procmon64 exe что это
Монитор процесса v 3.87
По пометке Russinovich)
Опубликовано: 16 декабря 2021 г.
монитора процесса загрузки(3,3 МБ)
Запустите сейчас из Sysinternals Live.
Введение
монитор процессов — это расширенное средство мониторинга для Windows, которое показывает активность файловой системы в реальном времени, реестра и процессов и потоков. Он сочетает в себе возможности двух устаревших служебных программ Sysinternals, Filemon и Regmon, и добавляет обширный список улучшений, включая богатую и обратимую фильтрацию, исчерпывающие свойства событий, такие как идентификаторы сеансов и имена пользователей, сведения о надежном процессе, полные стеки потоков со встроенной поддержкой символов для каждой операции, одновременный вход в файл и многое другое. Его уникально мощные функции сделают процесс мониторингом основной служебной программы в средстве устранения неполадок системы и поиска вредоносных программ.
Общие сведения о возможностях мониторинга процессов
Монитор процессов включает мощные возможности мониторинга и фильтрации, в том числе:
Лучшим способом знакомства с функциями Process Monitor является чтение файла справки, а затем переход к каждому пункту меню и параметрам в действующей системе.
Снимки экрана
Связанные ссылки
Скачать
монитора процесса загрузки(3,3 МБ)
Запустите сейчас из Sysinternals Live.
Выполняется в:
Как пользоваться программой Process Monitor
Process Monitor – это фирменная утилита от Microsoft для ОС Windows, позволяющая в режиме реального времени отследить активность любой программы или приложения, установленного на компьютере. Грубо говоря, Process Monitor отвечает на вопросы: как узнать, что делает та или иная программа при установке, запуске, работе, удалении, какие записи вносит в системный реестр Windows, как используется интернет-соединение, и многие другие. Однако, при первом знакомстве с этой утилитой многие пользователи не сразу поймут, как же работать с программой Process Monitor, поэтому далее вкратце рассмотрим основные моменты.
И так, скачать последнюю версию Process Monitor вы можете с нашего сайта. Скачав, и запустив утилиту, в главном окне программы мы увидим примерно следующее.
Несмотря на отсутствие русского интерфейса Process Monitor, найти то что нужно, используя эту утилиту, не составит особого труда, а всё благодаря простой и интуитивно понятной системе фильтрации.
Далее рассмотрим работу программы (как работают фильтры в Process Monitor) на примере.
Допустим, что нам требуется узнать о том, что делает то или иное приложение на нашем компьютере, к примеру браузер Google Chrome.
Для начала нам необходимо знать имя исследуемого процесса, в нашем примере это chrome.exe. Дальше алгоритм действий следующий: используя контекстное меню программы (Filter) или сочетание клавиш (Ctrl+L) открываем Process Monitor Filter (окно на скриншоте ниже).
Здесь мы видим, что по умолчанию в программе уже задействован ряд фильтров, исключающих из общего списка (отображены в главном окне программы) различного рода системные процессы, в которых нет необходимости для анализа априори.
В примере мы создадим свой собственный фильтр (по имени процесса) с целью найти и отследить только то, что касается браузера Google Chrome (файлы, записи в системном реестре, сетевая активность и т.д.).
В первом выпадающем списке выбираем «Process Name» (по умолчанию там «Architecture»).
Во втором случае оставляем «is», т.е. мы включаем значение в поиск, а далее выбираем сам процесс «chrome.exe», при условии, что браузер уже запущен (если мы ходим отследить, что делает та или иная программа до запуска, то название процесса в это поле необходимо вводить вручную).
В четвёртом поле также оставляем значение по умолчанию «Include» (это позволит отображать в общем потоке, только интересующий нас процесс). Для добавления фильтра нажимаем «Add».
Нажимаем «Apply» и «OK».
И сразу же видим всю детальную информацию именно по процессу «chrome.exe»: ID процесса, потока, обращения к файлам, системному реестру Windows и т.д.
