通过微软的Sysinternals acquisition，微软发布了一款名为Process Monitor v1.12e的故障修复工具软件……

　　近期，通过微软的Sysinternals acquisition，微软发布了一款名为Process Monitor v1.12e的故障修复工具软件。Process Monitor基本上是早前的两个Sysinternals组件：Filemon和Regmon的联合增强体。

　　那么，如果你是一个系统管理员，并且你正在遭受恶意程序的侵扰，发现了一个一般性的错误的话，去看一下你的文件发生了怎样的变化，否则你要去监测Windows注册表，进程以及线程，并且你需要在实时进行这些操作，那么Process Monitor是一款适合你的工具软件。

　　大多数应用在报告问题/错误方面做的操作很少，并且它们常常不能为那些不是很有经验的用户检测出这些问题。一旦发生被恶意软件感染的情况，也不会进行清理系统的操作，除非你能够在Windows中使用一个高级的故障发现修复工具。默认情况下，Windows操作系统并不是简单支持这样的工具。

　　然而，Process Monitor故障探测修复工具能够帮助找到问题和整个更多的部分。使用这个新工具，你能够监控进程和线程，动态链接库(DLL)和驱动器装载，注册表和文件系统改变，以及日志文件捕获。

　　如果你曾经使用过Filemon 或者Regmon组件的话，你知道他们中的每一个都具有局限性，也就是：

　　1.两个程序的彼此独立令它很难去响应事件。

　　2.对于不存在的来说，过滤方法显得粗糙。

　　3.缺少详细的事件信息。

　　4.不能在进程中被查看，尤其是那些短时存在的进程的情况下(尽管通过使用进程浏览器能够除去那些错误)。

　　5.其中的可测量性缺乏，不能在过度使用的系统上处理大量发生的线程。

　　6.You can also use Process monitor to capture data during a boot, logon or logoff. 在一个导入，登陆或者注销期间，你也能够使用Process monitor去捕获数据。

　　下面是一些新Process Monitor能够解决的局限性

　　1.程序被结合到一起，并且它们捕获的数据能够在一个程序窗口中查看。

　　2.快速过滤是非常易用，并且表现在大部分使用于管理过滤需求。高级过滤将会使你只看到你需要查看的数据。在工具栏中，有三个按钮迅速地过滤程序中的结果来显示你捕获的进程/线程，注册表以及最终文件系统的数据。这些过滤并不被破坏，这样的话，你可以在无须失去任何捕获数据的情况下，进行打开或者关闭操作。

　　3.进行了列操作的详细的事件信息收集从查看数据和记录所有数据日志中被选定。

　　4.它会监控进程/线程，以及进程/线程的创建/退出。

　　5.Process Monitor能够进行扩展，它能够监控10000000个时间，以及超过5G的进程数据。

　　6.Most shortcuts from Filemon and Regmon are the same. 大多数的快捷键同Filemon 和Regmon中的是一样的。

　　7.Process Monitor提供基本和高级两种模式。基本模式不能使用Process Monitor活动性，页面文件，系统进程以及NTFS格式文件。

　　8.进程树是一个很好的工具能够显示一个进程所处的位置，以及怎样将一个进程和另外的进程作关联。它让你在数据捕获和开始你的故障修复中，迅速地向下钻取进程。

　　Process Monitor使用的通用故障探测及处理

　　假设，你遇到了一个声称是常见错误消息，比如检查磁盘空间，不能打开文件或者运行维护进程。好了，到底是发生了什么问题?这种类型的错误消息在确定问题究竟是哪一个以及如何解决问题上并没有什么帮助。使用Process Monitor，应用于你的应用，复制问题，并且查看真正的问题。通常，你将会找到公用的妨害，权限许可问题，或者是文件检查问题。

　　故障检修员查找导致一个问题的根源。Process Monitor能够显示功能请求(function-call)历史堆栈数。你使用堆栈数去查找一个功能，查找哪个功能启动了它，查找哪个功能启动了第二个功能，等等。直到你找到整个栈中最开始的那个功能。这时候你就会确定这个功能栈中的源头。当你正在查找的进程在svchost中，许多进程使用运行他们的普通进程时，就会变得简便。

　　假设你有一个运行的应用，并且想要了解它是做什么用得。打开Process Monitor，点击并锁定从窗口工具项按钮中包括的进程，然后释放到运行中的应用窗口。Process monitor将会过滤捕获到的数据去显示刚刚的那一个应用。

　　假如你不能查看动态链接库的名称，但你知道DLL存在的路径。使用Process Monitor，复制这个问题，在被捕获的数据中查找需要查看的动态链接库，你将会发现真正的原因不是不能查看，而是程序认为它无法找到动态链接库。

　　在一个占用系统资源较少的系统上，注册表经常被提及(尽管不是Vista，因为微软声称它是罕有的系统占用资源少)。这表明这个系统很少被写入应用。使用Process Monitor去查找哪一个程序被执行。

　　想要查看一个文件夹是经常被访问么?使用工具->文档摘要。这个工具将会查看每一个独立文件夹，并且会显示此文件夹是如何被打开，关闭，等等操作。

　　总的来说，你能够使用Process Monitor去解决一个应用或者甚至是Windows的不足，并且让一个问题系统回归到他的最初运行状态。它具有很多功能和选项能够解释很多问题。微软作了一份很好地解释文档Process Monitor具有的所有特性，并且还有一个有用的视频文件Process Monitor作者Mark Russinovich解释这个工具的功用。

      TechTarget独家授权，严禁转载

     原文链接：http://searchwincomputing.techtarget.com/tip/0,289483,sid68_gci1253512,00.htmlfficeffice" />