processmonitor，Process Monitor监控进程操作注册表如何实现

本文目录一览

• 1，Process Monitor监控进程操作注册表如何实现
• 2，怎样使用Process Monitor
• 3，process explorer和process monitor有什么不同
• 4，怎样使用Process Monitor
• 5，怎样使用Process Monitor

1，Process Monitor监控进程操作注册表如何实现

1、在安装过程开始后，打开ProcessMonitor；2、单击工具栏的Filter图标，在弹出的ProcessMoniterFilter窗口中，先把列表中内容Remove；3、在选择ProcessNameis你的安装程序的进程名，勾选Includ，单击Add后，在下面的列表框看到绿色勾图标就表示添加成功了，单击OK按钮；4、这个时候就会在Monitor的主窗口显示监控的信息，可以通过工具栏的Register来只显示注册表信息；5、执行安装过程，注册表的修改信息就会被记录下来。备注：记得要点亮工具栏的Capture按钮哦，不如不会捕捉（叉叉表示停止捕捉）

2，怎样使用Process Monitor

工具/原料Procmon.exe步骤/方法下载Process Monitor压缩包，解压得到三个文件。怎样使用Process Monitor点击Procmon.exe重置过滤器。Filter-->Reset Filter创建过滤器。Filter-->选择怎样使用Process Monitor第一个下拉框选Path，第二个选end with，第三个填写你感兴趣的文件后缀，如lnk。点Add第一个下拉框选Process Name，第二个选is，第三个填写你感兴趣的进程，如lnk。点Add点OK怎样使用Process Monitor6这时可以观察进程访问你电脑中那些资料。怎样使用Process Monitor

3，process explorer和process monitor有什么不同

您好，很高兴为您解答。Process Monitor是一款系统进程监视软件，总体来说，Process Monitor相当于Filemon+Regmon，其中的Filemon专门用来监视系统 中的任何文件操作过程，而Regmon用来监视注册表的读写操作过程。 有了Process Monitor，使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录，通过注册表和文件读写的变化， 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说，非常 有用。 这是一个高级的 Windows 系统和应用程序监视工具，由优秀的 Sysinternals 开发，并且目前已并入微软旗下，可靠性自不用说。PROCESS EXPLORER是由Sysinternals开发的Windows系统和应用程序监视工具，目前已并入微软旗下。不仅结合了Filemon（文件监视器）和Regmon（注册表监视器）两个工具的功能，还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框（增加了进程存活时间图表）、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像（DLL和内核模式驱动程序）加载、系统引导时记录所有操作等。如若满意，请点击右侧【采纳答案】，如若还有问题，请点击【追问】希望我的回答对您有所帮助，望采纳！ ~ O(∩_∩)O~

4，怎样使用Process Monitor

Windows系统和应用程序监视工具 Process Monitor V2.93 绿色汉化版如果玩得很顺手，可以让我们快速了解一个软件他是怎样与系统互动结合的。这里我们来举两个场景，了解一下如何去使用ProcessMonitor。一个是程序UI界面设置所对应的注册表，一个是程序对文件的操作。可能有这样的一些情况，我们在企业中部署了某一些软件，然后要对软件标准化，包括UI，功能设置等等的标准化。我相信管理员应该不会愿意一台机器一台机器去设置，设上几百遍。这时候我们可能想到使用组策略来做，有一些软件会提供一些ADM或是ADMX文件，比如微软的office，有了这些文件，倒是轻松了。但并不是所有的软件都会提供这些，管理员可能需要自己去制作这样的一些ADM或是ADMX文件，而这项工作的第一步，或许就是从将软件UI设置找到对应的注册表开始。这里我们就拿calc计算器程序来试下手吧，让他启动时默认启用科学型，而不是标准型1、启动Process Monitor，选择Fiter菜单中的Fiter2、打开以后，添加process is calc.exe3、同时添加operation is RegSetValue4、完成以上操作后，我们再去打开calc.exe，并将标准型切换成科学型，便可以从process monitor中看到相应注册表项了，选择jump to便可打开到相应的注册表项而对于另外的一个文件操作的例子，我们经常可以在论坛中看到有人提问说文件经常是默名其妙的被修改了，或是被隐藏了。像类似这样的问题，我们关键的是要找出到底是哪个程序在做怪，一般可以启用审核功能解决，这里我们也可以使用Process Monitor来解决1、同样启动Process monitor，打开filter，设置path值为文件夹的路径2、做为测试，我们将test文件夹隐藏，便可以在Process Monitor中看到explorer.exe这个进程对文件夹做了修改

5，怎样使用Process Monitor

组合键Ctrl + L打开筛选分析，或点击过滤器的菜单栏：选择：1。首先我们可以肯定的是，我们需要查看Windows资源管理器中，explorer.exe进程。添加[进程名称] [是]滤波器，[探险家。exe ]，单击[添加]添加2：我们分析了文件夹视图信息存储在注册表中，带壳的，所以我们发现的第二个筛选条件：我一直强调，[路径] [包含] [壳]：3。本文在系统运行初期，为了简化检查程序，明确条件，我们有了新的文件夹，以确保此注册表项应该建，之前是不存在的，所以我们决定最后一个条件：[操作] [包含] [创造] > 屏幕单击[确定]分析：相关的注册表路径，不难看出，一般是很强的，有一个共同的父键：HKCU \\软件\\类\\本地设置\\软件\\微软\\窗户照射进来\\\\壳\\ bagmru 和下面的三个键，保存信息的不同文件夹的一个不同的视图，文件夹路径通过精密和准确的信息更准确的关键保存文件夹视图。由于本文的目的是备份文件夹视图信息，您将不再继续探索子键的路径和视图信息类型。本文最后，文件夹视图信息存储路径：HKCU \\软件\\类\\本地设置\\软件\\微软\\ Windows \\外壳\\ bagmru，导出备份，重新安装系统，导入注册表备份可以恢复以前的系统文件夹中查看所有信息！【说明】如果文件夹名称的改变，随着信息的注册表信息文件夹的视图和文件夹都相应的发生了变化，不是来自注册表备份和恢复视图的信息之前，如果有一个文件夹路径或文件夹级别的变化，详细的注册表信息的文件夹视图信息和文件夹都有相应的改变后，不能恢复来自重装系统前备份注册表信息的视图，经常会遇到这样的问题：我们的一些文件夹的信息观下回到默认状态。例如，我喜欢流行的视图\\“内容\\和父文件夹更改或重装系统，大多数文件夹查看返回到”详细信息\\“（除了一些照片和视频文件夹），所以我们不方便使用。那么，保存的文件夹视图信息在哪里？我们可以备份文件夹信息吗？我借用过程监控工具来探索什么。为了简化测试过程，避免不必要的信息，我们在路径中创建一个新文件夹，然后在文件夹中新建文本文档，以便在此文件夹信息不存在之前。打开进程监视器，单击“记录”按钮，使之变成叉，停止录制；然后单击右边的“空当前记录”按钮。然后单击“记录”按钮，开始记录计算机的所有进程。此时，我们迅速切换到文件夹，更改文件夹视图，例如，更改为“内容\\然后返回到上一层文件夹，或者只是文件夹视图信息没有被保存。您还可以通过更改文件夹下的文件夹属性来更改文件夹视图信息：“更改文件夹视图并确定已保存文件夹视图信息、快速切换到进程监视工具、停止记录。

文章TAG：processmonitor  PROCESS  Monitor监控进程操作注册表如何实现  monitor  监控