Process Monitor使用实例方法
Windows系统和应用程序监视工具 Process Monitor V2.93 绿色汉化版
如果玩得很顺手,可以让我们快速了解一个软件他是怎样与系统互动结合的。这里我们来举两个场景,了解一下如何去使用Process
Monitor。一个是程序UI界面设置所对应的注册表,一个是程序对文件的操作。
可能有这样的一些情况,我们在企业中部署了某一些软件,然后要对软件标准化,包括UI,功能设置等等的标准化。我相信管理员应该不会愿意一台机器一台机器去设置,设上几百遍。这时候我们可能想到使用组策略来做,有一些软件会提供一些ADM或是ADMX文件,比如微软的office,有了这些文件,倒是轻松了。但并不是所有的软件都会提供这些,管理员可能需要自己去制作这样的一些ADM或是ADMX文件,而这项工作的第一步,或许就是从将软件UI设置找到对应的注册表开始。这里我们就拿calc计算器程序来试下手吧,让他启动时默认启用科学型,
而不是标准型
1、启动Process Monitor,选择Fiter菜单中的Fiter
2、打开以后,添加process is calc.exe
3、同时添加operation is RegSetValue
4、完成以上操作后,我们再去打开calc.exe,并将标准型切换成科学型,便可以从process monitor中看到相应注册表项了,选择jump to便可打开到相应的注册表项
而对于另外的一个文件操作的例子,我们经常可以在论坛中看到有人提问说文件经常是默名其妙的被修改了,或是被隐藏了。像类似这样的问题,我们关键的是要找出到底是哪个程序在做怪,一般可以启用审核功能解决,这里我们也可以使用Process Monitor来解决
1、同样启动Process monitor,打开filter,设置path值为文件夹的路径
2、做为测试,我们将test文件夹隐藏,便可以在Process Monitor中看到explorer.exe这个进程对文件夹做了修改
