Process Monitor 中文帮助文档
系统保护ProcessGuard教程
系统保护P r o c e s s G u a r d教程用过很多系统还原软件,现在自己的系统基本上也算比较安全,其实这种所谓的安全无非是可以让你死了又在几秒内复活,对普通用户而言,造成系统破坏很大程度上是病毒木马引起的,其次就是软件对与系统文件以及驱动的随意更改替换,这些都会造成系统的不稳定和功能的丢失。
杀毒软件对与一般软件随意修改系统文件其实也是很不敏感的,很多杀毒软件本身都会被木马杀掉(我没打错字哦),还谈什么保护系统呢?杀毒软件对于新木马新病毒的反应也不尽如人意,用正版江名KV2006的2月3号的病毒库,去检测阿拉QQ 大盗1月28号版生成的木马,结果如下:碰到这种情况杀毒软件还有任何保护作用吗?要对付这些新木马,我们当然要有特殊工具了,这就是ProcessGuard(进程守护者),说起来那些写木马的人该惭愧了,从该软件的帮助文件中看,软件是2003年后期发布的,但用它完全可以拦截现在所有的木马病毒甚至Rookit。
软件的安装很容易,先安装原程序,安装完成时“选择稍后重新启动”,把汉化文件粘贴到软件的安装目录下,覆盖掉原文件,再重启,就可以了。
汉化包有这三个文件是要覆盖过去的。
如果不小心在安装时选择了重启,那么重启后必须先退出ProcessGuard,退出之前好要先把软件设置成不保护状态,关闭这两个进程。
再把汉化文件覆盖原文件,比较麻烦,所以安装时还是注意一下。
这个软件的使用可以用非常麻烦来形容,不过只是刚开始时侯有些麻烦,慢慢熟练了就好了。
在设置中我们最好先选择上学习模式,不选择“保护开启”,这时候ProcessGuard(PG)并不会对你的操作进行太多拦截,该软件可以在你使用其他软件的过程中逐步学习各程序的行为规则,对什么程序什么行为该放行有各选择,这里不要选上“拦截新建或修改应用程序”,选上这个以后基本上所有程序都无法运行了。
如果不小心选上了,在PG里修改一下就行了。
把你平时的应用程序都运行一下,现在可以取消学习模式,选上保护开启了。
3500 62进程变量监控器说明书
DescriptionThe 3500/62 Process Variable Monitor is a 6-channel monitorfor processing machine critical parameters that meritcontinuous monitoring, such as pressures, flows,temperatures, and levels. The monitor accepts +4 to +20 mAcurrent inputs or any proportional voltage inputs between -10Vdc and +10 Vdc. It conditions these signals and comparesthe conditioned signals to user-programmable alarmsetpoints.The 3500/62 monitor:l Continuously compares monitored parametersagainst configured alarm setpoints to drive alarms formachinery protection.l Provides essential machine information for bothoperations and maintenance personnel.You can program the 3500/62 using the 3500 RackConfiguration Software to perform either current or voltagemeasurements. The 3500/62 offers I/O modules for threesignal input scenarios: +/-10 Volts DC, isolated 4-20 mA, or 4-20 mA with Intrinsically Safe zener barriers. The Internal BarrierI/O provides external power input terminals to provideintrinsically safe power to the 4-20 mA transducersWhen used in a Triple Modular Redundant (TMR)configuration, you must install Process Variable Monitorsadjacent to each other in groups of three. When used in thisconfiguration, the monitor employs two types of voting toensure accurate operation and to avoid loss of machineryprotection due to single-point failures.Triple Modular Redundant (TMR) Units are no longeravailable for purchase.3500/62Process Variable Monitor DatasheetBently Nevada Machinery Condition Monitoring141541Rev.KSpecificationsInputsOutputsSignal ConditioningSpecified at +25 °C (+77 °F). Full-scale range foreach channel is set in the field via 3500Configuration Software. No calibration isrequired.Accuracy Within ±0.33% of full-scale typical,±1% maximum.Full Scale Range Maximum 20,000 units mapped overthe input signal span. Minimuminput signal span for voltage input is2 volts.AlarmsAlarm SetpointsUser can set Alert and Danger setpoints for thevalue measured by the monitor. Alarms areadjustable and can normally be set from 0 to100% of full-scale for each measured value. Theexception is when the full-scale range exceedsthe range of the sensor in which case thesetpoint will be limited to the range of thesensor. Accuracy of alarms is to within 0.13% ofthe desired value. The Process Variable Monitorhas both under and over alarm setpoints.Alarm Time DelaysUser can use software to set alarm delays asfollows:Alert From 1 to 60 seconds in 1 secondintervals.DangerFrom 1 to 60 seconds in 0.5 secondintervals or to the minimum alarmtime delay.You can also set the Danger time delay at amillisecond interval that varies from 270 to 810milliseconds, depending on the number of activechannels. The millisecond danger interval isdetermined as follows:270ms minimum time + (90ms x number of activechannels)As more channels are used, the alarm time delayincreases. The configuration software willindicate the minimum alarm time delay basedon the channel loading.Proportional ValuesProportional values are Process Variable measurements used to monitor the machine. The