等） 事件詳細(xì)信息 序號(hào) Process Monitor分配給一個(gè)特定事件的唯一數(shù)字編號(hào) 事件類 事件的類型（文件、注冊(cè)表、進(jìn)程） 操作 特定的事件操作（例如讀取文件、注冊(cè)表查詢值等） 日期和時(shí)間 操作發(fā)生的日期和時(shí)間 時(shí)間 僅包括操作發(fā)生的時(shí)間 類別 操作的類別（例如讀取、讀取元數(shù)據(jù)等） 路徑 事件引用資源的路徑 詳細(xì)信

10、息 事件的額外具體信息 結(jié)果 操作完成后返回的狀態(tài)代碼 相對(duì)時(shí)間 相對(duì)于Process Monitor啟動(dòng)時(shí)間或上次清除視圖時(shí)間的操作時(shí)間 持續(xù)時(shí)間 已完成操作的持續(xù)時(shí)間 進(jìn)程管理 用戶名 執(zhí)行操作的進(jìn)程運(yùn)行時(shí)所使用的用戶帳號(hào)的名稱 會(huì)話ID 執(zhí)行操作的進(jìn)程運(yùn)行時(shí)所屬的Windows會(huì)話 認(rèn)證ID 執(zhí)行操作的進(jìn)程運(yùn)行時(shí)所屬的登錄會(huì)話 進(jìn)程ID 執(zhí)行操作的進(jìn)程ID（PID） 線程ID 執(zhí)行操作的線程ID（TID） 父ID 執(zhí)行操作的進(jìn)程的父進(jìn)程ID 完整性 執(zhí)行操作的進(jìn)程運(yùn)行中的完整性（僅適用于Windows Vis

11、ta） 虛擬化 執(zhí)行操作的進(jìn)程的虛擬化狀態(tài)（僅適用于Windows Vista） 【事件屬性】你可以通過在事件上雙擊鼠標(biāo)來查看某個(gè)特定事件的屬性，或者選擇“事件”菜單下的“屬性”菜單項(xiàng)，或者當(dāng)用右鍵單擊某個(gè)事件時(shí)，在上下文菜單中選擇“屬性”?！笆录傩浴睂?duì)話框由“事件”、“進(jìn)程”和“堆?！比摻M成，你可以使用對(duì)話框下方的箭頭按鈕移動(dòng)到下一個(gè)或上一個(gè)顯示的或高亮的事件。 事件“事件”頁顯示某個(gè)事件的詳細(xì)信息，包括它的序號(hào)、線程、事件類型、操作、結(jié)果、時(shí)間戳，如果可用的話，還包括資源路徑。只有文件系統(tǒng)和注冊(cè)表兩類事件定義了資源路徑?！笆录表摰南掳氩糠至谐隽擞墒录僮?/p>

12、所決定的詳細(xì)信息。這些詳細(xì)信息與事件在主窗口的詳細(xì)信息列中所顯示的內(nèi)容相同，但是每條詳細(xì)信息都顯示為單獨(dú)的一行。 進(jìn)程事件的“進(jìn)程”頁顯示關(guān)于產(chǎn)生事件的進(jìn)程的信息，還包括與進(jìn)程的映像文件相關(guān)的數(shù)據(jù)，例如路徑和版本字符串?！斑M(jìn)程”頁顯示進(jìn)程的運(yùn)行屬性，如進(jìn)程ID、運(yùn)行進(jìn)程的用戶帳號(hào)，如果事件發(fā)生在64位的Windows系統(tǒng)中，還可以顯示該進(jìn)程是32位還是64位的。如果進(jìn)程在Windows Vista系統(tǒng)上運(yùn)行，Process Monitor可以顯示進(jìn)程的完整性和是否被虛擬化。 “進(jìn)程”頁的底部顯示了當(dāng)進(jìn)程中的事件發(fā)生時(shí)，由該進(jìn)程加載的映像文件列表和加載它們的內(nèi)存地址。雙擊列表

