1. 程式人生 > >ProcessMonitor檔案以及登錄檔監視器的使用

ProcessMonitor檔案以及登錄檔監視器的使用

      近期有個關於離線安裝軟體修改windows登錄檔的工作,基於這個工作,首先要搞明白線上安裝軟體時,windows登錄檔都做了哪些修改以支援軟體的安裝執行,這裡我選擇了ProcessMonitor來進行監視。

       簡介:Process Monitor一款系統程序監視軟體,總體來說,Process Monitor相當於Filemon+Regmon,其中的Filemon專門用來監視系統 中的任何檔案操作過程,而Regmon用來監視登錄檔的讀寫操作過程。 有了Process Monitor,使用者就可以對系統中的任何檔案和 登錄檔操作同時進行監視和記錄,通過登錄檔和檔案讀寫的變化, 對於幫助診斷系統故障或是發現惡意軟體、病毒或木馬來說,非常 有用。 這是一個高階的 Windows 系統和應用程式監視工具,由優秀的 Sysinternals 開發,並且目前已併入微軟旗下,可靠性自不用說。

我主要用到的就是ProcessMonitor的登錄檔監視功能,所以這裡只介紹ProcessMonitor的登錄檔監視功能。我測試的安裝百度雲網盤時登錄檔的修改情況,這裡把步驟附上:

1、在安裝過程開始後,開啟Process Monitor;
2、單擊工具欄的Filter圖示,在彈出的Process Moniter Filter視窗中,先把列表中內容Remove;
3、在選擇Process Name is 你的安裝程式的程序名,勾選 Includ,單擊Add後,在下面的列表框看到綠色勾圖示就表示新增成功了,單擊OK按鈕;
4、這個時候就會在Monitor的主視窗顯示監控的資訊,可以通過工具欄的 Register來只顯示登錄檔資訊;
5、執行安裝過程,登錄檔的修改資訊就會被記錄下來。
記得要點亮工具欄的Capture按鈕哦,不如不會捕捉(叉叉表示停止捕捉)
另外利用filter過濾器還可以篩選自己所要檢視的對應的操作,選中對應的operation後,點選add按鈕,當左側的綠色對號出現,點選應用、確定就可以進行對內容的篩選了。
我這裡主要關心登錄檔的修改資訊,所以我主要篩選出了有關注冊表修改的專案:

通過monitor的監視內容就可以看出在百度雲網盤安裝時都對登錄檔進行了哪些操作。指定其中的某一個監視項右擊進行jump to,就可以跳轉到windows登錄檔編輯器對應的鍵值中。

另外,最後我附上有關ProcessMonitor的事件翻譯: