Process Monitor 入门教程：使用真实案例

Process Monitor 可以实时显示并记录在 Windows 操作系统上发生的各类活动，包括注册表活动、文件系统活动、网络活动、进程和线程活动、剖析（CPU/内存）等。

Process Monitor 常用来在 Windows 上排除故障和寻找恶意软件、病毒。

另一个常用的工具是 Process Explorer ，可以参考本站另一篇文章Process Explorer 快速入门

本文将通过使用 Process Monitor 来记录 360 安全浏览器安装过程来讲解如何使用 Process Monitor 。

如果你懂 Windows 编程和内核方面的一些知识，对充分利用 Process Monitor 来说是非常好的。如果你不懂那也没关系，可以随时使用搜索引擎来探索研究陌生的词语。有时我们大概知道它们是什么就足够了。

启动 Process Monitor 需要使用 Windows 管理员帐户登录。

Process Monitor 官方下载页面

下载完成后会得到一个名为 ProcessMonitor.zip 的文件，需要解压并放置到合适的位置。

解压后会得到 5 个文件：

请双击 Procmon.exe 来运行 Process Monitor 。如果这是你第一次在当前计算机中运行 Process Monitor ，你需要接受许可条款。

如果弹出“用户帐户控制”对话框，请点击“是”按钮，以授予 Process Monitor 管理员权利。

Process Monitor 默认启动后立即开始捕获所有活动事件。现在点击工具栏上的第三个按钮（鼠标指针在按钮上稍作停留以查看提示文本） Capture (Ctrl + E) 可以启用/禁用事件捕获。我们当前先禁用事件捕获。

360 安全浏览器官方下载页面

只是下载，先不要安装。

确保 Filter 菜单的 Drop Filtered Events 菜单项是未选择的状态（前面没有“☑”符号）。

运行 Process Monitor 并点击工具栏上的第三个按钮 Capture (Ctrl + E) 以启用捕获。

现在运行 360 安装程序正常安装。

安装完成后点击 Capture (Ctrl + E) 停止捕获。

点击工具栏上的第 9 个按钮 Process Tree ，打开标题为 Process Tree 的对话框。

在 Process Tree 对话框的 Process 列中找到与下载的 360 浏览器安装程序文件同名的进程，点击它使它高亮显示，然后点击 Include Subtree 按钮过滤 360 浏览器安装程序创建的进程树相关的活动事件。

点击 Close 按钮关闭 Process Tree 。

这样我们就过滤出了运行 360 浏览器安装程序产生的所有活动事件。

过滤出的结果大概是这样的：

第一行和第二行的 Operation 列意思显而易见，Process Start 代表安装程序进程启动，Thread Create 代表线程启动。

三、四、五行的 Operation 列的值 Load Image 代表加载可执行映像文件，就是把二进制指令加载到内存中。Path 列的值可能是文件路径、注册表项的路径或通信息的源地址和目标地址，某些情况下是空的。

Operation 列的值通常是 Windows 系统调用。

例如，如果我们通过搜索引擎查询 QueryEaFile ，可以知道它对应 Windows 内核函数 ZwQueryEaFile ，它返回有关文件的扩展属性（EA）值的信息。扩展属性和标准的文件属性相对应，它代表没有被文件系统定义和解释的自定义属性。

通过调查活动事件记录中的每行中每个值究竟是什么，我们就获得见解和洞察来排除故障和发见恶意软件和病毒。

由于这可能是个漫长的过程，本文就不展开叙述了。扎实的 Windows 编程和 Windows 内核、Windows 驱动程序开发知识会是非常有优势的。