13、中的映像文件，可以查看關(guān)于該映像文件的更多信息，包括它的版本信息等。 堆?！岸褩！表擄@示當(dāng)事件被記錄時(shí)該線程的堆棧。堆棧在判定事件發(fā)生的原因和導(dǎo)致事件發(fā)生的組件時(shí)很有用。堆棧的內(nèi)核模式幀在左側(cè)以字母K標(biāo)記，用戶模式幀（僅在32位系統(tǒng)上有效）以字母U標(biāo)記。如果Process Monitor能夠找到在跟蹤中引用的映像文件所使用的調(diào)試符號(hào)，它會(huì)嘗試把內(nèi)存地址解析為它們所屬的函數(shù)名。如果符號(hào)必須從網(wǎng)絡(luò)上獲取，例如使用微軟符號(hào)服務(wù)器，符號(hào)解析會(huì)花費(fèi)一些時(shí)間。使用“選項(xiàng)”菜單下的“配置符號(hào)”對(duì)話框，可以對(duì)符號(hào)進(jìn)行設(shè)置。 如果你在“配置符號(hào)”對(duì)話框中指定了一個(gè)源文件的路徑，當(dāng)行號(hào)符號(hào)信息

14、可用并且在你指定的路徑下存在源文件時(shí)，“堆?！睂?duì)話框中的“來源”按鈕將對(duì)該幀可用。點(diǎn)擊“來源”按鈕會(huì)打開一個(gè)文本查看器，高亮顯示被引用的源代碼行。 要查看堆棧跟蹤記錄中關(guān)于映像文件的更多信息，可以雙擊某個(gè)幀，或者選擇該幀后點(diǎn)擊堆棧跟蹤區(qū)下方的“屬性”按鈕。 選擇“事件”菜單下的“堆棧”菜單項(xiàng)，可以打開事件屬性對(duì)話框并直接顯示“堆棧”頁。 【過濾和高亮顯示】Process Monitor提供了幾種不同的方法來配置過濾器和高亮顯示。 包括和排除過濾器你可以在過濾器中指定事件屬性，Process Monitor將只顯示或排除與屬性值相匹配的事件。所有的過濾器都

15、是非破壞性的，意思是說它們只影響事件在Process Monitor中的顯示，而不影響事件的基礎(chǔ)數(shù)據(jù)。 當(dāng)選擇了一個(gè)事件之后，“事件”菜單下的“包括”和“排除”子菜單可以讓你通過簡單地添加一個(gè)事件屬性來設(shè)置“包括”和“排除”過濾器。例如，想要只顯示由某個(gè)特定名稱的進(jìn)程執(zhí)行的事件，就選擇“包括”子菜單下的“進(jìn)程名”。你還可以選擇多個(gè)事件，同時(shí)為這些事件中包含的所有唯一值配置屬性過濾器。Process Monitor把與某個(gè)特定屬性類型相關(guān)的所有過濾器當(dāng)作“或（OR）”的關(guān)系，把不同屬性類型的過濾器當(dāng)作“與（AND）”的關(guān)系。例如，如果你為Notepad.exe和Cmd.exe指定了“包

16、括進(jìn)程名”過濾器，并為C:Windows指定了“包括路徑”過濾器，Process Monitor將只顯示來源于Notepad.exe或Cmd.exe，并且指定了C:Windows目錄的事件。 在“過濾器”對(duì)話框中可以使用更復(fù)雜的過濾選項(xiàng)，你可以選擇“過濾器”菜單下的“過濾器”菜單項(xiàng)，或者點(diǎn)擊工具欄上的“過濾器”按鈕。一個(gè)過濾項(xiàng)目包括一個(gè)屬性域（如認(rèn)證ID，進(jìn)程名等）、一個(gè)比較操作符、一個(gè)屬性值和一個(gè)“保留”或“排除”的過濾類型。為了方便，Process Monitor會(huì)自動(dòng)在下拉列表中列出在已加載的跟蹤數(shù)據(jù)中出現(xiàn)的屬性值，但是你也可以輸入任意的值。 注意：因?yàn)镻rocess

17、 Monitor在一個(gè)操作完成之前并不知道結(jié)果，涉及到結(jié)果屬性的過濾器只能應(yīng)用于已經(jīng)收集到的項(xiàng)目。在過濾器被應(yīng)用之后收集的項(xiàng)目將不受結(jié)果屬性過濾器影響。 過濾器上下文菜單如果你在視圖中的一個(gè)項(xiàng)目上單擊鼠標(biāo)右鍵，Process Monitor會(huì)顯示一個(gè)上下文菜單，讓你查看項(xiàng)目的屬性或設(shè)置一個(gè)基于項(xiàng)目屬性的過濾器。而且，在菜單中添加了快速過濾器入口，可以根據(jù)你的鼠標(biāo)點(diǎn)擊的列的值創(chuàng)建過濾器。 破壞性過濾默認(rèn)情況下，Process Monitor的過濾器應(yīng)用于顯示的數(shù)據(jù)，而不是保存的數(shù)據(jù)。這使你能夠通過改變過濾器來獲得數(shù)據(jù)的不同視圖，并且不會(huì)影響到被排除的數(shù)據(jù)。然而，你可以通過選擇

