Process Monitor 3.93

Without further ado let’s get started.

Process Monitor является компактной, и вместе с тем мощной утилитой, не только унаследовавшей всё лучшее из ранее выпущенных программных продуктов от Sysinternals (Filemon – мониторинг файловой системы, Regmon – мониторинг реестра и Process Explorer – отслеживание работы процессов и потоков), но и значительно усовершенствованной, получившей целый ряд улучшений, – полноценный стек потока с поддержкой всех операций, широкие возможности фильтрации, всеобъемлющие свойства событий, одновременную запись данных в файл и многое многое другое. Как пользоваться программой Process Monitor можно узнать здесь.

Программа не требует установки, для работы с утилитой достаточно запустить файл procmon.exe (в архиве).

Версия: Process Monitor 3.82

Дата релиза: 1 июня 2021

Статус программы:
Бесплатная

Поставить оценку
Средний рейтинг 5.0, всего оценок — 1

Process Monitor — это расширенный инструмент системного мониторинга, который позволяет отслеживать файловую систему, реестр и активность процессов/потоков в режиме реального времени.

Скачать для Windows

Программа предлагает фильтры и правила выделения, которые позволяют ограничить и сфокусировать мониторинг на процессах, соответствующих определенным условиям. Захваченную активность можно просматривать в режиме реального времени, а также сохранять и экспортировать в файл.

Другие функции включают ведение журнала во время загрузки, настраиваемые столбцы отображения, расширенные свойства процесса, сводные отчеты и многое другое.

Скриншоты интерфейса

08 марта 2019

Эта программа от SystemInternals существует уже давно, и теперь, когда они принадлежат MS, она все еще не разочаровывает. Он предоставляет пользователям и экспертам всю информацию, необходимую для оценки процессов, запущенных в вашей системе. Вы сможете обнаружить мошеннические процессы или просто захотите узнать, что происходит в вашей системе. Старый друг, который только что обновился. Два больших пальца вверх! Бери, используй, оценивай!

Windows XP, Windows Vista, Windows 7, Windows 8, Windows 10

Описание

Process Monitor для Windows разработана для 32-битных и 64-разрядных ОС. Компактное приложение не требует инсталляции, вам нужно только загрузить Process Monitor и запустить скачанный документ. После запуска, программа откроет окно, которое позволит проверить какие процессы утилита отслеживает. Process Monitor предоставит возможность настроить фильтр для исключения лишних показателей мониторинга.

Критерии в окне вывода информации – настраиваемые. В детальных настройках окна собраны параметры, которые программа анализирует, в три группы. В каждой – подпункты, выбрать которые можно, поставив маркер на соответствующей строке. Для того, чтобы не перегружать информационное окно, полный вывод показателей не рекомендуется. Лучше ограничиться основными, а детальную информацию получить двойным щелчком по соответствующему процессу. Утилита используется и для определения причин аварийного завершения работы программ или для исследования конкретного процесса. После мониторинга, Process Monitor сохраняет журнал событий.

Русская и английская версии.

Microsoft Process Monitor – бесплатная утилита мониторинга файловой системы, системного реестра и процессов в оперативной памяти. В Microsoft Process Monitor объединяются возможности трех программ Filemon (мониторинг файловой системы), Regmon (мониторинг реестра) и Process Explorer (мониторинг процессов), а также огромный ряд улучшений, включая расширенную и безвредную фильтрацию, всеобъемлющие свойства событий и др. Утилита не требует инсталляции.