Нажав зелёную стрелочку в меню программы, можно сразу же перейти к месту расположения любого файла или ключа реестра из списка.
Если у вас имеются вопросы, или возникли проблемы в процессе работы с Process Monitor, то рекомендуем посетить официальный форум разработчика (Sysinternals), посвященный этой программе.
Диагностика медленной загрузки Windows с помощью Process Monitor
Для диагностики причин медленной загрузки ОС Windows существует ряд довольно мощных утилит и методик анализа журналов событий, позволяющих выполнить детальную отладку всех этапов процесса загрузки системы и запуска служб (xperf/xbootmgr из Windows Performance Toolkit / Analyzer). Но их использование может вызвать ряд трудностей, особенно для начинающего системного администратора. В этой статье мы покажем, как с помощью Process Monitor можно довольно просто и быстро определить, какие программы, службы и драйвера долго выполняются при старте системы, увеличивая тем самым общее время загрузки для пользователя.
Безусловно, всем системным администраторам Windows, должна быть знакома утилита Process Monitor из комплекта системных утилит Sysinternals. Утилита Process Monitor позволяет в реальном времени отслеживать активность запущенных процессов, обращения к файловой системе и реестру. Одной из малоизвестной функцией Process Monitor является возможность включения режима мониторинга процессов запускаемых во время загрузки Windows.
Для диагностики этапа загрузки, Process Monitor создает отдельную службу в разделе реестра HKLM\SYSTEM\CurrentControlSet\Services. Данная служба загружает драйвер режима загрузки procmon23.sys, стартующий после запуска Winload.exe, который протоколирует активность всех, процессов выполняющихся во время запуска системы и входа пользователя.
Осталось проанализировать полученный список процессов (в случае необходимости можно провести дальнейший анализ проблемного процесса, включив фильтр по имени исполняемого файла), соотнести процессы со службами, программами и драйверами и провести оптимизацию системы.
Программа работает во всех версиях ОС Windows (проверено на Windows 2000 и старше), не требует инсталляции, однако должна выполняться под учетной записью с правами администратора. В архиве также присутствует файл документации на английском языке procmon.chm и текстовый файл с кратким описанием и лицензионным соглашением.
Созданию фильтров будет посвящен отдельный раздел статьи, поэтому пока можно просто закрыть это окно и продолжить знакомство с программой.
После запуска исполняемого файла procmon.exe начинается сбор, обработка и вывод данных об отслеживаемых событиях в основном окне программы:
  Возможен вывод колонок, разбитых на 3 категории:
Вывод всех колонок на экран неудобен, поэтому лучше ограничиться их минимально необходимым количеством, а более детализированную информацию получать двойным щелчком на строке отображаемого события.
В последних версиях Process Monitor при первом запуске выводятся колонки, наиболее подходящие для быстрого анализа информации и дающие представление о том, какой процесс, какую операцию выполнил, и с каким результатом.:
  Панель инструментов позволяет быстро выполнить наиболее необходимые и часто используемые в практической работе с программой, действия. Кнопки панели инструментов выполнены в стиле, характерном для большинства программных продуктов Sysinternals и, в основном, имеют схожее предназначение.
Пункты основного меню File
Пункты основного меню Edit
Пункты основного меню Event
Отображается окно свойств события Event Properties
Пункты основного меню Filter
Пункты основного меню Tools
Пункты основного меню Options
Создание фильтров вручную позволяет получать более гибкие правила, основанные на использовании логических выражений.
Запись правила фильтрации состоит из 4-х колонок:
Необходимо учитывать, что Procces Monitor, при завершении работы, запоминает последний активный фильтр и при следующем запуске применяет его в качестве текущего. Для сброса фильтра используется комбинация клавиш CTRL+R.
# Mozilla User Preferences
/* Do not edit this file.
