标签: procmon

我使用 Sysinternals Procmon 实用程序来监视某些程序对注册表的访问。大多数日志条目都有从HKCU\…或开始的 Path 属性HKLM\…，它对应于注册表配置单元HKEY_CURRENT_USER并且HKEY_LOCAL_MACHINE可以使用 Regedit 看到。但有些条目的路径从\REGISTRY\A\…：

你能解释一下它是注册表的哪一部分吗？我可以使用 Regedit 或其他一些实用程序查看它吗？我可以以编程方式访问它吗？

我正在运行Windows 8.1 Enterprise x64。

更新：我已经联系了 Procmon 开发人员，他们向我指出了以下涵盖此问题的 MSDN 资源：

• 在 Application Hive 上过滤注册表操作
• RegLoadAppKey 函数

当我运行Process Monitor 时，我看到ReadFile请求发送到C:\$Directory.

这到底是什么意思？

更新：

我也看到了$MapAttributeValue，这看起来也很陌生。

有没有办法检测哪个进程正在更改 Windows 7 上的文件？

我知道 procmon 是一个很棒的工具，但无法弄清楚如何做到这一点，即使可能。

问题是我有一个被某个应用程序更改的文件，我想找出哪个文件。

在 Windows XP Pro SP3 上运行 procmon 时出现此错误：

Procmon.exe - 未找到
入口点 在动态链接库 KERNEL32.dll 中找不到过程入口点 InitializeSRWLock。

有专门针对XP的版本吗？

更新（已解决）声音来自我的扬声器，仅此而已。当我在一个小洞里畏缩了几个星期时，我要感谢（并请求原谅）所有花时间思考这个问题的人。从技术上讲，Twisty 的评论最接近应得的奖励，但如果没有对这个问题的任何实际答案，我可能不会奖励任何人。再次感谢您的帮助。

更新 2我使用磁盘管理使磁盘脱机，它仍然像以前一样点击。这是否意味着这仅仅是硬件问题？如果它处于离线状态，操作系统如何触发任何访问？某种主板问题？

更新我开始认为这可能与第二个磁盘的控制器有关。这是一个相当便宜的驱动器，我刚为这个空间买了它，所以可能做的事情没有它应该做的那么好。安装的唯一驱动程序是默认的 Window one。这提出了几个问题：

1. 当没有明确尝试访问硬盘时，硬盘可能会“点击”是否有充分的理由？
2. 这种偶尔的后台工作是操作的正常部分吗？
3. 当另一个磁盘（第一个磁盘）被显式访问时，这可能会被触发或加剧吗？

原始问题

我的 Window 7 PC 有一个 SSD 作为启动盘，包含所有程序安装和用户数据，还有一个辅助硬盘，我用来存储大文件、电影和音乐等。

当在我的 PC 上执行几乎任何涉及对第一个磁盘的磁盘访问的操作时，第二个磁盘都会出现突发活动（声音很大，很难忽略）。特别是，加载网页会导致持续的活动，直到页面被加载 - 我已经用几个不同的浏览器检查过，结果是一样的。然而，当什么都不做（即让我的计算机空闲）时，没有明显的磁盘活动，所以大概是有什么东西触发了它。

我已经对罪魁祸首进行了通常的搜索 - 使用进程监视器、进程资源管理器和资源监视器，并且看不到任何对第二个驱动器的访问的痕迹。我什至通过在驱动器上创建几个文件来检查我没有做错任何事情 - 这些文件被工具完美地拾取，但没有记录任何其他听到的活动。我尝试禁用我的防病毒软件，但没有区别。

鉴于我无法使用常用工具获取此活动的任何痕迹（不过我当然可以听到！），是否有人对可能导致此活动的原因有任何建议？关于我接下来可以寻找什么的任何建议？某种硬件问题？磁盘是全新的。

任何帮助都感激不尽 ：）

系统信息：

• 视窗 7 SP1
• 防病毒软件：Avast 2014.9.0.2021
• 磁盘 1：OCZ 顶点
• 磁盘 2：HGST HTS721010A9

请注意，由于以下原因，我认为这不是此问题的完全重复：

1. 他们的问题似乎是定期访问之一，而我的磁盘访问似乎是由某些操作触发的（并且在什么都不做时不会发生）。
2. 没有辅助磁盘访问的实际记录- 资源监视器没有峰值，procmon 中没有报告的文件访问。
3. 我已尝试按照答案的建议关闭服务，并且在无法再关闭之前对磁盘访问没有任何影响。

我在 DiskMon 中运行了跟踪，但不确定如何协调扇区号与对第二个磁盘的实际访问。也许有人可以就此提出一些建议？DiskMon 是否监控系统上的所有物理磁盘？

某处正在修改注册表项中的值，我想对其进行跟踪。

我想我可能会设置 ProcMon 来观察那个值，但据我所知，它只过滤到键。在那个级别对我来说噪音太大了。

我目前正在使用 procmon 来解决涉及网络文件的问题。本地网络上的另一台PC将小的“命令”文件写入目标机器，然后目标机器使用它们——即它们被读取、操作和删除。

还有另一个文件，目标计算机每秒更新一次并由其他网络计算机读取。

运行一段时间后，网络计算机将无法访问它们从目标计算机读取的文件。文件被永久锁定 - 主机无法再更新它（共享冲突）。该问题似乎与 MsMpEng.exe（Microsoft Security Essentials）在命令文件首次出现时尝试获取命令文件有关，但我想将发生的情况与传入请求相关联。Procmon 似乎没有显示这些。

ProcMon 是否可以配置为捕获网络计算机对本地文件系统的访问？它是否与默认添加到新过滤器中的神秘排除块有关？

几天前，我的笔记本电脑（运行 Windows 10）出现了一些问题；常见应用程序（浏览器、VLC 等）的加载需要很长时间。尽我所能调查，我找不到原因。经过几次重新启动、检查和扫描后，问题似乎就消失了。

然而，一路上我注意到每秒有数十个（如果不是数百个）进程（主要是注册表操作）具有不成功的返回值，如ProcMon中所示。例如：

| Process Name | Operation  | Path                                     | Result         |
|--------------|------------|------------------------------------------|----------------|
| svhost.exe   | RegOpenKey | HKLM\System\CurrentControlSet\[...]\Keys | REPARSE        |
| svhost.exe   | RegOpenKey | HKLM\System\CurrentControlSet\[...]\Keys | NAME NOT FOUND |

尽管svhost.exe经常涉及，但许多其他流程也会发生这种情况。

我知道某些流程显示这些结果是可以预料的。然而，他们的频率似乎非常可疑。我运行了几次病毒/恶意软件扫描，对我的 SSD 进行了检查，但找不到任何东西。所以我决定格式化我的系统分区并重新安装Windows。令我惊讶的是，我仍然发现了很多相同的内容。

以下是该列的频率表Results，使用默认的 ProcMon 过滤器，在大约 30 秒的空闲监控后：

由于案件数以千计，单独调查任何一个案件并没有多大意义。然而什么都不做却让我感到不安。

我的问题：如此高频率的不成功结果是我应该担心的吗？如果是这样，接下来我可以尝试哪些步骤？

请注意，在重新安装 Windows 之前我没有格式化整个驱动器；在此之前，我想听听您的一些观点。到目前为止我尝试过的工具：

• chkdsk（没有要修复的内容）
• fsc /scannow（无需修复）
• MalwareBytes 全面扫描（未检测到威胁）
• Avast Premium 全面扫描（未检测到威胁）
• Windows Defender 全面扫描（未检测到威胁）