Преимущества Process Monitor:

• отслеживание запуска и завершения работы процессов и потоков, включая информацию о коде завершения
• отслеживание загрузки образов (библиотек DLL и драйверов устройств, работающих в режиме ядра)
• больше собираемых данных об параметрах операций ввода и вывода
• безвредные фильтры позволяют устанавливать фильтры, которые не будут приводить к потере данных
• сбор стеков потоков для каждой операции позволяет в большинстве случаев определить исходную причину выполнения операции
• достоверный сбор информации о процессах, включая путь к образу процесса, командную строку, а также ID пользователя и сессии
• настраиваемые и перемещаемые колонки для каждого свойства события
• фильтры можно установить на любое поле с данными, включая поля, которые не являются колонками
• усовершенствованная архитектура записи журналов расширяет возможности программы до десятков миллионов зарегистрированных событий и гигабайтов записанных данных о событиях
• дерево процессов отображает отношения между всеми процессами, перечисленными в сведениях трассировки
• основной формат журнала сохраняет все данные, чтобы их можно было загрузить в другом экземпляре программы Process Monitor
• подсказки к процессам для простого просмотра информации об образе процесса
• детальные подсказки позволяют получить удобный доступ к форматированным данным, которые не помещаются в колонке
• прекращаемый поиск
• запись в журнал всех операций во время загрузки системы

Windows Vista и выше, Windows Server 2008 и выше.

Данная разработка сочетает в себе все возможности двух ранее приложений от создателей Sysinternal, а именно речь идет про Filemon и Regmon. Были добавлены и некоторые новые фишки, например стоит отметить достаточно расширенную и продуманную фильтрацию, можно просматривать довольно обширные данные событий, можно не только просматривать ID сессий, но и имена пользователей. Microsoft Process Monitor покажет также достоверную информацию о всех процессах, имеется и обширный стек потока которые имеет встроенную поддержку всех проводимых операций, присутствует и одновременная запись информации в файлы и большое количество прочих плюсов. Таким образом, по словам разработчиков, данный продукт можно назвать ключевым для устранения разного рода неполадок и избавления пользователей от вредоносных программ.

Microsoft Process Monitor не требует установки, весит крайне мало, не нагружает систему, может запускаться с любого носителя, имеется и простой пользовательский интерфейс, все предельно ясно и понятно сразу после начала работы. Русской поддержки нет, но надеюсь проблем не возникнет у вас с этим делом, по сути там разбираться не в чем. В общем если будут какие-то вопросы, дополнения, может минусы какие-то известны, не забываем по этому делу отписываться в комментариях. Мне остается надеяться, что Microsoft Process Monitor пригодится вам в работе и теперь работать с процессами станет проще.

Забыл дописать, что программа прекрасно работает с Windows 2000 SP4, поддержка Windows XP тоже имеется, а еще Windows Server 2003, Vista и 7, x64 поддержка тоже присутствует, в общем думаю запуститься у всех. Теперь точно все, обзор можно считать завершенным, всем приятного дня.

Пароль на все архивы: rsload

Несмотря на отсутствие русского интерфейса Process Monitor, найти то что нужно, используя эту утилиту, не составит особого труда, а всё благодаря простой и интуитивно понятной системе фильтрации.

Далее рассмотрим работу программы (как работают фильтры в Process Monitor) на примере.

Допустим, что нам требуется узнать о том, что делает то или иное приложение на нашем компьютере, к примеру браузер Google Chrome.

Для начала нам необходимо знать имя исследуемого процесса, в нашем примере это chrome.exe. Дальше алгоритм действий следующий: используя контекстное меню программы (Filter) или сочетание клавиш (Ctrl+L) открываем Process Monitor Filter (окно на скриншоте ниже).

Здесь мы видим, что по умолчанию в программе уже задействован ряд фильтров, исключающих из общего списка (отображены в главном окне программы) различного рода системные процессы, в которых нет необходимости для анализа априори.

В примере мы создадим свой собственный фильтр (по имени процесса) с целью найти и отследить только то, что касается браузера Google Chrome (файлы, записи в системном реестре, сетевая активность и т.д.).

В первом выпадающем списке выбираем «Process Name» (по умолчанию там «Architecture»).

Во втором случае оставляем «is», т.е. мы включаем значение в поиск, а далее выбираем сам процесс «chrome.exe», при условии, что браузер уже запущен (если мы ходим отследить, что делает та или иная программа до запуска, то название процесса в это поле необходимо вводить вручную).

В четвёртом поле также оставляем значение по умолчанию «Include» (это позволит отображать в общем потоке, только интересующий нас процесс). Для добавления фильтра нажимаем «Add».