*
* If you make changes to this file while the application is running,
* the changes will be overwritten when the application exits.
*
* To make a manual change to preferences, you can visit the URL about:config
* For more information, see http:// www.mozilla.org/ unix/ customizing.html#prefs
*/
При необходимости получения данных о статистике использования отдельных каталогов можно перейти на вкладку By Folder
При необходимости получения статистики использования файлов по расширениям нужно перейти на вкладку By Extensions
Позволяет получить данные об использовании различными процессами пользовательских функций и функций ядра. По сути, позволяет определить наиболее используемые процессами в период мониторинга библиотеки, службы, драйверы. Нажатие кнопки Go to Event позволяет перейти к событию, связанному с текущим вызовом в окне вывода данных Process Monitor.
В данном окне можно также включить режим периодического перехвата состояния всех процессов (Profiling) с интервалом в 1 секунду или 100 миллисекунд.
Режим записи информации в журнал мониторинга начнется в ходе загрузки Windows с момента запуска драйвера программы ( PROCMON20.SYS ) и будет продолжаться до тех пор, пока утилита Process Monitor не будет запущена вновь вошедшим в систему пользователем. Данный режим выполняется только для одной перезагрузки системы.
После нового запуска Process Monitor, пользователь получит сообщение о том, что имеется журнал с данными мониторинга активности в процессе загрузки Windows, созданный предыдущим экземпляром программы и запрос на сохранение собранных данных.
После ответа «Да» файл отчета будет сохранен, и можно приступать к анализу полученной информации.
Необходимо учитывать тот факт, что процесс записи данных мониторинга продолжается после завершения загрузки системы и регистрации пользователя, и если не выполнить запуск Process Monitor, то файл журнала ( C:\Windows\procmon.pmb ) будет продолжать расти в размере и, в конце концов, может вызвать переполнение диска.
Если вы желаете поделиться ссылкой на эту страницу в своей социальной сети, пользуйтесь кнопкой «Поделиться»
По программе Process Monitor дано уже довольно-таки много материала, да и изучение основ функционирования утилиты всегда было доступно даже для неподготовленного пользователя. Но все же, я лично не совсем понимал многие аспекты работы (а некоторые не понимаю до сих пор :), поэтому и решил набросать очередную заметку по поводу данной, весьма полезной утилиты, дабы впоследствии можно было использовать статью как своего рода подсказку. Если рассматривать любую операционную систему с точки зрения обобщения, то можно условно дифференцировать её на блоки кода/данных, которые взаимодействуют между собой на основе определенных закономерностей. Чтобы приблизиться к привычным нам терминам, будем считать упомянутый блок процессом, объединяющим в себе и код и данные, предназначающимся для решения определенной задачи. Таким образом, взаимодействие между подобными процессами и составляет (за некоторым исключением) понятие функционирования операционной системы. Во время работы операционной системы, в ней выполняется большое количество процессов и назначение любого из этих процессов может варьироваться в достаточно широком диапазоне.
На ум сразу приходят основные, наиболее вероятные сценарии применения Process Monitor:
Как это работает
Похоже, через этот драйвер-фильтр проходят все события, отслеживаемые Process Monitor. В дополнение к этому, Process Monitor использует технологию Трассировки событий (ETW, Event Tracing for Windows), как минимум для наблюдения за событиями сетевой активности. Не совсем пока ясно, тот же драйвер используется в качестве контроллера и получателя для ETW или же сам исполняемый модуль? Напомню, что ETW это своеобразная расширяемая система журналирования, встроенная в систему Windows, реализованная на уровне ядра и позволяющая (по запросу) собирать события от приложений пользовательского режима и модулей режима ядра. А как мы знаем, практически во все компоненты операционной системы включена возможность отслеживания выполняемых операций. Понятное дело, что функционал ETW значительно шире, он предоставляет обширнейшую информацию по функционированию: переключение контекста, статистика по прерываниям, отложенные вызовы процедур (DPC), процедуры обработки прерываний (ISR), создание и уничтожение процессов и потоков, дисковый ввод-вывод, ошибки страниц, переходы процессора между режимами в рабочем состоянии (p-state), операции с реестром, и многое другое.
