工具收集 - 进程资源管理器、进程监视器

进程资源管理器 v17.06

有没有想过哪个程序打开了特定的文件或目录？ 你现在可以搞清楚了。进程资源管理器可显示有关打开或加载了哪些句柄和 DLL 进程的信息。

进程资源管理器界面由两个子窗口组成。 顶部窗口始终显示当前活动进程的列表，包括其所属帐户的名称，而底部窗口中显示的信息取决于进程资源管理器所处的模式：如果它处于句柄模式，你将看到顶部窗口中选择的进程已打开的句柄；如果进程资源管理器处于 DLL 模式，则会看到进程已加载的 DLL 和内存映射文件。 进程资源管理器还具有强大的搜索功能，可快速显示哪些进程打开了特定的句柄或加载了 DLL。

进程资源管理器的独特功能可用于跟踪 DLL 版本问题或句柄泄漏，并提供 Windows 和应用程序工作方式的见解。

进程监视器 v4.01

进程监视器 是 Windows 的高级监视工具，可显示实时文件系统、注册表和进程/线程活动。 它结合了两个旧版 Sysinternals 实用工具（Filemon 和 Regmon）的功能，并添加了广泛的增强功能列表，包括丰富的非破坏性筛选、全面的事件属性（如会话 ID 和用户名）、可靠的进程信息、具有每个操作的集成符号支持的全线程堆栈、同时记录到文件等等。 其独特强大的功能将使进程监视器成为系统故障排除和恶意软件搜寻工具包中的核心实用工具。
进程监视器功能概述

进程监视器具有强大的监视和筛选功能，包括：

• 为操作输入和输出参数捕获更多数据
• 使用非破坏性筛选器，可以在不丢失数据的情况下设置筛选器
• 在许多情况下可以捕获每个操作的线程堆栈，以识别操作的根本原因
• 可靠捕获进程详细信息，包括图像路径、命令行、用户和会话 ID
• 任何事件属性的可配置和可移动列
• 可以为任何数据字段设置筛选器，包括未配置为列的字段
• 高级日志记录体系结构可扩展到数千万个捕获的事件和千兆字节的日志数据
• 进程树工具显示跟踪中引用的所有进程的关系
• 本机日志格式保留所有数据，以便在不同的进程监视器实例中加载
• 进程工具提示可用于轻松查看进程图像信息
• 详细信息工具提示允许方便地访问不适合列的格式化数据
• 可取消搜索
• 所有操作的启动时间日志记录

熟悉进程监视器功能的最佳方式是通读帮助文件，然后在实时系统上访问其每个菜单项和选项。

参考资料

https://learn.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
https://learn.microsoft.com/zh-cn/sysinternals/downloads/procmon
PsTools