深入了解系统监控:Procmon 实用指南
1. 过滤与高级输出
在系统监控中,Procmon 提供了多种过滤选项,以帮助用户聚焦于特定的系统活动。以下这些低级别操作通常会被默认过滤:
- 名称以IRP_MJ_开头的操作,这些是 Windows 驱动用于文件或设备 I/O、即插即用(PnP)、电源管理等 I/O 相关功能的 I/O 请求包。
- 名称以FASTIO_开头的操作,它们类似于 I/O 请求包,但由 I/O 系统使用,借助文件系统驱动程序或缓存管理器来完成 I/O 请求。
- 以 “FAST IO” 开头的结果,例如 “FAST IO DISALLOWED”。
- 涉及系统页面文件的活动。
- NTFS 和主文件表(MFT)的内部管理操作。
若要查看这些被过滤的操作,可以在过滤器菜单中选择 “启用高级输出”。启用该选项后,将移除除分析事件外的所有过滤规则,并显示文件系统操作的驱动级别名称。例如,在基本模式下的 “创建文件” 操作,在高级模式下会显示为IRP_MJ_CREATE。若取消 “启用高级输出”,则会重新应用上述过滤规则,恢复基本模式的操作命名。当启用高级输出时,重置过滤器会移除除排除分析事件外的所有过滤规则。此外,若想查看所有系统活动并保留友好的事件名称,可以在不开启高级模式的情况下移除默认过滤器。
2. 过滤器的保存与使用
配置好过滤器后,可以将其保存以便后续使用。这样做的好处是能够快速重新加载和应用复杂的过滤器,或者轻松在不同的过滤器集之间切换。同时,还可以导出保存的过滤器,并将其导入