Нажимаем «Apply» и «OK».

И сразу же видим всю детальную информацию именно по процессу «chrome.exe»: ID процесса, потока, обращения к файлам, системному реестру Windows и т.д.

Если у вас имеются вопросы, или возникли проблемы в процессе работы с Process Monitor, то рекомендуем посетить официальный форум разработчика (Sysinternals), посвященный этой программе.

А вдруг и это будет интересно

As we’ve seen above when a process wants to do something it has to access the kernel by using API’s. So if wanted to know what a process is accessing in terms of files and registry keys and so forth, we need a tool that can monitor those activities. Enter “Process Monitor”.

Process monitor is a tool that monitors and captures File system activity, registry activity, network activity, profiling events and processes and threads activity on a particular system by using a kernel driver.

It’s a powerful tool for troubleshooting and understanding what a process is doing behind the scene and at a lower level. So powerful, it even got its own meme.

• Time of Day when the event occurred.
• Process Name: The name of the process that executed the action.
• PID: The process ID.
• Operation: The name of the operation that occurred.
• Path: The path used by the operation. It could be a registry path, a file path or a network communication.
• Result: The Result of the operation

Let’s discuss how we can use the information gathered by procmon in our hunting and analysis.

Работа с заблокированными файлами или папками

Поскольку маловероятно, что вы будете постоянно анализировать вредоносные программы, также полезно использовать Process Explorer для других задач. К примеру, вы можете определить, какая программа открыла файл, в результате чего вы не можете удалить, переместить или переименовать файл или папку.

Когда вы получаете ошибку «уже используется», просто перейдите в Process Explorer, откройте поиск с помощью CTRL+F или значка, а затем введите имя проблемной папки или файла (или полный путь, если имя очень расплывчатое).

Вы очень быстро увидите в списке процесс, в котором открыт ваш файл или папка, и можете дважды щёлкнуть по нему, чтобы идентифицировать процесс в списке.

В первую очередь на ум приходит просто закрыть этот процесс, но делать это не обязательно. Вы также можете щёлкнуть правой кнопкой мыши файл или папку в списке дескрипторов (используйте сочетание клавиш CTRL+H, чтобы открыть список дескрипторов) и выбрать опцию «Закрыть дескриптор». Этот ресурс теперь разблокирован!

Примечание. Если вы что-то удаляете, это отличный вариант, но если вы просто пытаетесь отредактировать или переместить этот элемент, вам, вероятно, следует открыть проблемное приложение и разобраться с ним там, чтобы не потерять никаких данных.

Серия уроков по пакету утилит SysInternals

1. Что такое инструменты SysInternals и как их использовать?

2. Знакомство с Process Explorer

3. Использование Process Explorer для устранения неполадок и диагностики

4. Понимание Process Monitor

5. Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра

6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО

Понимание того, как работают диалоговые окна и параметры Process Explorer, – это прекрасно, но как насчёт их использования для реального устранения неполадок или диагностики проблемы? Сегодняшний урок попытается помочь вам узнать, как это сделать.

Не так давно мы начали исследовать всевозможные вредоносные и нежелательные программы, которые могут установиться случайно, если вы не обращаете внимания на галочки при установке программного обеспечения. Многие бесплатные программы во время своей установке могут дополнительно установить стороннее ПО, которое может добавлять панели инструментов в ваши веб браузеры, показывают рекламу или делают другие неприятные вещи. И от этих программ не так просто избавиться.

Мы видели много компьютеров от известных нам людей, на которых установлено так много шпионского и рекламного ПО, что компьютер еле работает. В частности, попытка загрузить веб-браузер практически невозможна, поскольку все рекламное ПО и программное обеспечение для слежения за пользователем конкурируют за ресурсы, чтобы украсть вашу личную информацию и продать её тому, кто предложит самую высокую цену.

Поэтому, естественно, мы хотели провести небольшое расследование того, как некоторые из них работают. Данная статья написана на примере одной из них.