Process Variable Monitor returns current or voltage proportional values in a variety of different units that are configurable. Environmental LimitsOperating Temperature -30°C to +65°C (-22°F to +149°F) when used with Internal/External Termination I/O Module.Operating Temperature 0°C to +65°C (+32°F to +149°F) when used with Internal Barrier I/O Module (Internal Termination).Storage Temperature 40°C to +85°C (-40°F to +185°F).Humidity 95%, noncondensing. Monitor ModuleRack Space Requirements MonitorModule 1 full-height front slot. I/O Modules 1 full-height rear slot.Compliance and CertificationsFCCThis device complies with part 15 of theFCC Rules. Operation is subject to thefollowing two conditions:l This device may not cause harmfulinterference.l This device must accept anyinterference received, includinginterference that may causeundesired operation.EMCEuropean Community Directive:EMC Directive 2014/30/EUStandards:EN 61000-6-2 Immunity for Industrial EnvironmentsEN 61000-6-4 Emissions for Industrial EnvironmentsElectrical SafetyEuropean Community Directive:LV Directive 2014/35/EUStandards:EN 61010-1RoHSEuropean Community Directive:RoHS Directive 2011/65/EU MaritimeABS - Marine and Offshore ApplicationsDNV GL Rules for Classification – Ships,Offshore Units, and High Speed and Light Craft Hazardous Area Approvals For the detailed listing of country and productspecific approvals, refer to the Approvals QuickReference Guide (108M1756) available from.CSA/NRTL/CWhen used withI/O moduleordering optionswithout internalbarriersClass I, Zone 2: AEx/Ex nA nC icIIC T4 Gc;Class I, Zone 2: AEx/Ex ec nC icIIC T4 Gc;Class I, Division 2, Groups A, B, C,and D;T4 @ Ta= -20˚C to +65˚C (-4˚Fto +149˚F)When installed p er drawing149243 or 149244.When used withI/O moduleordering optionswith internalbarriersClass I, Zone 2: AEx/Ex nA nC ic[ia Ga] IIC T4 Gc;Class I, Zone 2: AEx/Ex ec nC ic[ia Ga] IIC T4 Gc;Class I, Division 2, Groups A, B, C,and D (W/ IS Output for Division1)T4 @ Ta= -20˚C to +65˚C (-4˚Fto +149˚F)When installed p er drawing138547.ATEX/IECExWhen used withI/O moduleordering optionswithout internalbarriersII 3 GEx nA nC ic IIC T4 Gc;Ex ec nC ic IIC T4 Gc;T4 @ Ta= -20˚C to +65˚C (-4˚Fto +149˚F)When installed p er drawing149243 or 149244.When used withI/O moduleordering optionswith internalbarriersII 3(1) GEx nA nC ic [ia Ga] IIC T4 Gc;Ex ec nC ic [ia Ga] IIC T4 Gc;T4 @ Ta= -20˚C to +65˚C (-4˚Fto +149˚F)When installed p er drawing138547.Ordering Considerations GeneralIf the 3500/62 Module is added to an existing 3500 Monitoring System, the monitor requires the following (or later) firmware and software versions:l3500/20 Module Firmware – 1.07 (Rev G) l3500/01 Software – Version 2.20l3500/02 Software – Version 2.10l3500/03 Software – Version 1.20If the Internal Barrier I/O is used the system must also meet these requirements:l3500/62 Module Firmware- 1.06 (Rev C)l 3500/01 Software – Version 2.30You cannot use External TerminationBlocks with Internal Termination I/Omodules.When ordering I/O Modules with External Terminations, you must order the External Termination Blocks and Cables separately. Internal Barrier I/O ModuleImportant info Consult the 3500 Internal Barrier specification sheet (part number 141495-01) if you select the Internal Barrier Option.Fuse250 mA, 250 V fast blow type.Ordering InformationFor the detailed listing of country and productspecific approvals, refer to the Approvals QuickReference Guide (108M1756) available from.Process Variable Monitor3500/62-AA-BBA: I/O Module Type01 -10 to +10 Vdc I/O Module with InternalTerminations02-10 to +10 Vdc I/O Module with ExternalTerminations03Isolated +4 to +20 mA I/O Module withInternal Terminations04Isolated +4 to +20 mA I/O Module withExternal Terminations05Non-Isolated +4 to +20 mA I/O Module with Internal Barriers and Internal TerminationsB: Agency Approval Option00None01CSA/NRTL/C02ATEX/CSA (Class 1, Zone 2)Agency Approval Option B 02 is availableonly with Ordering Options A 01 and A 05. External Termination Blocks136595-01 3500/62 External Termination Block(Terminal Strip Connectors).136603-01 3500/62 External Termination Block(Euro Style Connectors). Cables3500/62 Transducer (XDCR) Signal to External Termination (ET) Block Cable134544-AAAA-BBA: Cable Length0005 5 feet (1.5 metres)00077 feet (2.1 metres)001010 feet (3 metres)002525 feet (7.5 metres)005050 feet (15 metres)0100100 feet (30.5 metres)B: Assembly Instructions01Not assembled02AssembledSparesGraphs and Figures1. Status LEDs2. Main Module Front View3. 