Из Презентации Black Hat_Process Monitor I

Честно сказать, у меня давно уже была задумка сделать тезисное описание основных программ, с которыми работаем, читаю блоги марка Руссиновича, но марк сам сделал всю эту работу осталось только перевести. Очередной раз спасибо Марку.
Сегодня я подготовил краткой описание Process Monitor, взятое из презентации Марка Руссиновича на Black Hat.

Process Monitor
• Process Monitor – программа для мониторинга файлов, реестра, процесса и потоков в режиме реального времени
• Он заменяет Filemon и Regmon
       • Более расширенная фильтрация
       • Операция со стеком вызовов
       • Протоколирование загрузки
       • Просмотры анализа данных
• Когда сомневаешься, грузи Process Monitor
       • Он покажет, что вызвало причину ошибки
       • В большинстве случаев указывает причину низкой производительности
Как работает Process Monitor
• Process Monitor использует драйвера устройства
        • Добавляет драйвер в \Windows\System32\Drivers
        • Устанавливает драйвер
        • Удаляет файлы драйверов
• Запрашивает «Отладчик Программ» с правами пользователя
       • Первый запуск запрашивает «Грузящийся Драйвер» с правами пользователя

Как работает Process Monitor (продолжение)
• Мониторинг реестра
       • Для Windows 2000, Windows XP 32-bit: хуки системных вызывав
       • Для Windows XP 64-bit, Server 2003 и Vista: обратный вызов реестра
• Мониторинг файловой системы
       • Драйвер файловой системы
• Загрузка образов
       • Обратный вызов менеджера памяти загрузки образа
• Процесс/поток создание/завершение
       • Обратный вызов процесса/потока ядра
• TCP/IP
       • ETW события, созданные TCPIP.sys

Это слайды 41-46. Надеюсь, вы нашли для себя что-то полезное и сильно не перегрузил иняормацией.