Process Monitor下载

Process Monitor中文版是一个高级的Windows监视工具，使用这款工具可以对进程以及线程进行监控，可以有效地查看注册表发生的变化，支持系统进程监视，支持监视进程和线程的启动和退出、监视映像加载等多种功能，异常强大的功能使它成为系统故障排除和恶意软件捕获工具包的核心实用工具。

Process Monitor主要特色

1、进程树工具显示在跟踪中引用的所有进程的关系

2、任何事件属性的可配置和可移动列

3、非破坏性过滤器，允许您设置过滤器而不会丢失数据

4、可靠捕获进程的详细信息，包括映像路径、命令行、用户和会话 ID

5、可将过滤器设置为任何数据字段，包括未配置为列的字段

6、高级日志记录架构，扩展到数以百万计的捕获事件和千兆字节的日志数据

7、捕获操作的输入和输出参数的更多数据

8、捕获每个操作的线程堆栈，在许多情况下它可以找出一个操作的根源

Process Monitor使用教程

1，开超级用户，双击打开程序，把用户许可允许了，否则开机的时候会要求许可。为了让程序尽快的启动，建议将程序添加到注册表userinit 项中。

2，设置程序右上四个监视都打开，分别是注册表，文件，网络，进程线程。程序启动后就会监视系统绝大部份操作了。简单说一下，操作中 readfile 表示读取文件，WriteFile表示写入文件。

点击工具栏如下图标，可以查看进程树，可以很清楚看到历史上哪些进程属于哪个父进程。注意这里是历史记录也就是他消失了也能看到。所以还是有很有用。这里显示 我们的dbntcli.exe启动了自身并启动c_deskico.aex来处理桌面图标摆放，并导入了一些用户的注册表。还启动了 smss.exe 这个深蓝防逃费程序。

3，这里可以看我们的程序 DBNTclie.exe 给ser200这台机子的 tcp端口 21983发送了消息，并接收了消息。tcp send(TCP发送) ， TCP Receive (TCP接收)，并写入文件(Writefile) kdsm.exe 这个文件(从服务器ser200下载的)

4,因为消息太多，我们无法一一看完，所以我们选择过滤图标，打开过滤窗口，汪厍 WriteFile 也就是只看写入文件的日志。

5，这下就只有写入文件的日志，一目了然。

6，可以看到explorer.exe 写了 tldrdll.bat 文件，但我们并没有操作，难道explorer.exe中毒了。

7，找到资源管理，双击process tab，有一个不明的dll注入 PKWSSNGT.dll

8，这个文件是哪的呢?返回主界面搜索，就可以找到是哪个程序释放的了

Process Monitor注意事项

1、客户端：Windows XP 和更高。

2、基于官方 Process Monitor 3.20 英文版深度完整汉化而成。汉化版已分别在 64位 Windows 7 和虚拟机中的 Windows XP 下测试通过。

3、服务器：Windows Server 2008 和更高。