Моя предыдущая публикация «Список запущенных процессов и время их создания» помогает вам отслеживать процессы, которые выполняются в данный момент. И сообщение Найти, было ли окно неизвестной программы, которое открылось и закрывалось немедленно, было запланированной задачей, сообщает вам, было ли последнее окно программы запуска запланированной задачей или нет.(adsbygoogle=window.adsbygoogle||[]).push({});
Хотя эти сообщения могут быть полезны для понимания того, что работает в системе, при использовании этих методов чего-то не хватает.
В первом посте рассказывается о Process Explorer, который показывает запущенные процессы в реальном времени. Но он не отслеживает процессы, которые выполнялись за несколько минут до этого, а затем завершились.
Process Explorer выделяет новые процессы на пару секунд, но не записывает историю создания и завершения или процессы. А вторая ссылка выше касается только запланированных задач. Однако вам может потребоваться список процессов (особенно короткоживущих), которые выполнялись в течение некоторого времени, а затем завершались. Монитор процессов может быть полезен для получения этой информации.
Использование Process Monitor для отслеживания событий запуска и выхода из процесса
Запустите Process Monitor, включите кнопку «Активность процесса» и отключите все остальное.
Затем нажмите кнопку «Фильтр» (Ctrl + L), чтобы открыть диалоговое окно «Фильтр монитора процессов».
Настройте фильтры следующим образом:
Операция → содержит → Процесс
Щелкните Добавить, ОК. Монитор процессов начнет регистрировать события и отображать результаты, содержащие Процесс создания, Начало процесса, Выход из процесса в столбце Операция.
Совет: если вы собираетесь запускать трассировку в течение длительного периода времени, рассмотрите возможность включения отбрасывания отфильтрованных событий в меню «Фильтр». Это гарантирует, что ваша память или диск не будут заполнены без надобности; он сохраняет запись только тех событий, которые прошли ваш фильтр.
Вот. Монитор процессов записал некоторые события запуска и выхода из процесса. Чтобы узнать больше о событии, дважды щелкните запись. Он показывает полную командную строку и путь этого процесса.
(adsbygoogle=window.adsbygoogle||[]).push({});
При желании вы можете включить столбец командной строки в диалоговом окне выбора столбца монитора процессов. В меню «Параметры» нажмите «Выбрать столбцы…» и включите «Командная строка» и «Порядковый номер».
Теперь в окне результатов появляется столбец с именем «Командная строка».
Дерево процессов
Вы также можете просмотреть список процессов в древовидном формате, показывающий родительские процессы, путь, время жизни и другую информацию. В меню «Инструменты» выберите «Дерево процессов» (Ctrl + T).
Чтобы на гистограмме срока службы использовалось время трассировки (время начала захвата) в качестве основы, вместо сеанса загрузки включите временные шкалы, охватывающие только отображаемые события.
Для будущего анализа вы можете сохранить события в файл .PML, содержащий все события, или события, отображаемые в данный момент. Если вы собираетесь отправить этот журнал (для устранения неполадок) другу или знакомому, который может интерпретировать журнал, заархивируйте его перед отправкой журнала. Сжатие уменьшает размер файла журнала .PML на 90%.
