Process Monitor

Process Monitor是 Windows 的高级监视工具，是Filemon + Regmon的整合增强版本，实时显示文件系统，注册表，网络活动，进程或线程活动，资料收集事件，并提供丰富的非破坏性筛选、全面的事件属性（如会话 ID 和用户名）、可靠的进程信息、具有每个操作的集成符号支持的全线程堆栈、同时记录到文件等等。其界面如下

其列表表头翻译过来就是

捕获时间	进程名称	进程号	操作名称	路径	返回结果	细节

如果觉得这些信息还不够，可以右键表头->【Select Columns】，来自定义每一列所显示的信息。在弹出的表格中，共有三类

Application Details 应用信息

• 【Process Name】进程名称
• 【lmage Path】进程镜像路径
• 【Command Line】启动进程的命令行
• 【Company Name】企业名
• 【Description】程序说明
• 【Version】版本
• 【Architecture】架构
  Event Details 事件信息
• 【Sequence Number】操作在全体事件中的相对位置
• 【Event Class】事件类别
• 【Operation】特殊事件操作
• 【Date &Time】捕获时的日期时间
• 【Time of Day】捕获时间
• 【Category】时间类别
• 【Path】路径
• 【Detail】事件的附加信息
• 【Result】返回值
• 【Relative Time】事件相对于Process Monitor的启动后的时间
• 【Duration】一个已经完成了的操作所持续的时间
• 【Completion Time】完成时间
• Process Management 进程管理
• 【User Name】执行操作进程的用户名
• 【Session ID】会话ID
• 【Authentication ID】身份验证ID
• 【Integrity】可信级别
• 【Process ID】进程号
• 【Thread ID】线程号
• 【Parent ID】父线程号
• 【Virtualized】虚拟化状态

操作逻辑

从列表中所呈现出的信息来看，Process Monitor中每一行数据，都是以事件为单位的，并且将实时捕获这些事件。

快捷键【Ctrl + E】可开启或关闭自动捕获事件；【Ctrl + A】可开启自动滚动，这两个功能对应工具栏左起第三、四个按钮。

工具栏最右侧，有5个选项，分别用于开启或关闭不同的事件类型，分别是

• 注册表事件
• 文件系统事件
• 网络事件
• 进程或线程事件
• 进程性能分析相关的事件

通过快捷键【Ctrl+L】可以筛选显示的事件类型，对应工具栏左数第5个图标。打开之后，可以看到筛选列表最上面的规则便是，进程名不得为procmon.exe，因为这个procmon.exe就是Process Monitor自己。

如果想监视edge浏览器的行为，可以如上图所示，筛选Process Name为msedge.exe的事件。先将现有的事件监控信息清除，然后打开Edge浏览器，就可以看到有关edge浏览器的所有行为事件了。