最开始是在论坛看到有人推荐Process Monitor,后来又在《练手之经典病毒熊猫烧香分析》这篇文章中看到作者使用这一款工具,今天自己试用了这个软件,作文Mark一下。
一、进程树
点击工具栏如下图标,可以查看进程树,可以很清楚看到历史上哪些进程属于哪个父进程。注意这里是历史记录也就是他消失了也能看到。所以还是有很有用。
二、过滤功能
只有显示写入文件的日志,一目了然
三、瞄准枪
当我们要监控某一程序时,只需要将Process Monitor程序上的瞄准枪图标拖到目标程序,Process Monitor窗口中程序即会显示目标程序的相关信息。
注事事项:在使用这个功能前,要先取消自己设定的过滤条件,以免影响结果的显示。
四、显示更多内容
在鼠标右键单击右键,在弹出的菜单中选择“select columns”。
在弹出的窗口中,可以选择显示更多的内容,比如进程的父ID等。
显示父ID的结果:
官方下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon
原载:蜗牛博客
网址:http://www.snailtoday.com
尊重版权,转载时务必以链接形式注明作者和原始出处及本声明。