冠霖的部落格

Process Monitor 屬於 Windows 進階監控工具，並顯示即時檔案系統、登錄和處理序 / 執行緒活動。它結合了兩個舊版 Sysinternals 公用程式 (即 Filemon 和 Regmon) 的功能，還新增了更廣泛的增強功能清單，包括豐富和非破壞性的篩選功能、詳細的事件內容 (像是工作階段 ID 和使用者名稱)、可靠的處理序資訊、完整的執行緒堆疊搭配每個作業的整合性符號支援、同時登入檔案 ...等等。它獨特的強大功能，針對系統疑難排解和獵取惡意程式碼工具組兩方面，將 Process Monitor 打造成為其核心公用程式。

超過 Filemon 和 Regmon 的 Process Monitor 增強功能

Process Monitor 的使用者介面選項與 Filemon 和 Regmon 的使用者介面選項相似，但是前者是從無到有所撰寫，而且還包含了以下許多重要的增強功能：

。處理序的監控、執行緒啟動與結束，包括結束狀態碼。
。映像的監控 (DLL 和核心模式裝置驅動程式) 載入。
。針對作業輸入和輸出參數的更多資料擷取。
。非破壞性篩選可以不會失去資料的情況下，設定篩選器。
。針對每項作業進行執行緒堆疊擷取，並在許多情況下辨識作業的根本原因。
。可靠的處理序詳細資料擷取，包括映像路徑、命令列，與使用者和工作階段 ID。
。任何事件屬性的可設定與可移動式欄位。
。篩選器可以對任一資料欄位進行設定，其中包括並非設定成資料行的欄位。
。針對數百萬擷取的事件和 GB 的記錄資料，擁有進階的記錄結構規模。
。處理序樹狀工具顯示所有追蹤中的參考處理序之間的關係。
。原生記錄格式保留了在不同的 Process Monitor 執行個體中載入的所有資料。
。Process 工具提示提供簡易檢視處理序映像資訊的功能。
。詳細的工具提示在存取不符合欄位中的格式化資料時，變得更為方便。
。可取消搜尋。
。開機時記錄所有系統動作。

中文化說明：(2007-10-09 中文化 : YoYo)

壓縮檔內含 [卸載.reg]；要移除程式請雙按 [卸載.reg] 再移除程式目錄即可。
一些 Process Monitor 使用的相關整理，請至：http://www.centurys.net/index.php 查閱。

檔案內含教學(轉錄)
1.用 Process Monitor 找出程式釋放的語言檔
2.Process Monitor 基本操作教學
3.使用 ProcMon 五分鐘內破案的經典案例
4.使用 Process Monitor + Syscheck 移除木馬

http://www.microsoft.com/technet/sysinternals/utilities/processmonitor.mspx