Process Monitor - утиліта від розробника Sysintermals, призначена для моніторингу в реальному часі файлової системи комп'ютера, реєстру та процесів операційної системи. Працює на 32 і 64-розрядних ОС лінійки Windows.
Програма не потребує встановлення на жорсткий диск, але має запускатися з облікового запису, що має права адміністратора. Для коректної роботи вона встановлює власний драйвер, за допомогою якого перехоплює відстежувані дані. Спостереженню піддаються запити до файлової системи та реєстру, активність процесів і робота мережевих з'єднань.
Можливості Process Monitor
Утиліта дає змогу реалізувати таке:
- Відстежити запуск і завершення роботи процесу або потоку.
- Виявити завантаження образів (DLL-бібліотеку або драйвер).
- Встановити фільтри, що запобігають втраті даних.
- Зібрати стек потоків для визначення причини виконання операції.
- Зібрати достовірну інформацію про процес, що складається з ідентифікатора користувача та сесії, шляху до образу і командного рядка.
- Налаштувати колонки для кожної властивості події.
Переваги Process Monitor
З Process Monitor можна:
- Відстежувати співвідношення між усіма подіями в системі завдяки дереву процесів.
- Встановити фільтри на будь-який тип даних.
- Зберегти дані для їх перегляду на іншому екземплярі програми.
- Записати лог подій під час завантаження ОС.
Утиліта має простий інтерфейс. Для спрощення використання розробники впровадили підказки, завдяки яким користувач зможе переглянути повну інформацію про процес або подію. Удосконалена архітектура дає змогу відстежувати кілька мільйонів зареєстрованих подій у системі, записуючи дані в журнал розміром кілька гігабайтів.
Process Monitor незамінний у разі зараження комп'ютера особливо шкідливим ПЗ, з яким не справляється звичайний антивірус, а для виявлення джерела загрози потрібен скрупульозний аналіз активності програм і служб.
