Windows Sysinternals Suite의 프로세스 모니터(Process Monitor)는 프로세스의 분석과 디버깅을 하기 위해 레지스트리, 파일, 프로세스/스레드, 네트워크 동작 등을 실시간으로 캡처하는 프로그램이다.
주요 기능은 레지스트링 활동, 파일 시스템 활동, 네트워크 활동, 프로세스와 스레드 활동, 이벤트 프로파일링 등 모니터링 기능을 지원한다.
○ capture : 현재 상태 캡처
○ autoscroll : 최근 활동한 프로세스 목록 이동
○ clear : 프로세스 출력 내용 삭제
○ Filter : 필터링
○ Highlight : 강조할 프로세스 표시
○ Include Process From Window : 모니터링할 프로그램 선택
○ Find : 텍스트 검색
○ Jump to Object : 레지스트리 이동
Ctrl + L 키를 입력하면 프로그램 초기 실행 시 필터링할 수 있는 대화창이 출력된다. 기본적으로 모든 프로세스가 출력되므로 분석하려면 필터링 기능을 잘 사용하여 원하는 정보만 확인할 수 있도록 해야 한다.
첫 번째 필드는 프로세스 아이디, 프로세스 이름, 파일 경로, 날짜 및 시간 등 여부로 필터링이 가능하다.
현재 실행중인 프로세스 중 svchost.exe 프로세스만 출력되도록 하려면 첫 번째 필드에 Process Name를 선택하고, 입력 폼에 svchost.exe를 입력하면 된다.
만약, svchost.exe 프로세스를 제외하고 싶다면 우측의 Include를 Exclude로 선택하면 된다.
File > Save를 선택하면 현재 분석한 결과 값을 저장할 수 있는 창이 출력된다. 모든 이벤트를 저장하거나 현재 필터링 이벤트를 저장할 수 있는 옵션이 존재하며, 저장할 포맷 파일을 선택할 수 있다.
Filter > Drop Filtered Events를 선택하면 필터링을 하고 있지 않는 이벤트는 캡처하지 않으며, Filter > Highlight를 선택하면 파일을 생성하거나 실행 요청이 성공한 경우만 강조한다.