18、“過濾器”菜單下的“忽略已過濾的事件”，將Process Monitor切換到破壞性過濾模式，這樣所有被過濾器排除的數(shù)據(jù)都會(huì)被同時(shí)刪除。 包含來自窗口的進(jìn)程工具欄上有一個(gè)形狀像靶子的按鈕，你可以將它拖放到一個(gè)窗口上，Process Monitor會(huì)將擁有這個(gè)窗口的進(jìn)程的進(jìn)程ID添加到“包括”過濾器中。 基本和高級(jí)模式“選項(xiàng)”菜單中的“啟用高級(jí)輸出”菜單項(xiàng)控制著Process Monitor工作在基本模式還是高級(jí)模式。當(dāng)Process Monitor工作在基本模式下時(shí)，它配置了內(nèi)置的過濾器，從視圖中排除與系統(tǒng)相關(guān)的活動(dòng)，并且使用直觀的名稱來表示內(nèi)部文件系統(tǒng)操作。例如，在基本模

19、式下，Process Monitor會(huì)把內(nèi)部的IRP_MJ_READ操作顯示為“讀取文件”?；灸Ｊ绞馆敵龈鬃x，并省略了通常與排除應(yīng)用程序故障無關(guān)的事件。 保存和加載過濾器當(dāng)你配置了一個(gè)過濾器之后，可以使用“過濾器”菜單下的“保存過濾器”將其保存起來。Process Monitor把你保存的過濾器添加到“加載過濾器”子菜單下以方便訪問。打開“過濾器”菜單下的“組織過濾器”對(duì)話框，可以重命名或刪除已保存的過濾器，將這些過濾器導(dǎo)出到文件中保存，或者從文件中導(dǎo)入之前保存的過濾器。 高亮顯示Process Monitor高亮顯示過濾器允許你指定事件屬性，使事件以高亮顏色顯示?！笆?/p>

20、件”菜單中的“高亮顯示”子菜單提供了定義高亮顯示過濾器的快速訪問入口，在“過濾器”菜單下的“高亮顯示”菜單項(xiàng)將打開“高亮顯示”對(duì)話框，它的操作與包括/排除過濾器對(duì)話框類似。 【進(jìn)程樹】 使用“工具”菜單下的“進(jìn)程樹”菜單項(xiàng)打開“進(jìn)程樹”對(duì)話框，它以層次形式顯示已加載的跟蹤數(shù)據(jù)所引用的所有進(jìn)程，反映出他們的父子關(guān)系。同一個(gè)父進(jìn)程下的子進(jìn)程按照它們的啟動(dòng)時(shí)間排序。排列在窗口最左邊的進(jìn)程的父進(jìn)程沒有在跟蹤記錄中留下任何事件。 當(dāng)你在進(jìn)程樹中選擇了一個(gè)進(jìn)程，對(duì)話框底部會(huì)顯示出Process Monitor獲取的關(guān)于此進(jìn)程的一部分?jǐn)?shù)據(jù)，例如它的映像路徑、用戶帳號(hào)、啟動(dòng)時(shí)間。

21、如果要查看關(guān)于此進(jìn)程的更多信息，你可以點(diǎn)擊“轉(zhuǎn)到事件”按鈕，這將使Process Monitor選擇并定位到由該進(jìn)程執(zhí)行的第一個(gè)可見項(xiàng)目。注意，通過使用過濾器從視圖中排除指定進(jìn)程的所有事件，可以阻止這個(gè)操作的完成。 【跟蹤摘要工具】 Process Monitor包含了一系列的對(duì)話框，讓你在跟蹤收集的事件中進(jìn)行簡單的數(shù)據(jù)挖掘。 唯一值使用“工具”菜單下相應(yīng)的菜單項(xiàng)打開“唯一值”對(duì)話框，可以讓你看到跟蹤記錄中的事件的不同屬性的唯一值。例如，如果你想快速查看在跟蹤記錄中引用的所有路徑，在下拉列表中選擇“路徑”。 在顯示的值上雙擊，或者點(diǎn)擊“過濾器”按鈕，可以