Интерфейс
Перед запуском неплохо было бы получить исполняемый модуль утилиты. Скачать Process Monitor можно отсюда. Утилита распространяется в виде портабельного приложения и не требует инсталляции, а просто может быть извлечена из архивного файла в произвольную директорию, что крайне полезно при диагностировании с переносных носителей и при интегрировании в среду предустановки (WinPE).
В случае запуска Process Monitor с установленными в предыдущих сеансах работы фильтрами, программа открывает окно настройки фильтров (Filter). Делается это для того, чтобы пользователь смог, при желании, модифицировать фильтры перед началом процедуры сбора данных.
Интерфейс программы Process Monitor чрезвычайно прост и по умолчанию выглядит следующим образом:
Согласитесь, всё гениальное действительно просто. Простота интерфейса обуславливает интуитивность восприятия происходящего в системе. Непосредственно после запуска Process Monitor сразу же начинает захватывать события, происходящие в операционной системе, производится мониторинг основных компонентов, таких как: файловая система, реестр, сеть, активность процессов/потоков. После захвата события, не попавшие под фильтр, выводятся в хронологическом порядке в главное окно приложения. Причем пользователь наблюдает такое огромное количество данных, которое просто по первости может запросто обескуражить, вся эта тонна данных мгновенно переполняет основное окно программы и устремляется за её пределы, о чем красноречиво говорит стремительно уменьшающийся боковой ползунок прокрутки. Каждая выводимая таким образом строка представляет собой событие, произошедшее в системе, видимое и захваченное драйвером Process Monitor и не попавшее под правила фильтрации. Основной массив информации отформатирован в виде таблицы, соответственно каждая строка поделена на некоторое количество столбцов, состав и расположение которых может быть изменен через настройки программы. В конфигурации по-умолчанию используются следующие столбцы:
| Столбец | Наименование | Обозначение |
|---|---|---|
| 1 | Time of Day | Время возникновения события. Отображается в долях секунд в формате ЧЧ:ММ:СС,ССССССС с точностью в семь десятичных знаков после запятой. Точность выводимого временного значения зависит от точности используемого в компьютере аппаратного таймера (8254/RTC/HPET). |
| 2 | Process Name | Имя процесса. Колонка отображает имя процесса, который выполнил операцию. Выводится только лишь имя процесса, однако если вы наведете курсор мыши на интересующее имя, дополнительно отобразиться и полный путь к модулю. В колонке отображается иконка (значок) приложения, запакованная в ресурсной секции бинарного файла. |
| 3 | PID | Идентификатор процесса. Довольно полезный параметр, особенно для «комплексных» процессов, таких как svchost.exe. |
| 4 | Operation | Операция. Имя зафиксированной низкоуровневой операции, производимой процессом по отношению к целевому объекту. Обычно данное имя соответствует имени функции, которая вызывается для выполнения операции. Дополнительно отображается иконка класса события (регистр, файл, сеть, процесс). |
| 5 | Path | Путь к целевому объекту, по отношению к которому процесс выполняет операцию. Не путайте с путем к процессу (модулю). Выводится только в том случае, если путь применим к объекту. Возможные значения: |
Поле результата операции (Result) является одним из ключевых и требует дополнительного пояснения:
Панель инструментов
Поясним назначение кнопок, размещенных на панели инструментов интерфейса утилиты Process Monitor:
Горячие клавиши
| Комбинация | Описание |
|---|---|
| Ctrl + E | активация/останов записи событий. |
| Ctrl + X | очистка журнала захваченных событий. |
| Ctrl + A | включение/отключение автопрокрутки событий. |
| Ctrl + F | поиск события среди всех захваченных событий. |
| Ctrl + C | копирование выделенного события в виде строки текста с разделителями. |
