Process_Monitor_中文帮助.doc

Process Monitor 帮助文档【介绍】Process Monitor（进程监视器）是一个Windows下的高级监视工具，可以实时显示文件系统、注册表和进程/线程的活动。它将Sysinternals以前的两个实用程序Filemon（文件监视器）和Regmon（注册表监视器）结合在一起，并且添加了大量的改进功能，包括丰富的非破坏性的过滤器，全面的事件属性——如会话ID和用户名，可靠的进程信息，对每个操作带有集成的调试符号支持的完整线程堆栈，同步记录日志文件等等。Process Monitor独特的强大功能将使它成为你在系统故障排除和恶意软件查杀中使用的核心实用程序。Process Monitor可以在Windows 2000 SP4 with Update Rollup 1、Windows XP SP2、Windows Server 2003 SP1、Windows Vista，以及64位版本的Windows XP、Windows Server 2003 SP1和Windows Vista等系统上运行。（译者注：Process Monitor不支持Windows 98、Windows NT等以前的系统，不过可以使用Filemon和Regmon来实现它的部分功能。） 【在Filemon和Regmon基础上的改进】Process Monitor的用户界面和选项与Filemon和Regmon很相似，但它是从头全部重写的，并且包括许多重大改进，例如：　　（此处引用自wbpluto的汉化版说明）　　? 监视进程和线程的启动和退出，包括退出状态代码　　? 监视映像 (DLL 和内核模式驱动程序) 加载　　? 捕获更多输入输出参数操作　　? 非破坏性的过滤器允许你自行定义而不会丢失任何捕获的数据　　? 捕获每一个线程操作的堆栈，使得可以在许多情况下识别一个操作的根源　　? 可靠捕获进程详细信息，包括映像路径、命令行、完整性、用户和会话ID等等　　? 完全可以自定义任何事件的属性列　　? 过滤器可以设置为任何数据条件，包括未在当前视图中显示的　　? 高级的日志机制，可记录上千万的事件，数GB的日志数据　　? 进程树工具显示所有进程的关系　　? 原生的日志格式，可将所有数据信息保存，让另一个 Process Monitor 实例加载　　? 进程悬停提示，可方便的查看进程信息　　? 详细的悬停提示信息让你方便的查看列中不能完整显示的信息　　? 有哪些信誉好的足球投注网站可取消　　? 系统引导时记录所有操作 ?要熟悉Process Monitor的功能，最好的方法是通读帮助文件，然后在一个实际运行的系统中尝试使用一下每一个菜单和选项。 ?【使用Process Monitor】 运行Process Monitor需要本地管理员组成员的权限。当你启动Process Monitor后，它会立刻开始监视三类操作：文件系统、注册表和进程。 　? 文件系统　　Process Monitor显示Windows文件系统中的所有文件系统活动，包括本地存储器和远程文件系统。Process Monitor能够自动检测到新添加的文件系统设备并且对它们进行监视。所有的文件系统路径相对于执行文件系统操作的用户会话来显示。例如，如果用户A将一个共享路径映射为驱动器盘符Z:，那么任何对此共享路径的访问在Process Monitor中都会显示为相对于Z:盘的路径。 ?　　在Process Monitor的工具栏上取消“显示文件系统活动”按钮的选择，就可以从视图中移除文件系统操作的记录，按下这个按钮又会将文件系统操作添加回视图。 ?　? 注册表　　Process Monitor记录所有注册表操作，并使用习惯的缩写形式来显示注册表根键（例如将HKEY_LOCAL_MACHINE显示为HKLM）。 ?　　在Process Monitor的工具栏上取消“显示注册表活动”按钮的选择，就可以从视图中移除注册表操作的记录，按下这个按钮又会将注册表操作添加回视图。 ?　? 进程　　在进程/线程监视子系统中，Process Monitor跟踪所有进程和线程的创建和退出操作，以及DLL（动态链接库）和设备驱动程序的加载操作。 ?　　在Process Monitor的工具栏上取消“显示进程和线程活动”按钮的选择，就可以从视图中移除进程和线程操作的记录，按下这个按钮又会将进程和线程操作添加回视图。 ?　? 剖析事件　　这种事件类型可以在“选项”菜单中启用。当它被启用时，Process Monitor扫描系统中所有的活动线程，并为每个线程创建一个剖析事件，记录它耗费的核心和用户CPU时间，以及该线程自上次剖析事件以来执行了多少次上下文转换。注意：在剖析中不包括System进程。?