Мы начнём с этого, а затем покажем вам, как использовать Process Explorer для устранения ошибок, связанных с заблокированными файлами и папками, которые используются.

А затем мы завершим это ещё одним взглядом на то, как некоторые рекламные программы в наши дни прячутся за процессами Microsoft, чтобы они выглядели легитимными в Process Explorer или диспетчере задач, хотя на самом деле таковыми не являются.

Highlighting

Next on our list of features is the highlighting feature. Same as filtering but this time instead of removing or including unnecessary events we can highlight those that we only care about.

This can be useful when we want to highlight a particular file, path that is of interest to us.

We can use this feature by selecting it from the toolbar menu or pressing “Ctrl+H”.

Изучение процессов, которые выглядят безопасными, но такими не являются

В ходе нашего исследования вредоносного ПО мы обнаружили ещё одну проблему, которая становится все более распространённой, поэтому разумно следить за ней в будущем. Что это за проблема? Вредоносное ПО скрывается за легитимными процессами Windows и хорошо справляется с этой задачей.

Проблема заключается в утилите Windows rundll32.exe, которую можно использовать для произвольного запуска функций из файлов DLL. Поскольку эта утилита подписана Microsoft, она отображается в списке как полностью законный процесс, но на самом деле они просто перемещают весь свой вредоносный/рекламный код в файл .DLL вместо файла .EXE, а затем вместо этого загружается вредоносное ПО с помощью rundll32.exe. Фактически, если вы видите, что rundll32.exe запущен как «собственный процесс» и обозначен голубым цветом, показанным ниже, это почти всегда что-то, что не должно выполняться.

В приведённом ниже примере вы можете видеть, что, хотя мы использовали функцию Verified Signer для проверки этого элемента, когда мы наводим на него курсор и смотрим на полный путь, на самом деле загружается DLL, которая оказывается частью adware (рекламного ПО).

Примечание: прежде чем вы начнёте кричать о запуске антивирусной проверки, отметим, что мы это сделали, и она ни чего не нашла. Большая часть этого нежелательного, рекламного и шпионского ПО игнорируется антивирусными утилитами.

Двойной щелчок, чтобы открыть подробную информацию, продолжает раскрывать информацию о данной проблемы, и мы также можем увидеть каталог из которого запущено вредоносное ПО, эту информацию мы будем использовать для дальнейшего исследования.

Внутри этого каталога мы обнаружили ряд файлов, которые постоянно обновлялись в фоновом режиме.

Остальная часть расследования привела к некоторым другим инструментам, которые не входят в набор SysInternals, и которые мы, вероятно, рассмотрим позже, но достаточно сказать, что это просто вредоносная программа, которая работала вместе с другим нежелательным ПО.

Важным моментом здесь является то, что вредоносное ПО способно прятаться за законными исполняемыми файлами Windows, поэтому обязательно следите за чем-либо подобным.

Взлом вашей поисковой и домашней страницы тривиален для любого вредоносного ПО — именно здесь Conduit вступает в бой и каким-то образом переписывает страницу новой вкладки, чтобы заставить её отображать Conduit, даже если вы измените все настройки.

Вы можете удалить все свои браузеры или даже установить браузер, который у вас не был установлен раньше, например Firefox или Chrome, и Conduit все равно сможет захватить страницу быстрого доступа.

Кто-то должен сидеть в тюрьме, но он наверняка на яхте.

С точки зрения компьютерных навыков не требуется много усилий, чтобы в конечном итоге сделать вывод, что проблема заключается в запущенном на панели задач приложении Search Protect. Завершите этот процесс, и внезапно ваши новые вкладки откроются именно так, как задумал создатель браузера.

Но как именно он это делает? Ни в один из браузеров не установлены надстройки или расширения. Нет никаких плагинов. Реестр чистый. Как они это делают?

Здесь мы обращаемся к Process Explorer, чтобы провести некоторое расследование. Во-первых, мы найдём в списке процесс Search Protect, который достаточно прост, потому что он правильно назван, но если вы не уверены, вы всегда можете открыть окно и использовать маленький значок в виде яблочка рядом с биноклем, чтобы выяснить, какой процесс принадлежит окну.