22、將當(dāng)前選擇的值添加到“包括”過濾器。 統(tǒng)計(jì)出現(xiàn)次數(shù)在“工具”菜單下打開“出現(xiàn)次數(shù)”對(duì)話框，它顯示你指定的屬性類型在跟蹤記錄中可見的唯一值，連同在跟蹤記錄中包含這個(gè)值的事件出現(xiàn)的次數(shù)。進(jìn)程活動(dòng)摘要這個(gè)對(duì)話框概括了在跟蹤數(shù)據(jù)中可見的進(jìn)程，包括它們的進(jìn)程ID、映像文件名和命令行等信息。 文件摘要“文件摘要”對(duì)話框列出了過濾后的跟蹤記錄中每一個(gè)唯一的文件系統(tǒng)路徑，對(duì)該文件執(zhí)行I/O操作所花費(fèi)的時(shí)間，引用這個(gè)路徑的事件總數(shù)，并分別計(jì)算不同類型的操作的數(shù)量。 注冊(cè)表摘要“注冊(cè)表摘要”對(duì)話框列出了過濾后的跟蹤記錄中每一個(gè)唯一的注冊(cè)表路徑，對(duì)該注冊(cè)表路徑執(zhí)行I/O操作所花費(fèi)的時(shí)間

23、，引用這個(gè)路徑的事件總數(shù)，并分別計(jì)算不同類型的操作的數(shù)量。 堆棧摘要使用“堆棧摘要”對(duì)話框查看每個(gè)進(jìn)程的堆棧跟蹤記錄的實(shí)例，包括堆棧跟蹤發(fā)生的次數(shù)和同一個(gè)跟蹤記錄中的事件花費(fèi)的總時(shí)間?！具x項(xiàng)】 “選項(xiàng)”菜單中的一些設(shè)置可改變Process Monitor的行為。 啟用高級(jí)輸出這個(gè)選項(xiàng)控制內(nèi)置的高級(jí)操作過濾器，在“過濾和高亮顯示”一節(jié)中已經(jīng)描述過了。 字體這個(gè)選項(xiàng)打開字體選擇對(duì)話框，你可以選擇Process Monitor用來顯示的字體。 高亮顏色這個(gè)菜單項(xiàng)打開一個(gè)對(duì)話框，可以選擇文字和背景的顏色，Process Monitor用它們來顯示與高亮

24、顯示過濾器相匹配的項(xiàng)目。 配置符號(hào)如果符號(hào)信息可用的話，Process Monitor能夠用它來顯示事件堆棧所引用的函數(shù)名稱。你可以在Microsoft Debugging Tools for Windows網(wǎng)站上找到關(guān)于配置符號(hào)的信息。 歷史記錄深度Process Monitor監(jiān)視著已提交的內(nèi)存使用，當(dāng)虛擬內(nèi)存過低時(shí)它會(huì)將自身關(guān)閉。但是“歷史記錄深度”對(duì)話框可以讓你限制它保留的項(xiàng)目數(shù)量，所以你能讓Process Monitor長期運(yùn)行并保證它保留了最新的事件。 【保存和日志】 文件格式你可以使用“文件”菜單中的“保存”菜單項(xiàng)，將Process Mon

25、itor的數(shù)據(jù)保存為原生格式（PML）、逗號(hào)分隔的值（CSV），或者XML格式。PML格式保存了捕獲到的所有數(shù)據(jù)，所以你可以把它重新加載進(jìn)同一個(gè)系統(tǒng)或不同系統(tǒng)中的Process Monitor。CSV文件可用于導(dǎo)入到Excel或其他數(shù)據(jù)分析應(yīng)用程序。最后，XML格式的數(shù)據(jù)可以被操作XML的工具所解析。 日志缺省情況下，Process Monitor使用虛擬內(nèi)存來儲(chǔ)存捕獲到的數(shù)據(jù)。使用“文件”菜單下的“后備文件”對(duì)話框，可以配置Process Monitor將捕獲的數(shù)據(jù)儲(chǔ)存在磁盤上的文件中。啟用這個(gè)選項(xiàng)后，Process Monitor會(huì)在捕獲數(shù)據(jù)的同時(shí)以原生的PML格式將日志數(shù)據(jù)保存

26、到磁盤上。 “后備文件”對(duì)話框還會(huì)顯示診斷信息，包括已捕獲的事件數(shù)量、進(jìn)程數(shù)量等信息和捕獲線程的加載狀態(tài)。 【引導(dǎo)日志】 Process Monitor能夠在啟動(dòng)設(shè)備驅(qū)動(dòng)程序初始化時(shí)，從引導(dǎo)進(jìn)程中很早的一個(gè)時(shí)刻開始記錄活動(dòng)。選擇“選項(xiàng)”菜單下的“啟用引導(dǎo)日志”，可以配置Process Monitor在下次系統(tǒng)引導(dǎo)時(shí)記錄日志。Process Monitor的驅(qū)動(dòng)程序?qū)?huì)在下次系統(tǒng)引導(dǎo)時(shí)將活動(dòng)日志記錄到%Windir%目錄下，并繼續(xù)記錄日志，直到關(guān)機(jī)或者你再次運(yùn)行Process Monitor。因此，如果你在啟動(dòng)期間不運(yùn)行Process Monitor，你將捕獲到從開

