Process Monitor to narzędzie stworzone przez Sysintermals do monitorowania w czasie rzeczywistym systemu plików, rejestru i procesów systemu operacyjnego komputera. Działa w 32- i 64-bitowych systemach operacyjnych Windows.
Nie wymaga instalacji na dysku twardym, ale powinien być uruchamiany z konta z uprawnieniami administratora. Do prawidłowego działania instaluje własny sterownik, który przechwytuje monitorowane przez niego dane. Monitoruje zapytania do plików i rejestru, aktywność procesów oraz połączenia sieciowe.
Funkcje Process Monitora
Narzędzie umożliwia m.in.
- Śledzenie uruchamiania i zamykania procesów lub wątków.
- Wykrywać ładowanie obrazu (DLL lub sterownika).
- Ustawić filtry, aby zapobiec utracie danych.
- Zebranie stosu wątków w celu określenia przyczyny działania.
- Zbieraj ważne informacje o procesie składające się z ID użytkownika i sesji, ścieżki obrazu i linii poleceń.
- Skonfiguruj kolumny dla każdej właściwości zdarzenia.
Korzyści z Process Monitora
Dzięki Process Monitor możesz:
- Śledzić korelację pomiędzy wszystkimi zdarzeniami w systemie dzięki drzewu procesów.
- Ustawić filtry na dowolnym typie danych.
- Zapisywać dane do przeglądania na innej instancji programu.
- Rejestrować zdarzenia przy starcie systemu operacyjnego.
Narzędzie posiada prosty interfejs. Dla ułatwienia użytkowania programiści zaimplementowali tooltipy, które pozwalają użytkownikowi na wyświetlenie pełnych informacji o procesie lub zdarzeniu. Ulepszona architektura umożliwia śledzenie kilku milionów zarejestrowanych zdarzeń w systemie, zapisując dane w pliku dziennika o rozmiarze kilku gigabajtów.
Process Monitor jest niezastąpiony, gdy komputer zostanie zainfekowany szczególnie złośliwym oprogramowaniem, z którym nie radzi sobie konwencjonalny antywirus, a znalezienie źródła zagrożenia wymaga skrupulatnej analizy aktywności programów i usług.
