Process Monitor è un'utility sviluppata da Sysintermals per il monitoraggio in tempo reale del file system, del registro e dei processi del sistema operativo del computer. Funziona su sistemi operativi Windows a 32 e 64 bit.
Non richiede l'installazione sul disco rigido, ma deve essere eseguita da un account con privilegi di amministratore. Per funzionare correttamente, installa un proprio driver che acquisisce i dati da monitorare. Monitora le interrogazioni dei file e del registro, l'attività dei processi e le connessioni di rete.
Caratteristiche di Process Monitor
L'utility consente di
- Tracciare l'avvio e l'arresto di processi o thread.
- Rilevare il caricamento di immagini (DLL o driver).
- Impostare filtri per prevenire la perdita di dati.
- Raccogliere uno stack di thread per determinare la causa di un'operazione.
- Raccogliere informazioni valide sul processo, quali ID utente e sessione, percorso dell'immagine e riga di comando.
- Configurare le colonne per ogni proprietà dell'evento.
Vantaggi di Process Monitor
Con Process Monitor è possibile
- Tracciare la correlazione tra tutti gli eventi del sistema grazie all'albero dei processi.
- Impostare filtri su qualsiasi tipo di dati.
- Salvare i dati per visualizzarli su un'altra istanza del programma.
- Registrare gli eventi all'avvio del sistema operativo.
L'utility ha un'interfaccia semplice. Per facilitare l'uso, gli sviluppatori hanno implementato dei tooltip che permettono all'utente di visualizzare le informazioni complete sui processi o sugli eventi. Un'architettura migliorata consente di tenere traccia di diversi milioni di eventi registrati sul sistema, registrando i dati in un file di log di dimensioni pari a diversi gigabyte.
Process Monitor è indispensabile quando il computer viene infettato da un software particolarmente dannoso che gli antivirus convenzionali non sono in grado di affrontare e la fonte della minaccia richiede un'analisi scrupolosa dell'attività dei programmi e dei servizi.