4 to 20mA Internal Terminations I/O Module4. –10 to +10 Vdc Internal Terminations I/O Module5. 4 to 20mA External Terminations I/O Module6. -10 to +10 Vdc External Terminations I/O ModuleFigure 1: Front and Rear Views of the 3500/62 Process Variable MonitorCopyright 2020 Baker Hughes Company. All rights reserved.Bently Nevada and Orbit Logo are registered trademarks of Bently Nevada, a Baker Hughes Business, in the United States and other countries. The Baker Hughes l ogo is a trademark of Baker Hughes Company. All other product and company names are trademarks of their respective holders. Use of the trademarks does not imply any affiliation with or endorsement by the respective holders.Baker Hughes provides this information on an “as is” basis for general information purposes. Baker Hughes does not make any representation as to the accuracy or completeness of the information and makes no warranties of any kind, specific, implied or oral, to the fullest extent permissible by law, including those of merchantability and fitness for a particular purpose or use. Baker Hughes hereby disclaims any and all liability for any direct, indirect, consequential or special d amages, claims for lost profits, or third party claims arising from the use of the information, whether a claim is asserted in contract, tort, or otherwise. Baker Hughes reserves the right to make changes in specifications and features shown herein, or discontinue the product described at any time without notice or obligation. Contact your Baker Hughes representative for the most current information.The information contained in this document is the property of Baker Hughes and its affiliates; and is subject to change without prior notice. It is being supplied as a service to our customers and may not be altered or its content repackaged without t he express written consent of Baker Hughes. This product or associated products may be covered by one or more patents. See /legal.1631 Bently Parkway South, Minden, Nevada USA 89423Phone: 1.775.782.3611 or 1.800.227.5514 (US only)。
processexplorer的使用方法和技巧
Processexplorer是一款功能强大的系统进程管理工具,它可以帮助用户监控系统中正在运行的进程,查看进程的详细信息,并且能够对进程进行调试和终止操作。
在本文中,我们将介绍processexplorer的使用方法和一些技巧,帮助大家更好地使用这款工具。
一、下载和安装processexplorer1. 在官方全球信息湾()上下载processexplorer的安装包。
2. 双击安装包,按照提示完成安装过程。
二、打开processexplorer1. 双击桌面上的processexplorer图标,或者在开始菜单中找到processexplorer并打开它。
2. 如果系统提示需要管理员权限,确认授权即可打开processexplorer。
三、界面介绍1. 主窗口:显示系统中所有正在运行的进程的详细信息,包括进程名称、PID、CPU和内存占用等。
2. 工具栏:提供了各种功能按钮,如刷新、搜索、调试、终止进程等。
3. 下方选项卡:可以切换到不同的选项卡,查看系统性能、网络活动、磁盘活动等信息。
四、使用方法1. 查看进程信息:在主窗口中可以看到系统中所有正在运行的进程,双击进程可以查看该进程的详细信息。
2. 结束进程:选中要结束的进程,点击工具栏中的“终止”按钮,确认终止即可结束该进程。
3. 调试进程:选中要调试的进程,点击工具栏中的“调试”按钮,可以对该进程进行调试操作。
五、技巧1. 使用过滤器:在主窗口中使用过滤器可以快速定位到某个进程,提高查找效率。
2. 查看进程属性:右键点击进程,选择“属性”,可以查看该进程的更多属性信息。
3. 查看系统性能:切换到性能选项卡,可以实时查看系统的CPU、内存、磁盘等性能参数。
六、注意事项1. 调试进程时需要谨慎操作,避免对系统造成不必要的影响。
2. 终止进程时需要确认该进程是否为系统关键进程,避免影响系统稳定性。
3. 定期清理系统中不必要的进程,可以提高系统性能,避免资源占用过高。
进程监测工具proces explorer
实验指导书一、实验原理Process Explorer的安装和使用二、实验环境操作系统:Windows操作系统三、实验内容Process Explorer四、实验步骤:1.双击,弹出对话框,如下图所示:点击“Agree”,就可以看到Process Explorer的主界面,如图所示:2.基本设置由于软件有很多需要查看的东西,包括系统进程细化的程序模块、DLL进程等。
首先,对软件进行美化和熟悉。
打开“Options”→“Font”,在Win9x/ME中,我们最好将字体设为“宋体,9”;在WinNT/2000/XP,可以将字体设为“Tahoma,小五”就好。
这样汉化界面会更美观。
如图所示:之后,我们在Process Explorer主界面可以看到不同的进程文字上会有不同的背景颜色,这是Process Explorer提供的区分各种进程类别的功能。
通过此功能我们可以很快的区分不同类别的进程,以便更好的管理进程。
