Process Monitor汉化版是一款好用的系统进程管理和监控查看工具，使用这款工具可以对进程以及线程进行监控，可以有效地查看注册表发生的变化，并且包含了Filemon 和 Regmon两个组件，其中Filemon专门用来监视系统中的任何文件操作过程，而Regmon用来监视注册表的读写操作过程，有需要的用户欢迎下载。

主要特色

1、捕获操作的输入和输出参数的更多数据

2、非破坏性过滤器，允许您设置过滤器而不会丢失数据

3、捕获每个操作的线程堆栈，在许多情况下它可以找出一个操作的根源

4、可靠捕获进程的详细信息，包括映像路径、命令行、用户和会话 ID

5、任何事件属性的可配置和可移动列

6、可将过滤器设置为任何数据字段，包括未配置为列的字段

7、高级日志记录架构，扩展到数以百万计的捕获事件和千兆字节的日志数据

8、进程树工具显示在跟踪中引用的所有进程的关系

9、本机日志格式保存，在不同的 Process Monitor 实例中加载的所有数据

10、进程工具提示，方便查看进程映像信息

11、详细信息工具提示，允许方便地访问不适合的列数据格式

12、可取消搜索

13、所有操作的启动时间日志

使用教程

1，开超级用户，双击打开程序，把用户许可允许了，否则开机的时候会要求许可。为了让程序尽快的启动，建议将程序添加到注册表userinit 项中。

2，设置程序右上四个监视都打开，分别是注册表，文件，网络，进程线程。程序启动后就会监视系统绝大部份操作了。简单说一下，操作中 readfile 表示读取文件，WriteFile表示写入文件。

点击工具栏如下图标，可以查看进程树，可以很清楚看到历史上哪些进程属于哪个父进程。注意这里是历史记录也就是他消失了也能看到。所以还是有很有用。这里显示 我们的dbntcli.exe启动了自身并启动c_deskico.aex来处理桌面图标摆放，并导入了一些用户的注册表。还启动了 smss.exe 这个深蓝防逃费程序。

3，这里可以看我们的程序 DBNTclie.exe 给ser200这台机子的 tcp端口 21983发送了消息，并接收了消息。tcp send(TCP发送) ， TCP Receive (TCP接收)，并写入文件(Writefile) kdsm.exe 这个文件(从服务器ser200下载的)

4,因为消息太多，我们无法一一看完，所以我们选择过滤图标，打开过滤窗口，汪厍 WriteFile 也就是只看写入文件的日志。

5，这下就只有写入文件的日志，一目了然。

6，可以看到explorer.exe 写了 tldrdll.bat 文件，但我们并没有操作，难道explorer.exe中毒了。

7，找到资源管理，双击process tab，有一个不明的dll注入 PKWSSNGT.dll

8，这个文件是哪的呢?返回主界面搜索，就可以找到是哪个程序释放的了