Для чего нужна утилита procmon exe

Монитор процессов версии 3.96

Скачать монитор процессов (3.3 МБ)

Запустите сейчас из Sysinternals Live.

Введение

Монитор процессов — это расширенное средство мониторинга для Windows, которое показывает действия файловой системы в режиме реального времени, реестра и процесса или потока. Он объединяет функции двух устаревших служебных программ Sysinternals, Filemon и Regmon, а также добавляет обширный список улучшений, включая широкий и неразрушающий фильтрацию, комплексные свойства событий, такие как идентификаторы сеансов и имена пользователей, надежные сведения о процессе, полные стеки потоков с поддержкой интегрированных символов для каждой операции, одновременный ведение журнала в файл и многое другое. Его уникальные мощные функции позволяют отслеживать процессы в основной программе в средстве устранения неполадок системы и набора средств для поиска вредоносных программ.

Общие сведения о возможностях монитора процессов

Монитор процессов включает мощные возможности мониторинга и фильтрации, в том числе:

• Дополнительные данные, захваченные для входных и выходных параметров операции
• Неразрушительные фильтры позволяют устанавливать фильтры без потери данных.
• Запись стека потоков для каждой операции позволяет во многих случаях определить первопричину операции.
• Надежная запись сведений о процессе, включая путь к изображению, командную строку, идентификатор пользователя и сеанса
• Настраиваемые и перемещаемые столбцы для любого свойства события
• Фильтры можно задать для любого поля данных, включая поля, не настроенные в качестве столбцов.
• Расширенная архитектура ведения журнала масштабируется до десятков миллионов захваченных событий и гигабайт данных журнала
• Средство дерева процессов показывает связь всех процессов, на которые ссылается трассировка
• Собственный формат журнала сохраняет все данные для загрузки в другом экземпляре монитора процессов
• Подсказка процесса для простого просмотра сведений о изображении процесса
• Подсказка сведений позволяет удобно получать доступ к форматированным данным, которые не соответствуют столбцу
• Отменяемый поиск
• Ведение журнала времени загрузки всех операций

Лучший способ ознакомиться с функциями монитора процессов — прочитать файл справки, а затем посетить каждый из его элементов меню и параметров в динамической системе.

Снимки экрана

Связанные ссылки

• Книга внутренних компонентов Windows
  Официальные обновления и страница errata для окончательной книги на внутренних устройствах Windows, и Mark RussinovichDavid Solomon.
• Справочник Администратор istrator в Windows Sysinternals
  Официальное руководство по служебным программам Mark Russinovich Sysinternals и Aaron Margosis, включая описания всех инструментов, их функции, способы их использования для устранения неполадок и примеры реальных вариантов их использования.

Загрузка

Скачать монитор процессов (3.3 МБ)

Запустите сейчас из Sysinternals Live.

Выполняется:

• Клиент: Windows 10 и выше.
• Сервер: Windows Server 2012 и выше.

Как удалить procmon

Procmon.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .exe — это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли procmon.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.

Вот так, вы сможете исправить ошибки, связанные с procmon.exe

1. Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
2. Обновите программу Process Monitor. Обновление можно найти на сайте производителя (ссылка приведена ниже).
3. В следующих пунктах предоставлено описание работы procmon.exe.

Информация о файле procmon.exe

Описание: procmon.exe не является необходимым для Windows. Procmon.exe находится в подпапках «C:\Users\USERNAME» или иногда в подпапках «C:\Program Files». Известны следующие размеры файла для Windows 10/11/7 2,046,608 байт (20% всех случаев), 2,164,360 байт, 244,224 байт, 2,483,904 байт или 2,143,392 байт.
Это не системный процесс Windows. Приложение не видно пользователям. У файла поставлена цифровая подпись. Procmon.exe способен мониторить приложения и записывать ввод данных. Поэтому технический рейтинг надежности 44% опасности.
Издатель программного обеспечения Sysinternals предоставляет деинсталлятор (Панель управления->Программы->Procmon или Sysinternals Utilities).

Если procmon.exe находится в подпапках Windows для хранения временных файлов, тогда рейтинг надежности 36% опасности. Размер файла 2,510,528 байт. У процесса нет видимого окна. Сертифицировано надежной компанией. Это не системный процесс Windows. Procmon.exe способен мониторить приложения.
Если у вас возникли любые проблемы с procmon.exe, вы можете удалить Sysinternals Utilities, или попытаться получить помощь от поставщика программного обеспечения. Нажмите на Sysinternals Utilities в Панели управления Windows (раздел Программы и компоненты) для удаления, или нажмите на technet.microsoft.com, чтобы перейти на сайт разработчика.

Важно: Некоторые вредоносные программы маскируют себя как procmon.exe, особенно, если они расположены в каталоге c:\windows или c:\windows\system32. Таким образом, вы должны проверить файл procmon.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.

Комментарий пользователя

Пока нет комментариев пользователей. Почему бы не быть первым, кто добавить небольшой комментарий и одновременно поможет другим пользователям?

Лучшие практики для исправления проблем с procmon

Аккуратный и опрятный компьютер — это главное требование для избежания проблем с procmon. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.

Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.

Следующие программы могут вам помочь для анализа процесса procmon.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным — шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.

procmon сканер

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

Инструмент ремонта ПК бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

Process Monitor

Программа для мониторинга и управления процессами Windows

Яндекс.Браузер — быстрый браузер с защитой от мошенников и вредоносных сайтов.

• Windows 11
• Windows 10
• Windows 8.1

Тип лицензии:
Freeware (бесплатное)

Языки: Английский
Снимки экрана 5

Process Monitor — программа для мониторинга запущенных процессов, файловой системы, реестра от Microsoft. Это бесплатное программное обеспечение для компьютеров под управлением Windows 8.1, 10 и 11 (32 и 64 бит). Интерфейс программы выполнен на английском языке. Эта программа также имеен названия Procmon и пользуется популярностью среди Linux пользователей.

