Process Monitor v3.61

By Mark Russinovich

Published: January 11, 2021

Download Process Monitor (2 MB)
Run now from Sysinternals Live.

Introduction

Process Monitor is an advanced monitoring tool for Windows that shows real-time file system, Registry and process/thread activity. It combines the features of two legacy Sysinternals utilities, Filemon and Regmon, and adds an extensive list of enhancements including rich and non-destructive filtering, comprehensive event properties such as session IDs and user names, reliable process information, full thread stacks with integrated symbol support for each operation, simultaneous logging to a file, and much more. Its uniquely powerful features will make Process Monitor a core utility in your system troubleshooting and malware hunting toolkit.

Overview of Process Monitor Capabilities

Process Monitor includes powerful monitoring and filtering capabilities, including:

• More data captured for operation input and output parameters
• Non-destructive filters allow you to set filters without losing data
• Capture of thread stacks for each operation make it possible in many cases to identify the root cause of an operation
• Reliable capture of process details, including image path, command line, user and session ID
• Configurable and moveable columns for any event property
• Filters can be set for any data field, including fields not configured as columns
• Advanced logging architecture scales to tens of millions of captured events and gigabytes of log data
• Process tree tool shows relationship of all processes referenced in a trace
• Native log format preserves all data for loading in a different Process Monitor instance
• Process tooltip for easy viewing of process image information
• Detail tooltip allows convenient access to formatted data that doesn’t fit in the column
• Cancellable search
• Boot time logging of all operations

The best way to become familiar with Process Monitor’s features is to read through the help file and then visit each of its menu items and options on a live system.

Screenshots

Related Links

• Windows Internals Book
  The official updates and errata page for the definitive book on Windows internals, by Mark Russinovich and David Solomon.
• Windows Sysinternals Administrator’s Reference
  The official guide to the Sysinternals utilities by Mark Russinovich and Aaron Margosis, including descriptions of all the tools, their features, how to use them for troubleshooting, and example real-world cases of their use.

Download

Download Process Monitor (2 MB)

Run now from Sysinternals Live.

Runs on:

• Client: Windows Vista and higher.
• Server: Windows Server 2008 and higher.

—>

Как пользоваться программой Process Monitor

Process Monitor – это фирменная утилита от Microsoft для ОС Windows, позволяющая в режиме реального времени отследить активность любой программы или приложения, установленного на компьютере. Грубо говоря, Process Monitor отвечает на вопросы: как узнать, что делает та или иная программа при установке, запуске, работе, удалении, какие записи вносит в системный реестр Windows, как используется интернет-соединение, и многие другие. Однако, при первом знакомстве с этой утилитой многие пользователи не сразу поймут, как же работать с программой Process Monitor, поэтому далее вкратце рассмотрим основные моменты.

И так, скачать последнюю версию Process Monitor вы можете с нашего сайта. Скачав, и запустив утилиту, в главном окне программы мы увидим примерно следующее.

Несмотря на отсутствие русского интерфейса Process Monitor, найти то что нужно, используя эту утилиту, не составит особого труда, а всё благодаря простой и интуитивно понятной системе фильтрации.

Далее рассмотрим работу программы (как работают фильтры в Process Monitor) на примере.

Допустим, что нам требуется узнать о том, что делает то или иное приложение на нашем компьютере, к примеру браузер Google Chrome.

Для начала нам необходимо знать имя исследуемого процесса, в нашем примере это chrome.exe. Дальше алгоритм действий следующий: используя контекстное меню программы (Filter) или сочетание клавиш (Ctrl+L) открываем Process Monitor Filter (окно на скриншоте ниже).

Здесь мы видим, что по умолчанию в программе уже задействован ряд фильтров, исключающих из общего списка (отображены в главном окне программы) различного рода системные процессы, в которых нет необходимости для анализа априори.

В примере мы создадим свой собственный фильтр (по имени процесса) с целью найти и отследить только то, что касается браузера Google Chrome (файлы, записи в системном реестре, сетевая активность и т.д.).

В первом выпадающем списке выбираем «Process Name» (по умолчанию там «Architecture»).

Во втором случае оставляем «is», т.е. мы включаем значение в поиск, а далее выбираем сам процесс «chrome.exe», при условии, что браузер уже запущен (если мы ходим отследить, что делает та или иная программа до запуска, то название процесса в это поле необходимо вводить вручную).

В четвёртом поле также оставляем значение по умолчанию «Include» (это позволит отображать в общем потоке, только интересующий нас процесс). Для добавления фильтра нажимаем «Add».

Нажимаем «Apply» и «OK».

И сразу же видим всю детальную информацию именно по процессу «chrome.exe»: ID процесса, потока, обращения к файлам, системному реестру Windows и т.д.

Нажав зелёную стрелочку в меню программы, можно сразу же перейти к месту расположения любого файла или ключа реестра из списка.

Если у вас имеются вопросы, или возникли проблемы в процессе работы с Process Monitor, то рекомендуем посетить официальный форум разработчика (Sysinternals), посвященный этой программе.

Разбираемся, почему медленно загружается Windows с помощью Process Monitor

Для диагностики причин медленной загрузки ОС Windows существует ряд довольно мощных утилит и методик анализа журналов событий, позволяющих выполнить детальную отладку всех этапов процесса загрузки системы и запуска служб (xperf/xbootmgr из Windows Performance Toolkit / Analyzer). Но их использование может вызвать ряд трудностей, особенно для начинающего системного администратора. В этой статье мы покажем, как с помощью Process Monitor можно довольно просто и быстро определить, какие программы, службы и драйвера долго выполняются при старте системы, увеличивая тем самым общее время загрузки для пользователя.