| Ctrl + J | перейти к выделенному объекту. |
| Ctrl + L | открытие окна настройки фильтров. |
| Ctrl + R | сброс фильтра в настройки по умолчанию. |
| Ctrl + H | открытие окна подсветки. |
| Ctrl + T | открытие дерева процессов. |
Фильтрация событий
Как уже отмечалось, количество событий, происходящих (генерируемых различными компонентами) в системе, довольно велико. Число событий, которые «видит» Process Monitor меньше, но не намного. Возникает резонный вопрос, а все ли события нам необходимы? Ответ очевиден. Большинство событий, которые отображаются в главном окне программы совершенно излишни в контексте тех или иных узкоспециализированных пользовательских задач. Ну не нужно пользователю видеть события загрузки образа внезапно стартовавшей программы обновления, в то время как он занят изучением ключей реестра, хранящих конфигурацию интересующей его программы. Именно с целью скрыть ненужные события, у Process Monitor имеются гибкие и мощные средства фильтрации. Фильтр позволяет скрывать лишние события, тем самым ограничивая количество отображаемых элементов и сужая область поиска проблемы.
Поскольку фильтрация является одним из ключевых элементов Procmon, возможности её в данной программе очень хорошо проработаны. Фильтровать события можно используя любые доступные программе атрибуты событий. Отфильтровывать события в Process Monitor можно несколькими способами:
Фильтрация по классу
Это самая общая, можно сказать грубая фильтрация событий, позволяющая исключить из вывода сразу целый класс событий: реестр, файловая система, сеть, активность процессов/потоков, события профилирования. Настройка фильтрации по классу событий представлена пятью кнопками в правой части панели инструментов:
Соответственно, в тот момент, когда какая-либо из перечисленных кнопок класса деактивируется (отжимается) пользователем на панели команд, в общий набор фильтров добавляется соответствующий фильтр с предписанием Exclude (Исключить), скрывающий из вывода все события данного класса.
Меню Filter
Какие бы из типов фильтров не применялись в Process Monitor, все они доступны через меню Filter и подпункт Filter. Это полный (общий) набор параметров фильтрации и представлен он в следующем виде:
Быстрый фильтр
Можно применить так называемый «быстрый фильтр» для некоторых параметров событий, отображаемых в главном окне. Активируется он нажатием правой кнопки мыши на событии в главном окне программы:
Фильтрация по владельцу окна
В дополнение к основным вариантам фильтрации, в утилите Procmon имеется возможность отфильтровать события по описателю (идентификатору) окна приложения. Это достаточно удобная функциональная особенность, поскольку она предоставляет пользователю возможность посмотреть события процесса, окно которого появляется на рабочем столе. Для задействования данного функционала на панели инструментов найдите значок прицела:
Перетащите его на интересующее Вас окно и Procmon создаст соответствующий фильтр на процесс, являющееся владельцем выбранного окна, соответственно изменив вывод в главном окне.
Подсветка событий
В дополнение к фильтрам, в Procmon присутствует возможность маркировать события, выделяя их цветом. Тогда как фильтрация скрывает лишние события из вывода, то подсветка просто-напросто выделяет необходимые события в списке. Напрямую, вроде как, не относится к фильтрам, поскольку не скрывает события, а всего-лишь маркирует их другим цветом в списке. Вызвать окно настройки подсветки Process Monitor можно либо нажатием комбинации клавиш Ctrl + H или щелчком по соответствующему значку на панели задач. Выглядит оно следующим образом:
Как Вы видите, оно идентично окну настройки фильтров, за исключением того, что по умолчанию не имеет никаких установок, то есть подсветка полностью отключена. Алгоритм настройки параметров подсветки и выборки результатов окна Highlighting во многом схожи с аналогичными в окне Filter.
