Сохранение Фильтров для Более позднего Использования

После того, как Вы конфигурируете фильтр, можно сохранить его для более позднего использования. Это позволяет Вам перезагружать и применять сложные фильтры быстро или легко переключаться между различными наборами фильтра. Можно также экспортировать свои сохраненные фильтры и импортировать их на другую систему или для другой учетной записи пользователя.

Чтобы сохранить фильтр, выберите, Сохраняют Фильтр от меню Filter и вводят имя для этого как показано в рисунке 4-13. Procmon предлагает Фильтр 0, Фильтр 1, и так далее, как значения по умолчанию. Вы могли бы хотеть выбрать более описательное имя, как "операции Записи IE."

Рис. 4-13. Диалоговое окно Фильтра Сохранения.

Чтобы загрузить и применить сохраненный фильтр, выберите это из подменю Load Filter в меню Filter. Фильтры перечисляются в меню в алфавитном порядке. (См. рисунок 4-14.)

Рис. 4-14. Меню Procmon Load Filter.

Можно переименовать или удалить фильтры с Организовывать диалоговым окном Фильтров, как показано в рисунке 4-15. Выберите Организуют Фильтры из меню Filter. Чтобы экспортировать фильтр, выберите это в списке, нажмите кнопку Export, и выберите расположение файла. Прокмон использует *.PMF расширение, чтобы идентифицировать файлы фильтра Procmon. Чтобы импортировать фильтр, щелкните по Import и выберите экспортируемый фильтр Procmon.

Отметьте, что сохраненные и экспортируемые фильтры получают только правила фильтра. Выделитесь правила могут быть сохранены только, экспортируя конфигурацию Procmon (который также включает правила фильтра). См., что "Импорт и Экспорт Настроек Конфигурации" разделяют позже в этой главе для получения дополнительной информации, и "Автоматизации Procmon: параметры командной строки" разделяют для информации о загрузке сохраненных конфигураций от командной строки.

Рис. 4-15. Procmon Организуют диалоговое окно Фильтров.

Дерево процесса.

Нажатие Ctrl+T или щелчок по кнопке на панели инструментов Process Tree выводят на экран диалоговое окно Дерева Процесса, показанное в рисунке 4-16. Диалоговое окно Дерева Процесса выводит на экран все процессы, на которые ­ссылаются в загруженной трассировке в иерархии, которая отражает их отношения отцов и детей, подобные структурному виду Просекспа. Можно свернуть или развернуть части дерева, щелкая плюс (+) и минус (-) значки налево от родительских процессов в дереве, или выбирая те узлы и нажимая левые и правые клавиши со стрелками. У процессов, которые являются выровненные вдоль левой стороны окна, есть родительские процессы, которые не генерировали событий в трассировке.

Рис. 4-16. Диалоговое окно Дерева Процесса.

Каждое имя процесса появляется рядом со своим соответствующим значком приложения. Значок недоступен если процесс, из которого выходят во время трассировки. Показать только процессы, которые все еще работали в конце текущей трассировки, установило соответствующий флажок наверху диалогового окна.

Выберите строку, чтобы вывести на экран информацию о процессе в нижней части диалогового окна. Информация включает PID, описание, канал передачи изображения, командную строку, запустите время, остановите время (если применимый), название компании, и учетная запись пользователя, под которой работает процесс. Ту ­информацию также показывают в таблице непосредственно, наряду с графическим изображением временной шкалы процесса.

Столбец Life Time показывает временную шкалу процесса относительно трассировки или к сеансу начальной загрузки, в зависимости от того, выбирается ли опция Cover Displayed Events Only Временных шкал. С выбранной опцией зеленая панель, идущая от края до края, указывает, что процесс работал в это время запущенная трассировка и все еще работал когда законченная трассировка. Зеленая панель, которая начинается далее направо (например, последний видимый элемент дерева в рисунке 4-16) указывает относительное время запуска процесса после того, как трассировка началась. Более темно-зеленая панель указывает на процесс, который выходил во время трассировки с ее степенью, указывающей, когда во время трассировки это выходило. Если опция Cover Displayed Events Only Временных шкал не выбирается, графики указывают на времена жизни процесса относительно сеанса начальной загрузки: зеленая панель ближе к левому краю столбца указывает на процесс, который работал, так как системный запуск или это начались вскоре после.

В дополнение к графическому показу отношений отцов и детей процессов, включая тех, которые с тех пор вышли, Дерево Процесса может помочь идентифицировать необычные условия, такие как ­недолгие процессы, создаваемые много раз.

Выбор процесса в дереве и нажатие кнопки Include Process добавляют, что PID - правило к фильтру с PID выбранного процесса. Щелчок по Include Subtree добавляет, что PID - правило для выбранного процесса и всех его потомков в дереве.

Чтобы счесть событие в трассировке связанным с процессом, выберите процесс в дереве и щелкните по Go To Event. Procmon определяет местоположение и выбирает первое видимое событие в трассировке в основном окне Procmon. Отметьте, что фильтры могут препятствовать тому, чтобы процесс имел любые видимые события. Например, процесс, возможно, не выполнил кода во время трассировки, но все еще появляется в дереве из-за событий Process Profiling, которые обычно фильтруются из дисплея.