Process Monitor. Утилита из пакета Sysinternals

Опубликовано: 16.04.2012

Rate this post

Process Monitor Появление на жестком диске непонятных файлов - вполне оправданный повод для беспокойства. Сами по себе файлы не появляются, их кто-то или что-то создает. Это могут быть временные объекты, создаваемые полезной программой, но так бывает не всегда.

Вирусы тоже "склонны" оставлять подобные следы, а поэтому не помешает лишний раз перестраховаться и определить источник, программу, которая их создает.

Сделать это проще всего при помощи специальной утилиты Process Monitor, разработанной Марком Руссиновичем и входящей в состав диагностического пакета Sysinternals. Эта утилита предназначена для отслеживания активности файловой системы, системного реестра, сетевой активности, процессов и потоков в режиме реального времени.

Скачать англоязычную версию этой утилиту можно с официального сайта или набрав в поисковой строке Google соответствующий запрос, отыскать полностью русифицированную версию.

Process Monitor совершенно бесплатен, относительно прост в обращении и не требует установки. Благодаря Process Monitor можно отслеживать любые процессы, просматривать свойства событий, открывать напрямую директории с интересующим файлом, записывать отчетность в файл, а также выполнять множество других полезных операций.

Приведем простой пример. Допустим, нам необходимо выяснить, какое приложение записывает на диск arcdir.log. Запускаем Process Monitor и поскольку поиск будет производиться в файловой системе, отключаем функции, отвечающие за реестр, сетевую активность и процессы.

Сделать это можно нажав на соответствующие иконки, расположенные на панели управления в верхней правой части рабочего окна. Далее следует убедиться, что кнопка захвата не зачеркнута красно линией.

Сразу после запуска программа начнет активно собирать информацию об активности файловой системы, реестра и т.д. Этот список может включать сотни строк, разобраться с которыми не так-то просто.

Искать файл можно при помощи встроенного поиска, указав его имя, но если нужно отследить появления объекта в режиме реального времени, лучше всего воспользоваться фильтрацией, что намного упростит поставленную задачу.

В действительности фильтры имеют множество параметров. Сортировать данные можно по названию компании производителя, дате, имени процесса, категории, пути, результату и т.д.

Для этого достаточно нажать сочетание клавиш Ctrl+L и в открывшемся окошке задать соответствующие условия. В нашем случае это путь и имя файла. Если в следующий раз какое-нибудь приложение сгенерирует файл с таким именем, Process Monitor тут же отреагирует появлением в рабочем окне списка активностей.

При этом Process Monitor захватит и отобразит также и все процессы, так или иначе связанные с файлом arcdir.log.

Выделив нужный элемент списка, и открыв контекстное меню, можно просмотреть его свойства, перейти в папку с файлом, а если это будет ключ реестра, открыть его во встроенном редакторе.

Приведем другой пример работы с фильтрами Process Monitor. Представим, что нам необходимо получить данные по запущенному приложению, имеющему открытое окно.

Для этого нужно просто перетянуть на окно приложения кнопку в виде прицела и фильтр (PID) создастся автоматически, а в окне Process Monitor появится список активностей проверяемой программы.

Продолжение обзора утилит из пакета Sysinternals Suite буду продолжать, поэтому если интересно рекомендую подписаться на обновления

Sysinternals , Windows

Автор:

Chuzhoy

0 0

Похожие записи

Программа для изменения формата и размера изображения Converseen

WEBP чем открыть на компьютере и как конвертировать такие файлы в другие форматы

Переносим windows в virtualbox с помощью Paragon Virtualization Manager

Как перенести windows в virtualbox с помощью disk2vhd

Самый удобный способ управления громкостью в windows. Программа Volumouse

Как убрать рекламу в скайпе

Комментарии:

Arthur
Опубликовано: 27.04.2012 Ответить на сообщение

Здравствуйте!

Скажите, пожалуйста, где взять "руссификатор" для Process Monitor?

Спасибо!
- Chuzhoy
  Опубликовано: 27.04.2012 Ответить на сообщение
  
  Официального русификатора нет, а не официальный можно поискать в поисковых системах по запросу например - process monitor rus. Но, что вы скачаете с ресурсов которые предлагают эти люди неизвестно, поэтому будьте внимательны и хорошенько проверяйте всё на вирусы!
Михаил
Опубликовано: 18.02.2015 Ответить на сообщение

Неужели есть люди, которые и правду разбираются в таких тонкстях! Мне ничего не понятно. Может это развод? Ну откуда простой смертный увидит, что появилась какая-то новоя программа, да к тому же создающая и рассылающая (куда? внутрь компьютера?) еще какие-то программы? Почему надо искать какой-то arcdir.log. а не какой-то еще dimedrol-brom? И куда его девать, если найдешь? Какие такие "соответствующие" условия? Какие можно отслеживать события, открывать возможности, что такое директории? И автор думает, что он помогает новичкам? Да тут академик голову сломает. А предлагают купить обучающий диск! Что в нем поймешь? А, если кто-то понимает, то ему такие уроки не нужны. Он их (уроки) и сам напишет. Вот и получается вместо помощи новичкам "клуб знатоков". Его члены просто делятся своими мыслями, а кто не понимает - то не их вина. Наверное сотни две таких статей прочитал, от разных авторов и всюду так непонятно. Извините, если комментарий такой тупой. Мне также думается о статье. Извините.
- Chuzhoy
  Опубликовано: 18.02.2015 Ответить на сообщение
  
  @Михаил, Конечно это развод и тупая статья. И рассчитана действительно на пользователей чуть выше среднего. Для не желающих вникать вовсе необязательна для изучения. В общем-то никто никого ни к чему не обязывает.
Григорий
Опубликовано: 31.08.2015 Ответить на сообщение

А если все эти гаджусти из-за бугра САНКЦИИ ?
- Chuzhoy
  Опубликовано: 31.08.2015 Ответить на сообщение
  
  @Григорий, Вы о чем? При чем здесь санкции?
Геннадий
Опубликовано: 04.01.2016 Ответить на сообщение

Ну, а реально, кто подскажет, где рыть- искать, что-бы объяснить содержимое колонок "Операция" и "Подробности".

Отмена