Поиск по событиям
Будет отображено уже знакомое по другим продуктам Microsoft окно поиска. Поиск осуществляется по значениям всех без исключения полей вывода главного окна Process Monitor и при обнаружении первого попавшегося совпадения, утилита пролистывает экран до найденного значения и маркирует целиком всю строку с обнаруженным ключевым фрагментом синим цветом.
Детали событий
Process Monitor получает от различных компонентов операционной системы достаточно большое количество дополнительной информации. Все они отображаются в столбце Detail. Большинство из них чисто информативные, поэтому обычно пропускаются при анализе. Тут можно встретить запрашиваемый уровень доступа для операции, подробности запросов функций, дополнительные параметры некоторых функций, имена пакетов драйверов и прочее
Изучение события
Вся информация, коллекционируемая утилитой Process Monitor в процессе записи событий, представляется в виде огромной таблицы, каждая строка которой отражает лишь обобщенное описание определенного произошедшего события. Ну и что, как Вы думаете, достаточно ли этой информации, представленной в главном экране утилиты в виде ограниченных сведений, разнесенных на несколько колонок? Иногда да, но зачастую и нет! Надо отдать должное авторам Process Monitor’a за то, что они предусмотрели логику более детального исследования записываемых событий. Давайте выполним двойной щелчок на строке события, и посмотрим что же произойдет? После выполнения двойного щелчка открывается отдельное окно, имеющее следующий вид:
Во вкладке Event (Событие), мы видим общую информацию об интересующем нас событии. В общем то, именно эта вкладка не представляет для исследователя большой ценности, поскольку содержит информацию, которую можно получить в интерфейсе утилиты другими способами. Но вот две оставшиеся вкладки окна определенно могут нас заинтересовать. Средняя вкладка называется Process (Процесс) и выглядит следующим образом:
Тут мы видим путь к модулю (Path), командную строку, с использованием которой был запущен модуль (Command Line), пользователя, с привилегиями которого процесс был запущен (User), идентификатор сессии входа в систему (Auth ID), в которой процесс, хозяин операции, выполняется, и уровень целостности (Integrity), присвоенный процессу, хозяину операции, при запуске. Отдельного внимания удостаивается информационное окно со списком библиотек, загруженных в адресное пространство процесса (Modules), которое сильно способствует выявлять непрошенных гостей в виде различного рода вредоносов. Но для продвинутых исследователей настоящей ценностью является последняя, самая правая вкладка Stack (Стек), которая позволяет увидеть стек вызовов основного потока процесса:
Как мы видим, в этой вкладке можно обнаружить хорошо знакомую нам по отладчику WinDbg, классическую цепочку вызовов функций, называемую стеком вызовов. Во-первых, она позволяет отследить последовательность вызовов функций с момента начала выполнения стартовой функции потока. Во-вторых, по последовательности вызовов функций можно определить к каким модулям (библиотекам) эти функции принадлежат, тем самым выявив и системные компоненты, которые либо требуют обновления, либо вообще не должны применяться в данном модуле (например: вирусы).
Сценарии использования
Некоторые замечания по статусам программы Process Monitor:
Диагностика этапа загрузки
В дополнение к активации механизма, Procmon предлагает включить профилирование потоков через равные промежутки времени. Это немаловажно, потому что в большинстве случаев проблемы загрузки связаны с медленной работой определенных процессов. Именно с целью отследить подобные «тормозящие» процессы включается профилирование, которое позволяет создавать эдакие снимки активности потоков внутри процесса (стек вызовов и прочие данные) через равные промежутки времени. В итоге, записываемая информация помогает понять на какие именно операции поток тратит процессорное время.
После включения опции Enable Boot Logging можно перезагружать операционную систему. После завершения загрузки запускаем утилиту Process Monitor для сохранения лог-файлов процесса загрузки и видим следующее диалоговое окно:
