คำถามติดแท็ก procmon

คำถามนี้ถูกโยกย้ายจาก Stack Overflow เพราะสามารถตอบได้ใน Super User อพยพ 6 ปีที่แล้ว ฉันใช้อรรถประโยชน์ Sysinternals Procmon เพื่อตรวจสอบการเข้าถึงรีจิสทรีโดยบางโปรแกรม รายการบันทึกส่วนใหญ่มีคุณสมบัติเส้นทางเริ่มต้นจากHKCU\…หรือHKLM\…ที่สอดคล้องกับกลุ่มรีจิสทรีHKEY_CURRENT_USERและHKEY_LOCAL_MACHINEที่สามารถเห็นได้โดยใช้ Regedit แต่บางรายการมีเส้นทางเริ่มต้นจาก\REGISTRY\A\…: คุณช่วยอธิบายส่วนใดของรีจิสตรีได้บ้าง ฉันสามารถดูได้โดยใช้ Regedit หรือยูทิลิตี้อื่น ๆ ? ฉันสามารถเข้าถึงได้โดยใช้โปรแกรมหรือไม่ ฉันทำงานของ Windows 8.1 องค์กร x 64 UPDATE: ฉันได้ติดต่อผู้พัฒนา Procmon และพวกเขาแนะนำให้ฉันไปที่แหล่งข้อมูล MSDN ต่อไปนี้ซึ่งครอบคลุมคำถามนี้: การกรองการดำเนินการรีจิสทรีบน Application Hives ฟังก์ชัน RegLoadAppKey

22 windows-registry  regedit  sysinternals  procmon 

เมื่อฉันเรียกกระบวนการตรวจสอบผมเห็นคำขอส่งไปยังReadFileC:\$Directory สิ่งนี้หมายความว่าอย่างไร ปรับปรุง: ฉันก็เห็น$MapAttributeValueเช่นกันซึ่งดูไม่คุ้นเคยเช่นกัน

11 procmon 

เมื่อเรียกใช้ procmon บน Windows XP Pro SP3 ฉันได้รับข้อผิดพลาดนี้: Procmon.exe - ไม่พบจุดเข้าใช้งานรายการจุดเริ่มต้น InitializeSRWLock ไม่สามารถหาได้ในไลบรารีการเชื่อมโยงแบบไดนามิก KERNEL32.dll มีรุ่นสำหรับ XP โดยเฉพาะหรือไม่

9 windows-xp  procmon 

ฉันมีแล็ปท็อป Lenovo ที่มี แว่นขยายแบบเต็มหน้าจอ ฟังก์ชั่น (ซูมหน้าจอ) มันเปิดใช้งานโดยการกด ทางลัด Fn + Space . เนื่องจากฉันใช้โน้ตบุ๊กบนจอแสดงผลภายนอกซึ่งฉันไม่มีแป้นพิมพ์ที่มีปุ่ม Fn ฉันจึงต้องการเริ่มต้นแอปพลิเคชันด้วยการคลิกที่ทางลัดบนเดสก์ท็อป ด้วย SysInternals Procmon ฉันพบแอปพลิเคชันที่ทำงานหลังจากกด Fn + Space แอปพลิเคชันตั้งอยู่ที่: C:\Program Files\Lenovo\ZOOM\TpScrex.exe แต่เมื่อฉันพยายามเรียกใช้ด้วยตนเองมันจะไม่เริ่มต้น (จะไม่ซูมหน้าจอเหมือนกับการกดทางลัด) มีวิธีใดบ้างในการพิจารณาว่ามีการเปิดตัวอะไรอย่างแน่นอน (รวมถึงสวิตช์) หลังจากกด Fn + Space? ฉันพยายามวิ่งด้วย: C:\Program Files\Lenovo\ZOOM\TpScrex.exe /? C:\Program Files\Lenovo\ZOOM\TpScrex.exe /help แต่ดูเหมือนว่าไม่มีการช่วยเหลือ

1 windows  lenovo-laptop  procmon 

ฉันต้องรวบรวมบันทึกของ procmon เพื่อวิเคราะห์การแฮงค์ที่เกิดขึ้นหลังจาก windows OOBE ฉันต้องการบันทึกการติดตามการบูต ฉันได้ลองเปิดใช้งานการบันทึกการบู๊ตผ่าน UI - ไม่ทำงานเพราะ OOBE รีบูตหลายครั้งและ procmon เท่านั้นที่รีบูตครั้งแรก ฉันได้ดูที่นี่: วิธีการเปิดใช้งานการบันทึกการบูต procmon สำหรับการบู๊ตทุกครั้ง? . ความคิดเห็นส่วนใหญ่ดูเหมือนจะบอก OP ว่าจะไม่ทำในสิ่งที่เขาพยายามทำซึ่งน่าหงุดหงิดมากเพราะฉันมีเหตุผลที่ถูกต้องสำหรับการทำเช่นนั้น ฉันลองวิธีแก้ปัญหาแรก แต่ดูเหมือนจะไม่ทำงาน ฉันคิดว่าบางทีสคริปต์ที่กำหนดเองของฉันเพื่อเปิดใช้งาน regkeys เหล่านั้นไม่ทำงานในระหว่างการรีบูต OOBE ฉันจะจับบันทึก procmon ของกระบวนการ OOBE ได้อย่างไรและหลังจากนั้นทันที

windows  windows-10  boot  logging  procmon 

ฉันสังเกตเห็นว่าแอปพลิเคชัน java (IBM Webpsphere) ทำงานช้ากว่าที่เคยเป็นมาและทำ IO มากมาย เมื่อฉันเปิดกระบวนการตรวจสอบฉันเห็นพฤติกรรมแปลก ๆ : มันกำลังอ่านไฟล์คำจำกัดความไวรัสของไซแมนเทคหลายพันครั้ง คุณบอกฉันได้ไหมว่าทำไมสิ่งนี้ถึงเกิดขึ้นและจะป้องกันได้อย่างไร

java  anti-virus  io  symantec  procmon