下载进程监视器 （981 KB）
立即从 Sysinternals Live 运行。

介绍

Process Monitor是Windows的高级监视工具，可显示实时文件系统，注册表和进程/线程活动。它结合了两个传统Sysinternals实用程序Filemon和 Regmon的功能，并添加了大量增强功能，包括丰富和非破坏性过滤，全面的事件属性，如会话ID和用户名，可靠的流程信息，带有集成符号支持的完整线程堆栈对于每个操作，同时记录到文件等等。其独特的强大功能将使Process Monitor成为系统故障排除和恶意软件搜索工具包的核心实用程序。

总体来说，Process Monitor相当于Filemon+Regmon，其中的Filemon专门用来监视系统 中的任何文件操作过程，而Regmon用来监视注册表的读写操作过程。 有了Process Monitor，使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录，通过注册表和文件读写的变化， 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说，非常 有用。 这是一个高级的 Windows 系统和应用程序监视工具，由优秀的 Sysinternals 开发，并且目前已并入微软旗下，可靠性自不用说。

进程监视器功能概述

Process Monitor包括强大的监控和过滤功能，包括：

• 为操作输入和输出参数捕获更多数据

• 非破坏性过滤器允许您设置过滤器而不会丢失数据

• 捕获每个操作的线程堆栈使得在许多情况下可以识别操作的根本原因

• 可靠地捕获进程详细信息，包括映像路径，命令行，用户和会话ID

• 任何事件属性的可配置和可移动列

• 可以为任何数据字段设置过滤器，包括未配置为列的字段

• 高级日志记录体系结构可扩展到数千万个捕获的事件和千兆字节的日志数据

• 进程树工具显示跟踪中引用的所有进程的关系

• 本机日志格式保留所有数据以便在不同的Process Monitor实例中加载

• 处理工具提示，便于查看过程图像信息

• 详细信息工具提示可以方便地访问不适合列的格式化数据

• 可取消的搜索

• 所有操作的引导时间记录

熟悉Process Monitor功能的最佳方法是阅读帮助文件，然后访问实时系统上的每个菜单项和选项。

截图

这里我们就拿calc计算器程序来试下手吧，让他启动时默认启用科学型，

而不是标准型

1、启动Process Monitor，选择Fiter菜单中的Fiter

2、打开以后，添加process is calc.exe

3、同时添加operation is RegSetValue

4、完成以上操作后，我们再去打开calc.exe，并将标准型切换成科学型，便可以从process monitor中看到相应注册表项了，选择jump to便可打开到相应的注册表项

而对于另外的一个文件操作的例子，我们经常可以在论坛中看到有人提问说文件经常是默名其妙的被修改了，或是被隐藏了。像类似这样的问题，我们关键的是要找出到底是哪个程序在做怪，一般可以启用审核功能解决，这里我们也可以使用Process Monitor来解决

1、同样启动Process monitor，打开filter，设置path值为文件夹的路径

2、做为测试，我们将test文件夹隐藏，便可以在Process Monitor中看到explorer.exe这个进程对文件夹做了修改

• 进程
• Process