Безусловно, всем системным администраторам Windows, должна быть знакома утилита Process Monitor из комплекта системных утилит Sysinternals. Утилита Process Monitor позволяет в реальном времени отслеживать активность запущенных процессов, обращения к файловой системе и реестру. Одной из малоизвестной функцией Process Monitor является возможность включения режима мониторинга процессов запускаемых во время загрузки Windows.

Для диагностики этапа загрузки, Process Monitor создает отдельную службу в разделе реестра HKLM\SYSTEM\CurrentControlSet\Services. Данная служба загружает драйвер режима загрузки procmon23.sys , стартующий после запуска Winload.exe, который протоколирует активность всех, процессов выполняющихся во время запуска системы и входа пользователя.

• Скачайте и распакуйте архив с Process Monitor ( http://download.sysinternals.com/files/ProcessMonitor.zip )
• Запустите с правами администратора файл procmon.exe

В меню Options выберите пункт Enable Boot Logging

Process Monitor

Категория:	Утилиты
Cистема:	Windows
Статус программы:	Бесплатно
Язык:	Русский
Загрузок:	2066
Скачать

Process Monitor — это название весьма полезного инструмента, который в автоматическом режиме отслеживает текущую активность системного реестра, файловой системы и других активированных на вашем компьютере процессов. Теперь появилась возможность отследить их текущее состояние.

Если некоторые процессы уже активированы, но у вас не получается отключить их вручную, то в этом случае советуем скачать дополнительный инструмент под названием Process Killer. Программа принудительно деактивирует обозначенные вами службы. Деактивация будет выполнена за считанные секунды — поэтому вам не придется ожидать результаты слишком долго.

Главные преимущества программы

1. Разработчики добавили большое количество всевозможных опций — если вам будет трудно разобраться в них самому, то посмотрите размещенный на этой странице видеоролик. Кроме того, в сети можно отыскать дополнительные уроки по работе с утилитой.
2. После скачивания Process Monitor вы получаете доступ к встроенным фильтрам, которые нужны для эффективного отслеживания потоков, процессов. Фильтры нацелены на безопасную работу и не станут причиной удаления информации на компьютере.
3. Поддерживаются самые разные операционки от Майкрософт — Windows Vista, 7, 8, 10.
4. Если пользователь загрузил подозрительный файл и, тем самым, занес в систему вирус, то программа автоматически среагирует на это и устранит потенциальную угрозу.
5. Все данные автоматически сохраняются в специальном журнале, чтобы можно было загрузить их уже в другой версии утилиты.

Хотите научиться работать в приложении Процесс Монитор? Тогда мы советуем ознакомиться с 3-минутным видеороликом, в котором автор очень доходчиво рассказывает обо всех возможностях этой бесплатной программы. Вам остается только слушать и запоминать точный порядок действий, чтобы не допустить ни единой ошибки во время работы.

Диагностика медленной загрузки Windows с помощью Process Monitor

Для диагностики причин медленной загрузки ОС Windows существует ряд довольно мощных утилит и методик анализа журналов событий, позволяющих выполнить детальную отладку всех этапов процесса загрузки системы и запуска служб (xperf/xbootmgr из Windows Performance Toolkit / Analyzer). Но их использование может вызвать ряд трудностей, особенно для начинающего системного администратора. В этой статье мы покажем, как с помощью Process Monitor можно довольно просто и быстро определить, какие программы, службы и драйвера долго выполняются при старте системы, увеличивая тем самым общее время загрузки для пользователя.

Безусловно, всем системным администраторам Windows, должна быть знакома утилита Process Monitor из комплекта системных утилит Sysinternals. Утилита Process Monitor позволяет в реальном времени отслеживать активность запущенных процессов, обращения к файловой системе и реестру. Одной из малоизвестной функцией Process Monitor является возможность включения режима мониторинга процессов запускаемых во время загрузки Windows.

Для диагностики этапа загрузки, Process Monitor создает отдельную службу в разделе реестра HKLM\SYSTEM\CurrentControlSet\Services. Данная служба загружает драйвер режима загрузки procmon23.sys, стартующий после запуска Winload.exe, который протоколирует активность всех, процессов выполняющихся во время запуска системы и входа пользователя.

1. Скачайте и распакуйте архив с ProcessMonitor (http://download.sysinternals.com/files/ProcessMonitor.zip)
2. Запустите с правами администратора файл procmon.exe
3. В меню Options выберите пункт Enable Boot Logging
4. В появившемся окне выберите опцию Generate thread profiling events -> Every second. В этом режиме драйвер procmon будет перехватывать состояние всех процессов каждую секундуEvery second» width=»361″ height=»178″ srcset=»https://winitpro.ru/wp-content/uploads/2017/02/Generate-thread-profiling-events.jpg 361w, https://winitpro.ru/wp-content/uploads/2017/02/Generate-thread-profiling-events-300×148.jpg 300w» sizes=»(max-width: 361px) 100vw, 361px»/>
5. Перезагрузите компьютер и дождитесь появления рабочего стола
6. Драйвер procmon23.sys будет записывать все события до тех пор, пока пользователь не запустит утилиту Process Monitor . После этого режим протоколирования загрузки отключается.
7. В окне Process Monitor соглашаемся с предложение сохранить собранные данные в файл.

Осталось проанализировать полученный список процессов (в случае необходимости можно провести дальнейший анализ проблемного процесса, включив фильтр по имени исполняемого файла), соотнести процессы со службами, программами и драйверами и провести оптимизацию системы.