Теперь вы можете просто выбрать соответствующий процесс, который в данном случае был одним из трёх, автоматически запускаемых службой Windows, устанавливаемой Conduit. Как я узнал, что этот процесс перезапускается как служба Windows? По цвету — как мы узнали в предыдущем уроке, розовый цвет имеют службы. Вооружившись этими знаниями, я всегда мог остановить или удалить службу (хотя в этом конкретном случае вы можете просто удалить её в окне «Удаление программ» в Панели управления).

Примечание: в мире Windows Handle — это целочисленное значение, которое используется для уникальной идентификации ресурса в памяти, такого как окно, открытый файл, процесс или многие другие вещи. Каждое открытое окно приложения на вашем компьютере имеет, например, уникальный «дескриптор окна», который можно использовать для ссылки на него.

DLL или библиотеки динамической компоновки — это общие части скомпилированного кода, которые хранятся в отдельном файле для совместного использования несколькими приложениями. Например, вместо того, чтобы каждое приложение создавало свои собственные диалоговые окна открытия/сохранения файла, все приложения могут просто использовать общий код диалогового окна, предоставленный Windows в файле comdlg32.dll.

Просмотр списка дескрипторов в течение нескольких минут немного приблизил нас к тому, что происходит, потому что мы нашли дескрипторы для Internet Explorer и Chrome, которые в настоящее время открыты в тестовой системе. Мы определённо подтвердили, что Search Protect что-то делает с открытыми окнами браузера, но нам нужно провести дополнительное исследование, чтобы точно выяснить, что именно.

Следующее, что нужно сделать, это дважды щёлкнуть процесс в списке, чтобы открыть подробный вид, а затем перейти на вкладку Image, которая предоставит вам информацию о полном пути к исполняемому файлу, строке команды и даже рабочей папке. Мы нажмём кнопку Explore, чтобы взглянуть на папку установки и увидеть, что ещё там скрывается.

Интересно! Мы обнаружили здесь несколько DLL-файлов, но по какой-то странной причине ни один из этих DLL-файлов не был указан в представлении DLL для процесса Search Protect, когда мы просматривали его ранее. Может быть они и являются причиной проблемы.

Каждый раз, когда вы хотите узнать, используется ли файл DLL в настоящее время каким-либо приложением в вашей системе воспользуйтесь поиском. Чтобы открыть панель поиска, перейдите в меню Find («Поиск»), нажав CTR+F или просто кликните значок бинокля на панели инструментов. Теперь введите часть имени DLL или даже полное имя, если хотите.

Мы выбрали для поиска только начало, «SPVC», поскольку это общая часть строки для всех найденных файлов, и, конечно же, похоже, что эти библиотеки DLL загружаются непосредственно в каждый из процессов браузера, запущенных на нашем компьютере.

Щелчок по одному из элементов в списке и переход на страницу Threads («Потоки») подтвердили наши опасения. И Chrome, и Internet Explorer запускали потоки с использованием файлов SPVC32.dll или SPVC64.dll из вредоносного ПО Search Protect, и именно так они захватывали нашу новую вкладку — не путём изменения настроек, а путём перехвата браузера изнутри.

Примечание. В Windows thread (поток) — это то, для чего операционная система выделяет процессорное время. Обычно мы думаем о процессах, но технически в Windows работают только потоки, а не процессы. У некоторых процессов может быть только один поток выполнения, но у других может быть много потоков, которые все работают отдельно друг от друга, обычно управлясь с каким-либо механизмом межпроцессного взаимодействия.

Вы также можете дважды щёлкнуть любой из потоков, чтобы увидеть полный стек выполнения, что может быть полезно, чтобы увидеть, какие функции вызываются, и попытаться выяснить, в чем проблема.

Также стоит отметить, что вы можете увидеть использование ЦП на поток, углубившись в детали этого уровня, что может быть очень полезно при устранении неполадок в приложении, в котором есть плагины. Вы можете использовать это, чтобы выяснить, какой конкретный файл DLL занимает слишком много времени процессора, а затем провести некоторое исследование того, к чему этот компонент принадлежит.