在这里,我们同样打开“Options”→“Configure Colors”,浅紫色(Pached Images)代表“当前用户进程”,浅粉色(Services)代表“系统服务”等。
我们也可以根据自己的喜好重新配置,只要在选中的高亮显示项后,点击“更改”,调出调色板,进行选择。
3.进程查看这里进程查看有很多种方式,可以分别点击主窗口进程列表顶端的Process(进程)、PID(进程身份标识)、CPU(CPU占用率)、Description(描述)和Compa(公司名)项目分类进行排列管理,我们这里是以PID进行排序,如图所示:这样,只需要在要查看的未知进程上双击,调出它的属性并分析其各项指数,把它的功能搞清楚,就可以知道该进程是否被病毒感染活着本身就是病毒。
以QQ程序为例,如图:为了比较准确地判断病毒,我么可以在位置程序属性里单单击Performance(性能)和Performance Graph(性能曲线表)选项卡,如图所示:一般病毒占用的CPU线程数和内存值都比较大,通过单击Threads(线程)选项卡,就可以做出大致判断,如图所示:这样就可以有效的查看病毒进程的注入。
帮助文档
使用“预定管理器”关于“预定管理器”用户在应用程序中定义了SAS 作业之后,即可提交这些作业来立即执行或进行部署预定。
部署完作业之后,使用SAS Management Console 的“预定管理器”插件,即可预定作业在指定日期和时间以批处理模式运行。
在“预定管理器”中,可以创建和预定作业组,称为“作业流”。
作业流中的每个作业均可基于以下事件触发运行:特定时间、文件系统的文件状态或作业流中其他作业的状态。
各基础预定器可用于预定作业。
准备工作∙作业预定的系统需求∙主要任务概述主要任务∙创建新作业流∙维护依赖关系∙预定作业流∙使用Flow Manager∙使用可视化作业流编辑器作业预定的系统需求用户在应用程序中定义了SAS 作业之后,即可提交这些作业来立即执行或进行部署预定。
部署完作业之后,使用SAS Management Console 中的“预定管理器”组件,即可预定作业在指定日期和时间以批处理模式运行。
使用“预定管理器”:∙必须更新SAS 批处理服务器的元数据才能用其部署作业。
请参见更新用于部署作业的服务器的元数据。
∙必须安装预定服务器。
请参见安装预定服务器。
∙必须定义预定服务器的元数据。
对于Platform Scheduling 服务器,请参见指定Platform 预定服务器的元数据。
对于操作系统预定服务器,请参见指定操作系统预定服务器的元数据。
∙要预定的作业必须在SAS Management Console 中部署以便预定。
请参见部署可预定的作业。
主要任务概述在满足作业预定的系统需求后,您就可以开始预定作业流。
作业流即一组作业及其依赖关系,包括与其他作业、文件或指定的日期和时间的依赖关系。
与预定作业流相关的常见任务是:1.创建新的作业流,向作业流中添加一个或多个作业。
请参见创建新作业流。
2.指定一个或多个作业的依赖关系。
请参见维护依赖关系。
3.构建和可视化作业流。
请参见使用可视化作业流编辑器。
Process Monitor使用指南
Procmon使用指南(Windows Sysinternals Suite)
Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程
利用Jump To直接跳至GAC下的问题Folder,检查一下权限,果然! 不知怎麼地,该目录只剩下SYSTEM跟Administrators有权读取,难怪用NETWORK SERVICE执行的w3wp.exe会吃闭门羹。参考其他类似目录,补上权限,问题就消失了! 前后只花了不到五分鐘
有了Process Monitor,使用者就可以对系统中的任何文件和注册表操作同时进行监视和记录,通过注册表和文件读写的变化,对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常有用。
不过这个工具还是有点复杂,
启动这个软件,你最好是调整一下字体,不然看起来很累,
上面标注的地方
1:注册表
2:文件
3:线程和进程活动检测
启动这个软件,缺省是全部的,你可以选择只看注册表,文件的。
他的过滤器,缺省有带有你用不到的,如果你删掉,你就会看到更多的。
选中你要看到进程,那么下面就显示你要看到,注册表,文件的变化。
这个时候,如果你再想看全部的进程,那么你就要去过滤器里删除掉才可以
还有一点就是,如果你不删除,你下次启动这个软件,会发现什么都看不到或者看到很少,原因就是过滤器里带着这个过滤。
而且还可以直接跳到注册表。不过好像有些功能不如regmon,比如注册表,只显示写,不显示读,好像没有这个功能。
ProcessExplorer使用分享
ProcessExplorer使⽤分享⼯具描述Process Explorer使⽤个轻量级的进程管理器,是由Sysinternals出品的免费⼯具,请猛击下载最新版本使⽤。
以下是官⽅介绍的翻译: “想知道是那个程序打开了某个⽂件或者⽬录么?现在可以找出它了。
PorcessExplorer将会显⽰出进程打开或者加载了哪些的句柄(handles)或者动态链接库(Dlls)。
ProcessExplorer的显⽰区包含由两个⼦窗⼝组成。
上部的窗⼝显⽰了当前系统的活动进程、以及这些进程的是属于哪个⽤户的。
同时,上部的窗⼝依据ProcessExplorer的显⽰“模式”决定着底部窗⼝显⽰的内容:如果选择的是句柄模式,那么你将会在底部的窗⼝中显⽰的是上部窗⼝中选中进程所打开的句柄;如果选择的是Dll模式,那么你将看到进程所加载的动态链接库⽂件dlls以及内存映射⽂件。
ProcessExplorer还具有强⼤是搜索功能,帮助你找出特定的某个句柄或者dll正在被哪个进程所加载。
ProcessExplorer的功能使得它在跟踪Dll版本问题或者句柄泄露⽅⾯起到很好的作⽤,并且向⽤户展⽰了Windows系统以及应⽤程序内部是如何⼯作的”。
典型应⽤场景使⽤PE查看⽂件句柄和Dll加载情况PE中可以在下⽅窗⼝显⽰指定进程的打开的句柄加载的DLL等,⽅法:View-->Lower Pane View-->DLls/Handls,也可以使⽤查找的⽅式来定位(Ctrl+F)场景:删除USB设备的时候提⽰“⽆法停⽌”,如同:可能的原因:USB磁盘中的⽂件句柄被某个进程占⽤时,有可能会导致这个问题1 解决⽅法:启动PE,按住Ctrl+F打开查找dll(handle)的对话框,输⼊USB设备的分区名称⽐如L:\,然后点查找1 这个时候会显⽰出L:\分区上被打开的句柄,这个时候点击某个句柄,PE会打开上下窗⼝,并且指出是哪个进程占⽤了哪个句柄。
使用Process Monitor监控进程活动
机计算网络安全技术计算机使用Process Monitor监控进程活动Process Monitor能够对系统事件进行详细的监控,包括:进程,注册表,文件操作,网络活动。
系统事件非常多,总结恶意软件的特点,针对其特点进行针对性的监控:生成一些程序文件,并激活成为进程,想每次开机都能自动运行,需要修改注册表。
因此,重点关注以下事件:贰文件创建(修改)肆网络活动(向互联网发数据)实验环境:windows2003,Process-Monitor版本说明:Process-Monitor历史悠久,有众多的版本。
但有一段时期promon没有提供32位版本。
实验中测试,以下版本在Windows2003平台可用有:Process Monitor3.20或更低版本使用,版本V3.50,V3.53,V3.61(2021年1月11发行)仍然支持windows2003。
但新版本V3.84(2021年8月18发行)的32位程序在windows2003不能正常运行。
实验目标:软件行为分析Process Monitor的基本使用通过设置过滤条件分析软件行为了解几个windows的API,CreateFile,RegSetValue工具栏按钮: 1.1教学实验:熟悉Process Monitor的界面和操作:菜单:File Edit 编辑Event 事件Filter 过滤Tools 工具Options 选项Capture 捕获Clear 清除FilterShow register activityShow file system activityShow network activityShow process and thread activity重点:配置过滤条件(表达式)用到的一些:Operation ,Process name ,PID,Path关系这一栏:比较符号:is ,完全相等;contains 包含,Notepad.exeValue ,这一栏,关注,文件创建和注册表修改操作。
Process monitor使用说明
Process 主要功能介绍一、概述此软件主要功能是:监控文件、注册表、进程、网络访问、事件。
二、详细功能1、可以显示每条监控记录的详细信息双击指定记录,或者右键->属性就可以查看具体详细信息。
2、转到在指定的记录上右键->Jump to可以转到相应的注册表键或者文件上。
3、Process Tree进程树显示,Tool->Process Tree(Ctrl+T),顾名思义,显示进程详细信息,及调用关系。