Зачем нужна программа Process Monitor?

Утилита Process Monitor предназначена для решения следующих задач:

Мониторинг процессов

Программа Process Monitor отслеживает все операции создания и завершения процессов и потоков, а также операции загрузки DLL-библиотек и драйверов устройств.

Кроме того, Process Monitor использует трассировку событий Windows (Event Tracing for Windows или ETW) для отслеживания активности TCP и UDP. Каждая сетевая операция включает адреса источника и получателя, а также количество отправленных или полученных данных.

Мониторинг файловой системы

Утилита Process Monitor отображает активность файловой системы для всех файловых систем Windows, включая локальное хранилище и удаленные файловые системы. Process Monitor автоматически обнаруживает появление новых устройств файловой системы и отслеживает их. Все пути файловой системы отображаются относительно сеанса пользователя, в котором выполняется операция файловой системы. Например, если пользователь смонтировал общий ресурс с буквой диска G:, любая операция, которая была применена к этому общему ресурсу, будет отображаться в мониторе процессов как относящийся к диску G:.

Мониторинг реестра

Process Monitor регистрирует все операции реестра и отображает пути, используя обычные сокращения для корневых ключей реестра (например, HKEY_LOCAL_MACHINE представлен как HKLM).

Так, при помощи Process Monitor можно получить следующие данные о процессах и операциях с файловой системой и реестром:

• Полный путь к файлу-образу, выполняющемуся в процессе/потоке.
• Команда командной строки, использовавшаяся для запуска/создания процесса.
• Имя учетной записи пользователя, в которой выполняется процесс, выполнивший операцию.
• Идентификатор сеанса (сеанс Windows, в котором выполняется процесс).
• Идентификатор аутентификации (сеанс входа в систему, в котором выполняется процесс).
• Идентификаторы процесса (PID) и потока (TID) потока, выполнивших операцию.
• Наименование разработчика, подробное описание и версия файла-образа.
• Класс (файл, реестр, процесс) и конкретная операция события (например, чтение файла или редактирование ключа реестра).
• Путь к ресурсу, на который ссылается событие.
• Код состояния завершенной операции.
• Дата и время операции, а также время операции относительно времени запуска Process Monitor.
• Продолжительность завершенной операции и другие сведения.

Фильтрация данных

В программе Process Monitor реализована мощная система фильтрации. Пользователь может указать атрибуты событий таким образом, чтобы утилита отображала или исключала из отображения только события с соответствующими значениями атрибутов. Все фильтры являются неразрушающими, т.е. они влияют только на то, какие события отображает Process Monitor, а не на базовые данные событий.

Например, можно настроить фильтрацию так, что программа отображала только события, выполняемые процессом с определенным именем. Также можно выбрать несколько событий и одновременно настроить фильтр атрибутов для всех уникальных значений, содержащихся в выбранных событиях. Оператор OR объединяет все фильтры, относящиеся к определенному типу атрибута, а оператор AND объединяет фильтры различных типов атрибутов. Например, если пользователь указал имя процесса, включающее фильтры для Notepad.exe и Cmd.exe, и путь, включающий фильтр для каталога C:\Windows, тогда Process Monitor будет отображать только события, исходящие из Notepad.exe или Cmd.exe, которые указывают на каталог C:\Windows. Все остальные процессы и операции отслеживаться не будут.

Таким образом, утилита Process Monitor является мощным инструментом для поиска и отслеживания различного рода неполадок в работе операционной системе, а также для обнаружения вредоносного ПО, в особенности того, что выдает себя за безопасные пользовательские или системные программы.

Process Monitor или как заставить ПО работать под пользователем

Сегодня я попробую разобраться с проблемой корректной работы софта под правами пользователем на примере ПО (Prima Expert Digital Microscope) для цифрового микроскопа от АО «ЛОМО».

Как и на многих предприятиях у нас строгая политика безопасности прописанная в СТП и рядовые сотрудники не имеют админских прав, поэтому периодически случаются проблемы с работой софта под пользовательской учетной записью, т.к. ПО требует расширенных прав.

Итак что имею на старте, ОТК(отдел технического контроля) запросил установку сопровождающего микроскоп ПО «Эксперт Prima версия 1.0» на обычную пользовательскую машину с Windows XP.

Установка была произведена, но обнаружена следующая проблема. Программа не видит камеру и обрезает интерфейс после запуска из под пользователя, под администратором ПО работает корректно.

Первое, что я попробовал предпринять – это дал права на изменение пользователю в каталог с программой LOMO.

Это действие не дало положительных результатов. Вооружившись утилитой Process Monitor, настроил в ней фильтр на процесс Prima.exe и запускаю ПО «Эксперт Prima».

Утилита выводит все затрагиваемые ресурсы системы для работы Prima.exe

Далее для удобства работы экспортирую результат в csv и открываю с помощь Microsoft Excel.

Сортирую по полю Detail и иду смотреть затрагиваемые кусты, меня интересует значение Desired Access: Read/Write.

Даю полные доступ пользователю на папки реестра:

HKLM\Software\Microsoft\VfWWDM Mapper
HKLM\System\CurrentControlSet\control\MediaResources\msvideo\MSVideo.VFWWDM

Почему именно эти папки? Т.к. пользователь имеет полный доступ к HKCU — это его ветка.

Запускаю для проверки, программа работает должным образом.

Надеюсь, статья окажется полезной начинающим админам и эникейщикам. Этот способ я использую очень давно т.к. он универсален и не разу меня не подводил.