Windows Internals and The Win32 API

Before we start our journey into procmon, I think we should make a little detour and understand what happens when a process tries to request something from the OS by taking a look at some Internals.

Our process will want to do something at one point in its lifetime as a good process should. It could write / read a file, access the network, draw something on the screen and so on.

All of these actions requires the process to interact with the kernel, as it is the sole responsible for all, including system resources. To do that our process will need to use the Windows API.

For the purposes of this discussion we will not care in what language our application is written, instead we’ll only focus on how the system will handle the request.

I will spare you what’ll happen in the rest of the journey of the thread. Safe to say we will get back from the kernel into our original calling function with our file created. Below is a diagram illustrating what we’ve just talked about in an abstract way.

This example can be generalized to illustrates what happens every time an application requests a resource from the kernel.

• That subsystem DLL function will check the parameters and that everything is good to go, and will make a call to the native API corresponding function in “ntdll.dll”.
• The ntdll.dll will then pass on the rest of the work to the kernel and stuff will happen.
• If everything worked perfectly we should get back from the kernel with a return to the caller and continue the rest of the program.

Now that we’ve understood a little bit about how a process execute something, I think it’s time that we dive into process monitor.

Process Tree View

Procmon Process Tree View

Связанные статьи

Примером рекламного и нежелательного ПО является Conduit — раздражающая и стойкая к удалению программа, поразившая многие компьютеры. Она пряталась в установщиках с бесплатными программами, причём даже если отказаться, эта программа всё равно иногда устанавливалась.

Conduit устанавливает то, что они называют «Search Protect», которая, по их утверждению, предотвращает внесение вредоносными программами изменений в ваш браузер. О чем они не упоминают, так это о том, что это также не позволяет вам вносить какие-либо изменения в браузер, если вы не используете их панель Search Protect для внесения этих изменений, о которой большинство людей не узнает, поскольку она скрыта в панели задач.

Conduit не только перенаправит все ваши поисковые запросы на свою собственную страницу Bing, но и установит её в качестве вашей домашней страницы. Можно было бы предположить, что Microsoft платит им за весь этот трафик в Bing, поскольку они также передают в строке запроса некоторые аргументы типа?pc=conduit.

Забавный факт: компания, стоящая за этим куском мусора, стоит 1,5 миллиарда долларов, и JP Morgan вложил в неё 100 миллионов долларов. Быть злом выгодно.

Operations

Every action captured by procmon is associated to an operation. There are more than 170 operations that we can filter on.

• CreateFile: When a process wants to create a file.
• WriteFile: When a process writes data to a file.
• SetRenameInformationFile: When a rename operation occurs on a file.
• SetDispositionInformationFile: When a file deletion occurs on a file.
• RegCreateKey: When registry key is created.
• RegSetValue: When the data for value is set in the registry
• RegDeleteKey: When a key gets deleted from the registry.
• RegDeleteValue: When a value gets deleted from the registry.
• TCP Connect, TCP Receive, UDP Send, UDP Receive: Process is Sending / Receiving a TCP or UDP connection.
• Load Image: When a process loads any DLL’s / Executables.
• Process Create: When a process creates a process.
• CreatePipe: When a process creates a Pipe.

You can access the filter functionality from the toolbar menu or by pressing “Ctrl+L”.

Procmon Filter View

CPU-Z AIDA64Process ExplorerFurMarkGPU-ZCrystalDiskMarkHWiNFOProcess MonitorCrystalDiskInfoBlueScreenView

Conclusion

I hope you enjoyed this three part series about the sysinternals tools and you found it useful.

If you want to gain a deeper understanding of the sysinternals suite as a whole I highly suggest you read “Troubleshooting with the Windows Sysinternals Tools, 2nd Edition”

Похожее:

Reg dll windows 10 Настройка оборудования Process Monitor 3.93 + Русская версия + Portable Убейте все соответствующие процессы в Windows из командной строки