4、活动进程、文件、注册表、栈、网络、引用总结对当前监控的总括描述,通过菜单Tool进入相应功能。
二、软件设置1、设置显示的列Options->Select Columns,具体每列代表的意思如下(英文,为了防止歧义这里就不翻译了. Application Details∙Process Name The name of the process in which an event occurred.∙Image Path The full path of the image running in a process.∙Command Line The command line used to launch a process.∙Company Name The text of the company name version string embedded in a process image file. This text is optionally defined by theapplication developer.∙Description The text of the product description string embedded ina process image file. This text is optionally defined by theapplication developer.∙Version The product version number embedded in a process image file.This information is optionally specified by the applicationdeveloper.Event Details∙Sequence Number The relative position of the operation with respect to all events included in the current filter.∙Event Class The class (File, Registry, Process) of the event.∙Operation The specific event operation (e.g. Read, RegQueryValue, etc.).∙Date & Time Both the date and the time of an operation.∙Time of Day Only the time of an operation.∙Path The path of the resource that an event references.∙Detail Additional information specific to an event.∙Result The status code of a completed operation.∙Relative Time The time of the operation relative to Process Monitor's start time or the last time that the Process Monitordisplay was cleared.∙Duration The duration of an operation that has completed. Process Management∙User Name The name of the user account in which the process that performed an operation is executing.∙Session ID The Windows session in which the process that executed an operation is executing.∙Authentication ID The logon session in which the process that executed an operation is executing.∙Process ID The Process ID (PID) of the process that executed an operation.∙Thread ID The Thread ID (TID) of the thread that executed an operation.∙Integrity Level The integrity level at which the process that executed an operation is running (Windows Vista only).∙Virtualized The virtualization status of the process that executed an operation (Windows Vista only).2、过滤显示内容Filter->Filter(Ctrl+L),这里的过滤设置很灵活,看下图便知3、高亮度显示指定条件的内容Filter->Highlight(Ctrl+H),条件的设置跟过滤一样4、清屏和自动滚动清屏Edit->Clear Display(Ctrl+X)自动滚动保持最新的记录在最下面滚动显示Edit->Auto Scroll(Ctrl+A)5、其他设置其他设置还包括,打开、保存、备份文件,导入、导出配置文件,保存和导入过滤设置文件,字体设置等基本设置,不一一类举,使用时一看便知。
Process_Monitor_中文帮助文档
Process Monitor 帮助文档【介绍】Process Monitor(进程监视器)是一个Windows下的高级监视工具,可以实时显示文件系统、注册表和进程/线程的活动。
它将Sysinternals以前的两个实用程序Filemon(文件监视器)和Regmon(注册表监视器)结合在一起,并且添加了大量的改进功能,包括丰富的非破坏性的过滤器,全面的事件属性——如会话ID和用户名,可靠的进程信息,对每个操作带有集成的调试符号支持的完整线程堆栈,同步记录日志文件等等。
Process Monitor独特的强大功能将使它成为你在系统故障排除和恶意软件查杀中使用的核心实用程序。
Process Monitor可以在Windows 2000 SP4 with Update Rollup 1、Windows XP SP2、Windows Server 2003 SP1、Windows Vista,以及64位版本的Windows XP、Windows Server 2003 SP1和Windows Vista等系统上运行。
(译者注:Process Monitor不支持Windows 98、Windows NT等以前的系统,不过可以使用Filemon和Regmon来实现它的部分功能。
)【在Filemon和Regmon基础上的改进】Process Monitor的用户界面和选项与Filemon和Regmon很相似,但它是从头全部重写的,并且包括许多重大改进,例如:(此处引用自wbpluto的汉化版说明)• 监视进程和线程的启动和退出,包括退出状态代码• 监视映像 (DLL 和内核模式驱动程序) 加载• 捕获更多输入输出参数操作• 非破坏性的过滤器允许你自行定义而不会丢失任何捕获的数据• 捕获每一个线程操作的堆栈,使得可以在许多情况下识别一个操作的根源• 可靠捕获进程详细信息,包括映像路径、命令行、完整性、用户和会话ID等等• 完全可以自定义任何事件的属性列• 过滤器可以设置为任何数据条件,包括未在当前视图中显示的• 高级的日志机制,可记录上千万的事件,数GB的日志数据• 进程树工具显示所有进程的关系• 原生的日志格式,可将所有数据信息保存,让另一个 Process Monitor 实例加载• 进程悬停提示,可方便的查看进程信息• 详细的悬停提示信息让你方便的查看列中不能完整显示的信息• 搜索可取消• 系统引导时记录所有操作要熟悉Process Monitor的功能,最好的方法是通读帮助文件,然后在一个实际运行的系统中尝试使用一下每一个菜单和选项。
process monitor无法启动的解决过程
利用权限可以控制资源被访问的方式,如User组的成员对某个资源拥有"读取"操作权限、Administrators组成员拥有"读取+写入+删除"操作权限等。
值得一提的是,有一些Windows用户往往会将"权力"与"权限"两个非常相似的概念搞混淆,这里做一下简单解释:"权力"(Right)主要是针对用户而言的。"权力"通常包含"登录权力" (Logon Right)和"特权"(Privilege)两种。登录权力决定了用户如何登录到计算机,如是否采用本地交互式登录、是否为网络登录等。特权则是一系列权力的总称,这些权力主要用于帮助用户对系统进行管理,如是否允许用户安装或加载驱动程序等。显然,权力与权限有本质上的区别。
在Windows XP中,可以将用户、用户组、计算机或服务都看成是一个安全主体,
每个安全主体都拥有相对应的账户名称和SID。
根据系统架构的不同,账户的管理方式也有所不同──本地账户被本地的SAM管理;
域的账户则会被活动目录进行管理......
