Procmon

Procmon官方版是款适合电脑系统中使用的进程监视工具。Procmon正式版中加入了各种不同的管理系统，可以帮助用户们随时进行检测。Procmon还可以将进程资源数据显示，支持查看执行时间、线程、路径，也可以查看注册表变化，让用户对当前的程序更加了解，这款软件使用简单。

Procmon软件功能

      1、我们可以轻松管理电脑系统资源，进程、线程一键管理，方便快捷;

      2、支持直观的列表显示功能，它可以为我们实时分析启动的进程，并为我们进行展示;

      3、专业的进程树功能，它可以为我们显示所有进程的关系链;

      4、提供了过滤设置，有了这项功能，我们就可以随心所欲的进行自定义，非常实用;

      5、支持系统查看功能，电脑系统信息一目了然，系统状态随时掌握;

      6、支持进程汇总功能，进程资源一手掌控，对系统后台进程不再脸盲;

      7、支持注册表汇总功能，注册表查看从此就是这么简单，一键即可搞定;

      8、支持堆栈汇总、网络汇总、交叉引用汇总、统计事件等功能。

Procmon软件特点

      ? 监视进程和线程的启动和退出，包括退出状态代码

      ? 监视映像 (DLL 和内核模式驱动程序) 加载

      ? 捕获更多输入输出参数操作

      ? 非破坏性的过滤器允许你自行定义而不会丢失任何捕获的数据

      ? 捕获每一个线程操作的堆栈，使得可以在许多情况下识别一个操作的根源

      ? 可靠捕获进程详细信息，包括映像路径、命令行、完整性、用户和会话ID等等

      ? Process Monitor完全可以自定义任何事件的属性列

      ? 过滤器可以设置为任何数据条件，包括未在当前视图中显示的

      ? 高级的日志机制，可记录上千万的事件，数GB的日志数据

      ? 进程树工具显示所有进程的关系

      ? 原生的日志格式，可将所有数据信息保存，让另一个 Process Monitor 实例加载

      ? 进程悬停提示，可方便的查看进程信息

      ? 详细的悬停提示信息让你方便的查看列中不能完整显示的信息

      ? 搜索可取消

      ? 系统引导时记录所有操作

Procmon使用说明

      不过这个工具的安装并没有现象中那么容易。安装过程中遭遇一个困难：Procmon was unable to allocate sufficient memory to run, Try increasing the size of your page file. 网上很多解释ASLR没有开启，但是ASLR在windows平台是默认开启的，导致ASLR关闭的原因有可能是某个软件屏蔽了ASLR。 这里最好卸载一些无关的软件，比如防火墙，或者软件下载器等。注意卸载之前要对vmware采取snapshot 以方便可以rollback。

      打开procmon之后，会一直或许windows 的系统调用(最快能达到 50,000/min)，因为procmon采用是RAM来记录这些信息，采集时间过长有可能导致虚拟机崩溃。在段时间内运行procmon之后，要采用File->Capture Events 使procmon暂停。从图一中可以看到，process Moniter显示Time of day (Time stamp), Process Name, PID, Operation, Path, Result, Detail. Procmon的信息量通常过大，要采用Filter->Filter进行信息过滤。图一中其实已经对operation进行了RegSetValue进行过滤。

      1.将bug扫地出门进行到底

      2.有史以来最稳定版本