系统进程管理器

procmon是一款功能强大的系统进程管理器软件，使用它可以监视Windows系统里程序的运行情况，监视内容包括该程序对注册表的读写、对文件的读写、网络的连接、进程和线程的调用等。本次发布的procmon汉化版，全界面已经汉化。

其实Procmon与Process Monitor是一个同一款软件，仅仅新老版本的名称做了更改。

procmon 系统进程管理器可显示实时文件系统，注册表与进程/线程活动。procmon结合了两个传统Sysinternals实用程序Filemon与 Regmon的功能，并添加了N多增强功能，包含丰富与非破坏性过滤，全面的事件属性，如会话ID与用户名，可靠的流程信息，配置集成符号支持的完整线程堆栈对于每个操作，同时记录到文件等等。其特别的强大功能将使procmon成为了系统故障排除与恶意软件搜索工具包的核心实用程序。

Process Monitor是一个用于windows的监视软件，可显示实时系统，进程/线程与注册表活动，它可以监视并记录对于Microsoft Windows 注册表尝试的所有操作。Process Monitor可用于检测读取与写入注册表项的失败尝试。它还允许过滤特定的密钥，进程，进程ID与值。除此之外，它还显示了应用程序怎么使用文件与DLL，检测系统文件中的一些严重错误等。

procmon汉化版汇集了两个强大的Sysinternal实用程序--Filemon与Regmon的功能。这款软件具有先进与安全的过滤功能，全面的事件属性，配置符号支持的完整线程堆栈等等。

Process Monitor为广大网友提供了一个全面的系统故障排除与恶意软件搜索工具。

Process Monitor 不仅结合了 Filemon(文件监视器) 与 Regmon(注册表监视器) 两个工具的功能，还具有以下一些增强：

监视进程与线程的启动与退出，包含退出状态代码

监视映像 (DLL 与内核模式驱动程序) 加载

捕获更多输入输出参数操作

非破坏性的过滤器允许你自行定义而不会丢失任何捕获的数据

捕获每一个线程操作的堆栈，使得可以在很多情况下识别一个操作的根源

可靠捕获进程仔细信息，包含映像路径、命令行、完整性、用户与会话ID等等

完全可以自定义任何事件的属性列

过滤器可以设置为任何数据条件，包含未在当前视图中显示的

高级的日志机制，可记录上千万的事件，数GB的日志数据

进程树工具显示所有进程的关系

原生的日志格式，可将所有数据信息保存，让另一个 Process Monitor 实例加载

进程悬停提示，可方便的查看进程信息

仔细的悬停提示信息让你方便的查看列中不能完整显示的信息

搜索可取消

系统引导时记录所有操作

procmon汉化版功能详解：

1、文件系统监视

Process Monitor显示所有的Windows文件系统活动，包含本地磁盘与远程文件系统。Process Monitor会自动探测到新的文件系统设备并监听它们。所有的系统路径都会被显示为相对于当用户会话中的一个文件系统操作的执行。例如，如果用户A把挂载的一个共享作为Z:盘符，则在Process Monitor中，所有对这个共享的操作都会被显示为相对于驱动器Z:。想在列表中清除文件系统的操作，在Process Monitor工具栏上反选文件系统按钮，再次点击可以增加对文件系统的监听。

2、注册表监视

Process Monitor记录所有的注册表操作并显示使用常见的注册表根键缩写来显示注册表路径(如HEKY_LOCAL_MACHINE 缩写为HKLM)。想在列表中清除注册表的操作，在Process Monitor工具栏上反选注册表按钮，再次点击可以增加对注册表的监听。

3、进程监视

在它的进程/线程监听子系统中Process Monitor跟踪所有进程与线程的创建与退出操作，包含DLL与设备驱动程序的加载操作。 想在列表中清除进程的操作，在Process Monitor工具栏上反选进程按钮，再次点击可以增加对进程的监听。

4、网络监视

Process Monitor使用Windows事件跟踪(ETW)来跟踪并记录TCP与UDP活动。每个网络操作包含源与目标地址，还具有发送与接受到的一些数量的数据，但不包含真实的数据。想在列表中清除网络的操作，在Process Monitor工具栏上反选网络按钮，再次点击可以增加对网络的监听。

5、性能分析

这个事件类可以在选项菜单中启用。当处于启用状态，Process Monitor扫描系统中所有活动的线程并为每个线程生成一个性能分析事件，记录了内核模式与用户模式的CPU时间消耗，还具有很多在上个性能分析事件后已被线程执行的环境开关。

procmon 系统进程管理器的监控与过滤功能：

1、可以为任何数据字段设置过滤器，包含未配置为列的字段。

2、高级日志记录体系结构可扩展到数千万个捕获的事件与千兆字节的日志数据。

3、进程树工具显示跟踪中引用的所有进程的关系。

4、本机日志格式保留所有数据以便在不同的Process Monitor实例中加载。

5、处理工具提示，便于查看过程图像信息。

6、仔细信息工具提示可以方便地访问不适合列的格式化数据。

7、为操作输入与输出参数捕获更多数据。

8、非破坏性过滤器允许您设置过滤器而不会丢失数据。

9、捕获每个操作的线程堆栈使得在很多情况下可以识别操作的根本原因。

10、可靠地捕获进程仔细信息，包含映像路径，命令行，用户与会话ID。

11、任何事件属性的可配置与可移动列。

12、可取消的搜索。

13、所有操作的引导时间记录。

procmon系统进程管理器汉化版使用方法：

1、下载procmon V3.2 汉化版压缩包，解压缩后直接运行procmon.exe启动软件。

2、procmon会自动扫描分析系统当前程序的运行情况。

3、在界面右上角的工具栏上的几个图标，这4个常见按钮作用分别为：捕获开关、清屏、设置过滤条件、查找。他们分别表示注册表的读写、对文件的读写、网络的连接、进程与线程的调用与配置事件。

4、简单来讲，Process Monitor可以监控进程及其对系统做出的更改，主要包含文件写入、注册表与加载的DLL与设备等多种信息，并且能根据条件筛选。

筛选过滤可以根据多种条件作出精确的筛选，例如根据父进程ID、文件名，映像路径、文件描述、公司名等多种条件设置仅显示或排除。假设你要监控QQ运行后做了什么，则可以通过QQ的进程ID进行筛选。

5、筛选之后列表中将仅显示进程相关的结果，可以看到应用程序运行后，写入的注册表、文件。并且右键还可以跳转到修改的文件、注册表的键值等。

注意事项：

第一次打开procmon程序，可能杀毒软件与安全软件会有安全提示，请点击允许操作，procmon是系统监控软件，所以会出现安全提醒。