【活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。
一个域可能拥有一台以上的域控制器。每一台域控制器都拥有它所在域的目录的一个可写副本。对目录的任何修改都可以从源域控制器复制到域、域树或者森林中的其它域控制器上。由于目录可以被复制,而且所有的域控制器都拥有目录的一个可写副本,所以用户和管理员便可以在域的任何位置方便地获得所需的目录信息。
Process Monitor帮助文档
【译者注】Process Monitor是一款非常著名的系统进程监视软件。
总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统中所有文件的操作过程,而Regmon 用来监视注册表的读写操作过程。
用户可以利用Process Monitor对系统中的文件系统以及注册表操作等方面同时进行监视和记录。
通过监控系统中相应位置的变化,对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常有用。
这是一款先进的Windows 系统和应用程序监视工具,由优秀的Sysinternals 所开发,并且目前已并入微软旗下,可靠性自不用说。
在此我翻译这款软件的帮助文档,有助于大家更好更全面地了解Process Monitor的各项特性,基本上它的所有功能,我都有配图,使得读者仅仅看翻译文档就能很快地掌握这款软件的使用方法。
因为这款软件是反病毒的利器,而我以后也会写一些用这款软件对病毒的行为进行分析的文章,因此这个翻译文档就是为以后的文章打下基础。
在本翻译文档的最后,我也会用一个实际的例子来简单展示一下Process Monitor的使用方法。
本文档翻译自Process Monitor v3.10所自带的帮助文档。
由于我的水平有限,翻译难免出现不妥当的地方,也希望大家批评指教。
欢迎大家访问我的技术博客/ioio_jy。
【引言】Process MonitorCopyright © 1996-2010 Mark Russinovich and Bryce CogswellSysinternals –Process Monitor是一款为Windows操作系统设计的高级监控工具,它能够实时地显示文件系统、注册表以及进程/线程的活动信息。
它集成了Sysinternals的两款老牌知名软件——Filemon以及Regmon——的特点,并且增加了一些强大的扩展功能,包括丰富的无损筛选器,综合的事件属性,比如会话ID以及用户名,可信的进程信息,为每一个操作提供完整符号帮助的线程堆栈,同步日志到文件等许多特性。
ProcessMonitor使用手册
操作过程: 1、监控数据从注册表下手,取消其他事件监控
操作过程: 1、添加过滤规则,过滤包含与Write相关的日志
操作过程: 1、添加详细规则,搜索包含与目标程序进程相关的日志
二 2.1 2.2 2.3
使用方法 菜单栏 功能栏 输出区域
2.1
菜单栏
核心功能
过滤器=筛选器 顾名思义从庞大的日志中通过设置 的过滤规则抽取出自己想要的部分 日志。 过滤条件包括PID\TID\父PID等,如右 图 当前选择的过滤条件是对所有日志生效
1、过滤条件 2、动作条件 Is=是 Is not=不是 Less than=小于 More than=大于 Begins with=开始 Ends with=结束 Contains=包含 Excludes=不包含 3、处理条件 Include=显示 Exclude=不显示
命令行参数用法
Thanks
39
Regedit创建了HKEY_CLASSES_ROOT\https\shell\open\command\1,其值为123
点击系统里面的cmd.exe,并关闭了
Cmd.exe创建了C:\1.txt
cmd.exe删除了C:\1.txt
三
案例应用
案例
案例一、客户机开机后发现默认浏览器被修改程其他浏览器
线程创建
进程创建 加载dll 进程退出
Thread Exit
Process Start Load Image Process exit——Exit Status:0
ProcessMonitor使用指南
ProcessMonitor使用指南
Process Monitor是一款非常有用的系统管理软件,能够跟踪系统文件、注册表和网络活动,帮助您识别并分析系统中的潜在问题,使您可以
快速有效地修复它们。
本文将提供详细的Process Monitor使用指南,帮
助您使用Process Monitor来诊断和解决系统问题。
一、Process Monitor概述
Process Monitor是一款由系统管理员和开发人员使用的系统跟踪软件,可以帮助您识别系统崩溃、慢性能或其他问题的原因。
它可以监视系
统的文件系统、网络、注册表和线程活动。
Process Monitor还可以记录
文件的访问情况和跟踪被加载的动态链接库,从而帮助您更轻松地分析系
统行为,查找并修复由于系统崩溃或性能问题引起的问题。
二、Process Monitor安装
2、精简安装:如果您只需要使用Process Monitor的一些常用功能,可以考虑进行精简安装。
精简安装消耗的资源要少得多,但可能会缺少一
些高级功能。
三、Process Monitor使用
1、启动Process Monitor:打开Process Monitor,可以看到主界面
上有一个空白的表格,用于记录系统活动。
2、添加过滤器:如果您想要查看特定类型的系统活动,可以添加过
滤器。
过滤器可以帮助您更快地确定您正在查找的内容,并减少Process Monitor所收集的不必要的活动。
3、查看详细信。
processMoniter使用
ProcessMonitor使用指导
