Как работает Process Monitor (продолжение)
• Мониторинг реестра• Для Windows 2000, Windows XP 32-bit: хуки системных вызывав
• Для Windows XP 64-bit, Server 2003 и Vista: обратный вызов реестра
• Мониторинг файловой системы
• Драйвер файловой системы
• Загрузка образов
• Обратный вызов менеджера памяти загрузки образа
• Процесс/поток создание/завершение
• Обратный вызов процесса/потока ядра
• TCP/IP
• ETW события, созданные TCPIP.sys
Классы событий
• Файловая система (Filemon)
• Включая команду I/O и детали ввода и вывода
• Реестр (Regmon)
• Включает все данные (первую 16-битную часть REG_BINARY и первые 2048 байт для остальных типов)
• Процесс
• Создание и завершение процессов
• Создание и завершение потоков
• Загрузки образов, включая драйвера
• Сеть
• Трассировка сети
• Профилактики
• Вспомогательные инструменты для создания снимков процессов
Свойства события• Детали события
• Продолжительность, процесс, поток, детали и тому подобное
• Информация о процессе
• Командная строка
• Пользователь
• Сессия и вход в сессию
• Образ информации
• Время начала
• Стек потока на время события
Фильтрация
• Чтобы отфильтровать какое-то значение, кликните правой кнопкой по линии и выберете атрибуты и из Include (включить), Exclude (исключить) или Highlight (выделить цветом)• Вы можете выбрать несколько свойств одновременно
• Когда у Вас установлен фильтр «выделить по цвету», Вы можете двигаться по выделенным свойствам события
Комментариев нет:
Отправить комментарий