Использование Process Monitor для отслеживания изменений в реестре
Похоже, многим нравится использовать Process Monitor, чтобы увидеть, какие изменения вносятся в реестр во время процесса. Итак, я скачал это.
Я хочу посмотреть, какие изменения вносятся в реестр некоторыми изменениями конфигурации, которые я делаю на своем компьютере, чтобы я мог записать их в сценарий VBS, чтобы сделать их легко. Может кто-нибудь сказать мне, как управлять Process Monitor для захвата информации? В справке не вижу как это сделать.
Я использую Windows 7 Home Premium 64 бит.
2 ответа
В каталоге, в котором находится procmon.exe, также должен быть файл procmon.chm (если вы извлекли их в то же место). Щелкните правой кнопкой мыши на procmon.chm и свойствах. Затем нажмите "Разблокировать".
Вы столкнулись с проблемой, описанной здесь.
Редактировать:
Теперь для решения актуального вопроса.
Откройте монитор процесса.
Фильтры, вероятно, появятся. Нажмите reset, чтобы сбросить фильтры, и нажмите OK. В противном случае вы можете открыть их с помощью Ctrl-L и нажать кнопку сброса.
На верхней панели инструментов есть значок, который выглядит как перекрестие с кругами (8-й слева). Перетащите это в окно (config), чье действие вы хотите наблюдать (если вы хотите отфильтровать этот процесс). В противном случае вы можете загромождать свои показания действиями других процессов.
Очистите журнал активности (ctrl-x).
Теперь внесите изменения в конфигурацию и посмотрите, как пролетают ключи реестра.
Файлы CHM (скомпилированный html) по умолчанию "блокируются" в качестве меры безопасности в Windows 7. Найдите файл справки, который принадлежит Process Monitor, просмотрите его свойства и нажмите кнопку разблокировки.
Что касается самого Process Monitor, он собирает много данных, поэтому вам нужно попробовать и отфильтровать то, что вы ищете. Вы можете сделать это несколькими способами. Вы можете просто захватить все данные в файл захвата, а затем открыть его, чтобы отфильтровать просматриваемые данные - при этом все ваши данные сохранятся. Вы также можете настроить свои фильтры так, чтобы они захватывали только те данные, которые вы хотите видеть, и сохраняли их - менее требовательные к ресурсам, но вы теряете данные, которые, возможно, захотите увидеть позже.
Если вы скачали только Process Monitor, я советую взглянуть на остальные инструменты, доступные в Sysinternals Suite. Они отлично подходят для устранения неполадок и лучшего понимания работы Windows.