1、运行Procmon.exe,工具默认开始抓取所有进程的活动信息
确保下面图中的5个按钮都处于“按下”的状态,表示采集这些信息,当然也可以根据分析需要选择哪些开启,哪些关闭。
2、点击图中按钮,停止抓信息。
3、保存信息
保存成*.PML的文件,这样可以离线分析,数据很全面,缺点是容量比较大,在抓取信息时请确保能够抓取到问题重现时的前后信息。
4、抓取信息时也可以指定进程抓取
下图设置为只选择winword.exe的相关信息
5、分析
如下图所示,Summary的都有相应的分析结果,一般查看各文件花费多长时间使用File Summary
目前发现ProcessMonitor自带的这个File Summary时间不准,但是相对时间还是可以分析的,可以找到哪个文件花费的时间最长,进而分析原因。
某个文件的真实花费时间=文件操作的结束时间-文件操作的开始时间。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Process Monitor 帮助文档【介绍】Process Monitor(进程监视器)是一个Windows下的高级监视工具,可以实时显示文件系统、注册表和进程/线程的活动。
它将Sysinternals以前的两个实用程序Filemon(文件监视器)和Regmon(注册表监视器)结合在一起,并且添加了大量的改进功能,包括丰富的非破坏性的过滤器,全面的事件属性——如会话ID和用户名,可靠的进程信息,对每个操作带有集成的调试符号支持的完整线程堆栈,同步记录日志文件等等。
Process Monitor独特的强大功能将使它成为你在系统故障排除和恶意软件查杀中使用的核心实用程序。
Process Monitor可以在Windows 2000 SP4 with Update Rollup 1、Windows XP SP2、Windows Server 2003 SP1、Windows Vista,以及64位版本的Windows XP、Windows Server 2003 SP1和Windows Vista等系统上运行。
(译者注:Process Monitor不支持Windows 98、Windows NT等以前的系统,不过可以使用Filemon和Regmon来实现它的部分功能。
)【在Filemon和Regmon基础上的改进】Process Monitor的用户界面和选项与Filemon和Regmon很相似,但它是从头全部重写的,并且包括许多重大改进,例如:(此处引用自wbpluto的汉化版说明)• 监视进程和线程的启动和退出,包括退出状态代码• 监视映像(DLL 和内核模式驱动程序) 加载• 捕获更多输入输出参数操作• 非破坏性的过滤器允许你自行定义而不会丢失任何捕获的数据• 捕获每一个线程操作的堆栈,使得可以在许多情况下识别一个操作的根源• 可靠捕获进程详细信息,包括映像路径、命令行、完整性、用户和会话ID等等• 完全可以自定义任何事件的属性列• 过滤器可以设置为任何数据条件,包括未在当前视图中显示的• 高级的日志机制,可记录上千万的事件,数GB的日志数据• 进程树工具显示所有进程的关系• 原生的日志格式,可将所有数据信息保存,让另一个Process Monitor 实例加载• 进程悬停提示,可方便的查看进程信息• 详细的悬停提示信息让你方便的查看列中不能完整显示的信息• 搜索可取消• 系统引导时记录所有操作要熟悉Process Monitor的功能,最好的方法是通读帮助文件,然后在一个实际运行的系统中尝试使用一下每一个菜单和选项。
【使用Process Monitor】运行Process Monitor需要本地管理员组成员的权限。
当你启动Process Monitor后,它会立刻开始监视三类操作:文件系统、注册表和进程。
• 文件系统Process Monitor显示Windows文件系统中的所有文件系统活动,包括本地存储器和远程文件系统。
Process Monitor能够自动检测到新添加的文件系统设备并且对它们进行监视。
所有的文件系统路径相对于执行文件系统操作的用户会话来显示。
例如,如果用户A将一个共享路径映射为驱动器盘符Z:,那么任何对此共享路径的访问在Process Monitor中都会显示为相对于Z:盘的路径。
在Process Monitor的工具栏上取消“显示文件系统活动”按钮的选择,就可以从视图中移除文件系统操作的记录,按下这个按钮又会将文件系统操作添加回视图。
• 注册表Process Monitor记录所有注册表操作,并使用习惯的缩写形式来显示注册表根键(例如将HKEY_LOCAL_MACHINE显示为HKLM)。
在Process Monitor的工具栏上取消“显示注册表活动”按钮的选择,就可以从视图中移除注册表操作的记录,按下这个按钮又会将注册表操作添加回视图。
• 进程在进程/线程监视子系统中,Process Monitor跟踪所有进程和线程的创建和退出操作,以及DLL(动态链接库)和设备驱动程序的加载操作。
在Process Monitor的工具栏上取消“显示进程和线程活动”按钮的选择,就可以从视图中移除进程和线程操作的记录,按下这个按钮又会将进程和线程操作添加回视图。
• 剖析事件这种事件类型可以在“选项”菜单中启用。
当它被启用时,Process Monitor扫描系统中所有的活动线程,并为每个线程创建一个剖析事件,记录它耗费的核心和用户CPU时间,以及该线程自上次剖析事件以来执行了多少次上下文转换。
注意:在剖析中不包括System进程。
有一些基本选项控制着Process Monitor的基本操作:捕获:使用“文件”菜单中的“捕获事件”菜单项,工具栏上的“捕获”按钮,以及快捷键Ctrl+E 来切换Process Monitor的捕获行为。
