背景:监控本地的所有进程,查看分别写入了啥文件,读取了啥文件。
进程监视器 是 Windows 的高级监视工具,可显示实时文件系统、注册表和进程/线程活动,能实时监控文件、注册表、进程/线程活动,且记录详细的时间戳、操作结果和堆栈信息。
-
下载并运行
- 访问 Sysinternals Process Monitor ,点击"下载进程监视器"(2.9Mb)
- 解压后以管理员身份 运行
Procmon.exe(需要管理员权限才能捕获所有事件)
-
设置过滤器
- 启动后,工具会立即开始捕获所有系统事件,需先暂停(按
Ctrl+E或点击工具栏的"捕获"按钮) - 点击菜单 Filter → Filter... (或按
Ctrl+L)打开过滤器对话框 - 添加以下两个条件(点击 Add 分别添加):
- 第一个条件 :
Process Nameis你的程序名.exe(例如notepad.exe) - 第二个条件 :
OperationisWriteFile
- 第一个条件 :
- 选择 "Include" 并点击 Apply,这样只会显示目标进程的写入操作。
- 启动后,工具会立即开始捕获所有系统事件,需先暂停(按
-
开始监控
- 再次按
Ctrl+E开始捕获 - 运行或操作你的目标 .exe 程序,Process Monitor 会实时显示所有写入的文件路径、写入长度、结果等信息。
- 再次按
-
保存与分析
- 监控结束后,可再次按
Ctrl+E暂停 - 可通过 File → Save... 将日志保存为
.PML文件(支持后续在 Process Monitor 中重新加载分析) - 在列表中,
Path列即为被写入的文件完整路径;Detail列显示写入的字节数等详细信息。
- 监控结束后,可再次按