27、機(jī)到關(guān)機(jī)的整個(gè)周期的跟蹤記錄。 當(dāng)你運(yùn)行Process Monitor時(shí)，它查看之前是否生成了一個(gè)引導(dǎo)日志，如果是的話，會(huì)詢問你想要把處理過的引導(dǎo)日志輸出文件放在哪里。當(dāng)轉(zhuǎn)換完成后，Process Monitor將顯示跟蹤記錄。如果要查看引導(dǎo)過程早期的唯一進(jìn)程System進(jìn)程的活動(dòng)，需要在“過濾器”菜單中選擇“啟用高級(jí)輸出”。 如果你設(shè)置了啟用引導(dǎo)日志，而系統(tǒng)在引導(dǎo)過程的初期崩潰了，你可以通過在Windows啟動(dòng)菜單（在引導(dǎo)過程中按F8鍵）中選擇“最近一次的正確配置”來取消引導(dǎo)日志。 【命令行選項(xiàng)】 Process Monitor支持一些命令行選項(xiàng)：&#

28、160;/Openlog <保存的PML日志文件>讓Process Monitor直接打開并加載指定的日志文件。 /Backingfile <日志文件名>讓Process Monitor創(chuàng)建并使用指定的文件名作為日志文件。 /Pagingfile將事件保存到虛擬內(nèi)存中。 /Noconnect當(dāng)此標(biāo)記存在時(shí)，Process Monitor不會(huì)自動(dòng)開始記錄活動(dòng)。 /Nofilter啟動(dòng)時(shí)清除過濾器。 /AcceptEula自動(dòng)接受并跳過最終用戶許可協(xié)議（EULA）對(duì)話框。 /Profiling啟用線程剖析事件類。&

29、#160;/Minimized啟動(dòng)Process Monitor時(shí)最小化窗口到任務(wù)欄。 /WaitForIdle等待Process Monitor實(shí)例準(zhǔn)備完畢。 /Terminate終止Process Monitor的所有實(shí)例并退出。 /Quiet在啟動(dòng)時(shí)不確認(rèn)過濾器設(shè)置。 /Run32使用這個(gè)開關(guān)在64位的Windows上運(yùn)行32位版本的Process Monitor，用來打開在32位系統(tǒng)上創(chuàng)建的日志。 /HookRegistry這個(gè)開關(guān)只在32位的Vista和Server 2008上有效，它讓Process Monitor使用系統(tǒng)調(diào)用鉤子代

30、替注冊(cè)表回調(diào)機(jī)制，來監(jiān)視注冊(cè)表的活動(dòng)。這使它能夠在這些操作系統(tǒng)上看到SoftGrid虛擬注冊(cè)表操作。這個(gè)選項(xiàng)必須在Process Monitor在系統(tǒng)中第一次運(yùn)行時(shí)使用，并且僅用于SoftGrid應(yīng)用程序的故障排除。 【編寫Process Monitor腳本】 你可以在批處理文件中使用Process Monitor命令行選項(xiàng)。例如要跟蹤捕獲notepad.exe的執(zhí)行過程，批處理文件應(yīng)該像下面這樣寫（譯者注：可以將此腳本保存成.cmd或.bat文件）：set PM=C:sysintprocmon.exestart %PM% /quiet /minimized /backin

31、gfile C:tempnotepad.pml%PM% /waitforidlenotepad.exe%PM% /terminate對(duì)Process Monitor的第一次調(diào)用使用了start以確保進(jìn)程脫離控制臺(tái)窗口，這使它能夠與后面的命令并行運(yùn)行。第二次調(diào)用帶有/WaitForIdle，可以使批處理文件暫停執(zhí)行，直到第一個(gè)實(shí)例啟動(dòng)完畢并開始捕獲事件。最后一次調(diào)用帶有/Terminate，讓第一個(gè)實(shí)例停止捕獲，提交所有未保存的數(shù)據(jù)到后備文件并干凈退出。 -分-隔-線- 好了，看完了上面的幫助文檔，是不是對(duì)它的功能基本有了一些了解？下面我再以wbpluto漢化版為例，介紹一下在Process Monitor的使用中需要注意的一些問題。 當(dāng)你下載了Process Monitor之后，把下載的壓縮