• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Как подготовить лог Process Monitor (Procmon)?

fseto

Активный пользователь
Сообщения
1,437
Реакции
320
Баллы
383
Как подготовить лог Process Monitor(Procmon)

Программа Process Monitor является усовершенствованным инструментом отслеживания для Windows, который в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков. В этой программе сочетаются возможности двух ранее выпущенных программ от Sysinternals: Filemon и Regmon, а также огромный ряд улучшений, включая расширенную и безвредную фильтрацию, всеобъемлющие свойства событий, такие как ID сессий и имена пользователей, достоверную информацию о процессах, полноценный стек потока со встроенной поддержкой всех операций, одновременную запись информации в файл и многие другие возможности. Эти уникальные возможности делают программу Process Monitor хорошим инструментом для выявления неполадок и вредоносных программ.

Рассмотрим пару примеров, когда применение программы актуально. Например, при попытке открыть .jpeg файл, картинка не открывается или при запуске Google Chrome появляется ошибка.
Анализируя лог Procmon’а можно увидеть, какие процессы происходили в системе при обращении к программе Google Chrome и чем была вызвана ошибка. Рассмотрим работу программы на примере ошибки Google Chrome.



Скачайте Process Monitor (для 32/64-bit версии Windows один файл) или с нашего зеркала. Распакуйте на рабочий стол. Перед запуском, закройте все активные программы, чтоб в панели задач фигурировал только Procmon.


1. Запустите программу. Появится главное окно прогрммы и окно фильтра. В окне фильтра поочередно нажмите Reset, Apply, Ok. Программа автоматически начнет работу. Иногда, при запуске, программа автоматически начинает работу без представления окна фильтра. В таком случае, остановите захват(Ctrl + E), откройте окно фильтра(Ctrl + L), поочередно нажмите Reset, Apply, Ok, сбросьте захваченный протокол(Ctrl + X), снова запустите работу(Ctrl + E).

7777.jpg


2. Сымитируйте действия, последствия которых, Вы хотите захватить. В данном случае запустите Google Chrome, появится ошибка:

Безымянный.jpg


3. Остановите захват(Ctrl +E), сохраните лог(Ctrl+S). (Чтоб избежать объёмного лога, пункты 1, 2, 3, проделайте быстро).

34.jpg


4. File -> Save ... -> Сохраните лог в формате PML. Заархивируйте лог и выложите на форум.

post.jpeg

5. Если нельзя будет залить архив из за большого размера, то загрузите его на файлообменник, а ссылку на архив прикрепите в сообщении.


Благодарю Koza Nozdri за помощь.
 
Последнее редактирование модератором:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
5,010
Баллы
743
Добавлю: если сбойное приложение запускается во время загрузки системы или сразу после загрузки системы, что вы даже не успеваете запустить Procmon, тогда:
- скачайте и запустите Process Monitor;
- в окне Process Monitor нажмите на значек фильтра > в окне фильтра нажмите RESET > APPLY > OK
- меню Options -> включите флажок - Enable Boot Logging;
- перезагрузите компьютер;
- после загрузки сбойного приложения запустите Process Monitor;
- остановите захват(Ctrl +E) или нажмите на лупу;
- сохраните лог(Ctrl+S) или меню File -> Save -> PML-формат;
- сохраненный лог запакуйте в архив и выложите на файлообменник.
 

akok

Команда форума
Администратор
Сообщения
17,567
Реакции
13,421
Баллы
2,203
Тему перенес и немного обновил.
 

AndreyXpV7

Активный пользователь
Сообщения
60
Реакции
34
Баллы
188
Прочитал тему и не понял трёх вещей:
во-первых, какое отношение к теме "Как подготовить лог Process Monitor(Procmon)" имеет программа Process Explorer?
во-вторых, когда я щёлкаю по ссылке "Так же предлагаю для желающих справку в формате pdf,от microsoft. ", мне предлагают авторизоваться, хотя я уже авторизован, справки не увидел;
в-третьих, если использовать ссылку "https://safezone.cc/attachments/process-explorer-7z.21757/", то скачивается версия справки 15.23, хотя есть более свежая версия 16.04, да и для программы Process Monitor я тоже в своё время делал справку, так что можно добавить ссылку в тему или саму справку: справка для Process Explorer находится в папке Архивная версия, а справка для Process Monitor находится в папке Обновлённая версия
 

akok

Команда форума
Администратор
Сообщения
17,567
Реакции
13,421
Баллы
2,203
Обратите внимание, что тема от 2015 года. Я не все переделал как нужно.
 
Сверху Снизу