自动滚动:选择“编辑”菜单中的“自动滚动”项,工具栏上的“自动滚动”按钮,以及快捷键Ctrl+A来切换Process Monitor的自动滚动行为,以保证最近的操作在视图中是可见的。
清除:选择“编辑”菜单中的“清除显示”菜单项,工具栏上的“清除”按钮,以及快捷键Ctrl+X,可以清除视图中显示的所有内容。
【选择列】你可以拖动列来重新排列它们的顺序。
选择“选项”菜单中的“选择列”菜单项,打开“列选择”对话框,你可以在这里定制要显示的列。
可供选择的列包括:应用程序详细信息• 进程名发生事件的进程名称• 映像路径在进程中运行的映像文件的完整路径• 命令行启动进程时所使用的命令行• 公司名称在进程映像文件中嵌入的公司名称版本字符串文本,该文本由应用程序开发者所选择定义• 描述在进程映像文件中嵌入的产品描述字符串文本,该文本由应用程序开发者所选择定义• 版本在进程映像文件中嵌入的产品版本号,该信息由应用程序开发者所选择定义• 体系架构应用程序的体系架构(如32位、64位等)事件详细信息• 序号 Process Monitor分配给一个特定事件的唯一数字编号• 事件类事件的类型(文件、注册表、进程)• 操作特定的事件操作(例如读取文件、注册表查询值等)• 日期和时间操作发生的日期和时间• 时间仅包括操作发生的时间• 类别操作的类别(例如读取、读取元数据等)• 路径事件引用资源的路径• 详细信息事件的额外具体信息• 结果操作完成后返回的状态代码• 相对时间相对于Process Monitor启动时间或上次清除视图时间的操作时间• 持续时间已完成操作的持续时间进程管理• 用户名执行操作的进程运行时所使用的用户帐号的名称• 会话ID执行操作的进程运行时所属的Windows会话• 认证ID执行操作的进程运行时所属的登录会话• 进程ID执行操作的进程ID(PID)• 线程ID执行操作的线程ID(TID)• 父ID执行操作的进程的父进程ID• 完整性执行操作的进程运行中的完整性(仅适用于Windows Vista)• 虚拟化执行操作的进程的虚拟化状态(仅适用于Windows Vista)【事件属性】你可以通过在事件上双击鼠标来查看某个特定事件的属性,或者选择“事件”菜单下的“属性”菜单项,或者当用右键单击某个事件时,在上下文菜单中选择“属性”。
“事件属性”对话框由“事件”、“进程”和“堆栈”三页组成,你可以使用对话框下方的箭头按钮移动到下一个或上一个显示的或高亮的事件。
事件“事件”页显示某个事件的详细信息,包括它的序号、线程、事件类型、操作、结果、时间戳,如果可用的话,还包括资源路径。
只有文件系统和注册表两类事件定义了资源路径。
“事件”页的下半部分列出了由事件操作所决定的详细信息。
这些详细信息与事件在主窗口的详细信息列中所显示的内容相同,但是每条详细信息都显示为单独的一行。
进程事件的“进程”页显示关于产生事件的进程的信息,还包括与进程的映像文件相关的数据,例如路径和版本字符串。
“进程”页显示进程的运行属性,如进程ID、运行进程的用户帐号,如果事件发生在64位的Windows系统中,还可以显示该进程是32位还是64位的。
如果进程在Windows Vista系统上运行,Process Monitor可以显示进程的完整性和是否被虚拟化。
“进程”页的底部显示了当进程中的事件发生时,由该进程加载的映像文件列表和加载它们的内存地址。
双击列表中的映像文件,可以查看关于该映像文件的更多信息,包括它的版本信息等。
堆栈“堆栈”页显示当事件被记录时该线程的堆栈。
堆栈在判定事件发生的原因和导致事件发生的组件时很有用。
堆栈的内核模式帧在左侧以字母K标记,用户模式帧(仅在32位系统上有效)以字母U标记。
如果Process Monitor能够找到在跟踪中引用的映像文件所使用的调试符号,它会尝试把内存地址解析为它们所属的函数名。
如果符号必须从网络上获取,例如使用微软符号服务器,符号解析会花费一些时间。
使用“选项”菜单下的“配置符号”对话框,可以对符号进行设置。
如果你在“配置符号”对话框中指定了一个源文件的路径,当行号符号信息可用并且在你指定的路径下存在源文件时,“堆栈”对话框中的“来源”按钮将对该帧可用。
点击“来源”按钮会打开一个文本查看器,高亮显示被引用的源代码行。
要查看堆栈跟踪记录中关于映像文件的更多信息,可以双击某个帧,或者选择该帧后点击堆栈跟踪区下方的“属性”按钮。
选择“事件”菜单下的“堆栈”菜单项,可以打开事件属性对话框并直接显示“堆栈”页。
【过滤和高亮显示】Process Monitor提供了几种不同的方法来配置过滤器和高亮显示。
包括和排除过滤器你可以在过滤器中指定事件属性,Process Monitor将只显示或排除与属性值相匹配的事件。
所有的过滤器都是非破坏性的,意思是说它们只影响事件在Process Monitor中的显示,而不影响事件的基础数据。
当选择了一个事件之后,“事件”菜单下的“包括”和“排除”子菜单可以让你通过简单地添加一个事件属性来设置“包括”和“排除”过滤器。
例如,想要只显示由某个特定名称的进程执行的事件,就选择“包括”子菜单下的“进程名”。
你还可以选择多个事件,同时为这些事件中包含的所有唯一值配置属性过滤器。
Process Monitor把与某个特定属性类型相关的所有过滤器当作“或(OR)”的关系,把不同属性类型的过滤器当作“与(AND)”的关系。
例如,如果你为Notepad.exe和Cmd.exe指定了“包括—进程名”过滤器,并为C:\Windows指定了“包括—路径”过滤器,Process Monitor将只显示来源于Notepad.exe或Cmd.exe,并且指定了C:\Windows目录的事件。
在“过滤器”对话框中可以使用更复杂的过滤选项,你可以选择“过滤器”菜单下的“过滤器”菜单项,或者点击工具栏上的“过滤器”按钮。