Использование Process Monitor для отслеживания изменений в реестре

21592
CChriss

Похоже, многим нравится использовать Process Monitor, чтобы увидеть, какие изменения вносятся в реестр во время процесса. Итак, я скачал это.

Я хочу посмотреть, какие изменения вносятся в реестр некоторыми изменениями конфигурации, которые я делаю на своем компьютере, чтобы я мог записать их в сценарий VBS, чтобы сделать их легко. Может кто-нибудь сказать мне, как управлять Process Monitor для захвата информации? В справке не вижу как это сделать.

Я использую Windows 7 Home Premium 64 бит.

7
Какая ОС? Кроме того, он не запускается в браузере. KCotreau 12 лет назад 0
If it matters I should've been more clear and said that the right pane of the Help is where the message comes up. The left side pane is the navigation with the Contents, Index, and Search tabs. CChriss 12 лет назад 0
Да, это имеет все значение. Мой ответ больше не применяется. [удалять] James T 12 лет назад 0
Я добавил новый ответ для тебя. Сначала я неправильно понял вопрос. Надеюсь, это полезно сейчас. James T 12 лет назад 0
Вы запустили его из загруженного ZIP-файла или распаковали все файлы в каталог, а затем запустили? KCotreau 12 лет назад 0

2 ответа на вопрос

7
James T

В каталоге, в котором находится procmon.exe, также должен быть файл с именем procmon.chm (если вы извлекли их в то же место). Щелкните правой кнопкой мыши на procmon.chm и свойствах. Затем нажмите «Разблокировать».

Вы столкнулись с проблемой, описанной здесь .

Редактировать:

Теперь для решения актуального вопроса.

  1. Откройте монитор процесса.

  2. Фильтры, вероятно, появятся. Нажмите reset, чтобы сбросить фильтры, и нажмите OK. В противном случае вы можете открыть их с помощью Ctrl-L и нажать кнопку сброса.

  3. На верхней панели инструментов есть значок, который выглядит как перекрестие с кругами (8-й слева). Перетащите это в окно (config), чье действие вы хотите наблюдать (если вы хотите отфильтровать этот процесс). В противном случае вы можете загромождать свои показания действиями других процессов.

  4. Очистите журнал активности (ctrl-x).

  5. Теперь внесите изменения в конфигурацию и посмотрите, как пролетают ключи реестра.

@CChriss О, верно ... забыл, что есть еще вопрос. Я обновил свой ответ снова. James T 12 лет назад 0
Works great. Thank you again for all your help. CChriss 12 лет назад 0
@JamesT, я получаю слишком много захваченной информации, связанной с реестром, когда использую этот метод с `gpedit.msc`. Поскольку это, вероятно, будет другой проблемой, я открыл другую ветку: http://superuser.com/questions/946123/how-can-i-use-process-monitor-to-detect-register-changes-made-by -gpedit-modifica Sopalajo de Arrierez 8 лет назад 0
2
Joe Internet

Файлы CHM (скомпилированный html) по умолчанию «блокируются» в качестве меры безопасности в Windows 7. Найдите файл справки, который принадлежит Process Monitor, просмотрите его свойства и нажмите кнопку разблокировки.

Что касается самого Process Monitor, он собирает много данных, поэтому вы захотите попытаться отфильтровать то, что вы ищете. Вы можете сделать это несколькими способами. Вы можете просто захватить все данные в файл захвата, а затем открыть его, чтобы отфильтровать просмотренные данные - это все равно сохранит все ваши данные. Вы также можете настроить свои фильтры так, чтобы они захватывали только те данные, которые вы хотите видеть, и сохраняли их - менее требовательные к ресурсам, но вы теряете данные, которые, возможно, захотите увидеть позже.

Если вы скачали только Process Monitor, я предлагаю взглянуть на остальные инструменты, доступные в Sysinternals Suite. Они отлично подходят для устранения неполадок и лучшего понимания работы Windows.

+1. Now that I actually can look into the Help I didn't see any instructions on how to do what I need Proc Mon for. CChriss 12 лет назад 0

Похожие вопросы