手动查杀（一）：Process Monitor的初级使用方法

Process Monitor一款系统进程监视软件，总体来说，Process Monitor相当于Filemon+Regmon，其中的Filemon专门用来监视系统中的任何文件操作过程，而Regmon用来监视注册表的读写操作过程。 有了Process Monitor，使用者就可以对系统中的任何文件和注册表操作同时进行监视和记录，通过注册表和文件读写的变化， 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说，非常 有用。 这是一个高级的 Windows 系统和应用程序监视工具，由优秀的 Sysinternals 开发，并且已并入微软旗下，可靠性自不用说。

下载地址:
官方下载：https://learn.microsoft.com/zh-cn/sysinternals/downloads/procmon
汉化版本：https://www.123pan.com/s/AHfDVv-BuhD3.html

一、基础知识

命令行选项：
本人最常用的命令行是 /AcceptEula(自动接受最终用户许可协议，不显示对话框)

最快加载项：
Userinit项应该是已知的应用程序启动最早的一个启动项，
既然我们的目的是要监视进程的操作，那肯定是启动越早越好了。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\Windows\\system32\\userinit.exe,C:\MySP\调试工具\ProcessMonitor\ProcessMonitor-v3.10.exe /AcceptEula,"

二、环境搭建

在开启监控调试之前，一定要准备一个纯净的系统环境，这样得出的监视结果才可能最追求。
以无盘系统为例，新建初始配置，挂盘升级无盘客户端；
然后开超级，激活系统，装一个远程工具，设置好Process Monitor的启动项；
这样一个干净的调试环境就做好了

三、使用方法

3.1：捕获
软件启动后默认进入捕获状态，只要你不暂停，它就会一直捕获系统所有进程的操作。
随着时间的推移，捕获到的事件越来越多，所占用的系统资源也就越来越多。
一般情况下，都是监控完所要监控的软件操作后，就给暂停掉，快捷键Ctrl+E。

3.2：进程树
最常用的功能之一，用以监控某个软件都打开了哪些进程，就算消失了，再进程树内也可以看到。
点击工具栏如下图标，就可以很清楚的看到历史上哪些进程都开启了哪些子进程，哪个子进程又属于那个父进程。
双击进程树内的进程，可以立即定位到该进程的第一次启动事件。

进程树功能，主要用于回溯进程启动历史；
其中包括进程的启动时间，结束时间，用户名，进程PID，启动命令行等信息……
还可以方便我们快速定位要查看的进程所在日志位置。

3.3：信息过滤
Process Monitor启动后，会捕获所有的进程的信息，正常监视十来分钟，事件条目就能上百万；
如果想在上百万条日志里面找到自己想要的信息，就需要熟练使用信息过滤功能了。

包含该进程之后，软件会列出该进程的所有操作；
如：注册表活动日志，文件系统活动日志，网络活动，进程和线程活动信息。
我们可以用过勾选或者取消相关类型，来灵活显示其活动日志。
如下图演示的，只显示H5game.exe的文件活动日志。

当然， 要想显示回其它信息，只需要删除对应的筛选条件即可。

PS：信息过滤功能为所有监视类软件的最核心功能，需要熟练掌握改操作。

3.4：瞄准枪
当有一些窗口不知道其对应进程的时候，可以使用该功能进行快速定位。

3.5：查找
当一个文件不知其来源的时候，我们就可以使用查找功能，快速定位。

总结

Process Monitor是一个很好很好的进程监控软件，
这篇文章介绍了其大概使用方法和常用功能。
熟练使用这些功能，可以帮助你快速解决工作当中遇到的问题。

当然，有一些恶性木马病毒。会检测Process Monitor或者火绒之类的监视软件，一旦发现其运行，就会自动退出或者干脆就不干那些见不得人的勾当了。遇到这类情况要学会使用其它驱动级监控分析软件辅助排查。