» Sysinternals (Microsoft) Process Monitor

книга, которая точно должна висеть в этой шапке.
не знаю как красиво её втиснуть в архитектурный ансамбль.
поэтому под ковриком.
спасибо bmp1405

folta
За неё конечно, пасибо, но выкладывать "подарки" в виде "кота в мешке", как-то э... некрасиво. Архив называется "Книга.rar", файл в ней "Russinovich_M._Utility_Sysinternals.pdf". Чо таке, на каком языке? Пока не скачаешь - хрен поймёшь. А учитывая, что половине народу такая книга на английском нах ненужна, то всё это вообще "не комильфо"...
Подарки, оно это, дарить надо уметь...

Добавлено:

Вот здесь находится простая, но полезная справка на русском для Process Monitor 3.03. Данная справка предназначена для тех, кто только начинает понимать, что Windows - это не только симпатичные значки и окошки.

Приветствую всех!
Подскажите пожалуйста, как можно отследить, какой процесс обращается к флоппику?

Цитата:

Подскажите пожалуйста, как можно отследить, какой процесс обращается к флоппику?

А что здесь сложного? Узнаёте букву диска, которая назначена флопику. Затем создаёте фильтр, используя эту букву. Допустим, мой флопик имеет букву F, тогда:
Path | begins with | F:\ | include
+ можно установить флажок Drop filtered events из меню Filter, чтобы файл трассировки не заполнялся лишними событиями. Теперь включаете мониторинг и ждёте (при необходимости вы можете изменить размеры окна программы, чтобы видеть появляющиеся записи, и установить флажок Always on Top из меню Options, чтобы окно программы всегда было поверх других окон).

Andreyxpv7
Не работает. Создал фильтр:

но даже при открытии проводником диска a:\ в лог ничего не попадает.

А в флопике есть дискета? К тому же, по-моему, достаточно одного фильтра Path | begins with | F:\ | include, то есть удалите все остальные, сбросив к значениям по умолчанию. Затем выполните чтение какого-либо файла с дискеты.

Дискета есть. Как оказалось - фильтры не срабатывают, если в флопповоде неотформатированная (или битая, которую проводник просит отформатировать) дискета.
Мониторю дальше, кто же к нему обращается...

Привет всем!
При запуске ругается "Невозможно установить драйвер Process Monitor"
Что делать прикажете? Да, WinXP 32, оригинал.
Подскажите, плиз!

ru1956
Это кто-то его блокирует - антивирус или HIPS-система.
Да, надеюсь запуск идет не из под пользователя с ограниченными правами?

sewell
Но ведь версия 2.91 работает при тех же условиях!
WinXPPro Rus, SP3. HIPS нет, антивирус ESS 4.2, сообщений других нет.

ru1956 10:27 21-03-2013
Цитата:

Но ведь версия 2.91 работает при тех же условиях!

Можно попробовать удалить старые дрова из:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet???\Enum\Root
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet???\Services
Хотя, сомневаюсь, что это поможет. У меня в XP SP3 такого, как у вас, не наблюдалось.

p.s. Больше кажется, что причина в этом:
Цитата:

Это кто-то его блокирует - антивирус или HIPS-система.
Да, надеюсь запуск идет не из под пользователя с ограниченными правами?

addhaloka
В журнале нет записей.
Попробую почистить журналы, и попробую!
А причем здесь удаление дров, он же при запуске драйвер подгружает!

ru1956

Цитата:

При запуске ругается "Невозможно установить драйвер Process Monitor"
Что делать прикажете? Да, WinXP 32, оригинал.

1. Для версии 3.03 ключ драйвера вот здесь:HKLM\SYSTEM\CurrentControlSet\Services\PROCMON23 (посмотрите похожий ключ для вашей версии, возможно, изменены права доступа к нему для вашей учётной записи)
2. А откуда вы запускаете программу (папка, съёмный диск)? Возможно, проблема в этом:
Большинство утилит Sysinternals представляет собой 32-разрядные исполняемые образы, не требующие установки в систему (portable). Они содержат все необходимые файлы, которые при запуске программы извлекаются в папку, в которой находится её исполняемый файл, а если эта папка недоступна для записи (например, если она расположена на носителе, доступном только для чтения) - во временную папку текущего пользователя (%TEMP%). Утилиты сами удаляют все извлечённые файлы, когда потребность в них отпадает.
Примечание: исполняемые файлы, извлечённые в %TEMP%, не смогут запуститься, если из разрешений соответствующей папки удалены разрешения на исполнение.
Большинство утилит Sysinternals, использующих драйвер режима ядра, извлекают файл драйвера в папку %SystemRoot%\System32\Drivers, загружают драйвер в память и удаляют файл. Образ драйвера остается в памяти до выключения ПК. При запуске новой версии утилиты с обновлённым драйвером может потребоваться перезагрузка для загрузки в память нового драйвера.

Process Monitor v3.04
March 27, 2013
[more=Updates:]Procmon, a power system activity monitor, now includes support for new Windows 8 file information query types and fixes a bug in the tooltip handling.[/more]

Русский Process Monitor v3.04: здесь и здесь

Такая дурацкая проблема на пустом месте. Захотел посмотреть, как фурычит один Бейсик с DLL, написанной на Фортране. DLL писал на gfortran. Но сначала для объективности решил попробовать присобачить эту DLL к программе, написанном на другом фортрановском компиляторе: Silverfrost FTN95. Линкер не цепляет DLL. Интернет подсказал, что это из-за того, что gfortran и коммерческие компиляторы используют разные способы декорирования названий функций. Пробовал сделать DLL из объектного файла с помощью GoLink, который имена не декорирует. Вышел облом: в объектном файле оказались ссылки на две внешние функции, -free и -malloc (понятно, работа с памятью). Найти их в стандартной библиотеке libgfortran.a не удалось.

Конечно, можно свалять DLL на чем-то другом, но я уже завелся. По логике, gfortran во время компиляции обращается к неким файлам библиотек, где должны быть нужные функции. Собственно, вопрос: как отследить работу с файлами gfortran.ехе, консольной программы, которая запускается только на время компиляции и после нее тут же закрывается? Как настроить на нее фильтр Process Monitor? Или нужно использовать какую-то другую утилу?

Программа одна ругается на Process Monitor!!! Как сменить его имя, окна программы? Hex не помогает поменять.. и она ..64.exe скрытая создается в папке TEMP

Добавлено:
Все разобрался, IDA Pro - Интерактивный дизассемблер, меняет название Process Monitor на что хочешь, и её не видят уже другие проги

Можно ли как-то скрыть эту программу от другой программы? Запустил Process Monitor, затем изучаемую программу и она мне вываливает окно сообщения, что, мол, обнаружена мониторящая программа. И после нажатия единственной кнопки ОК закрывается.

DmitryKz
если x86 система, то HideToolz [можно азять здесь: http://fyyre.ivory-tower.de/]

DrakonHaSh
Спасибо, система, правда, x64, так что проверю на виртуальной ХР..

Хм, эта зараза Фемидой защищена и очевидно драйвер обнаруживает.
Что тут можно сделать?

DmitryKz
v1 сначала запустить приложение, а лишь затем монитор
v2 OllyDbg + Phantom Plugin 1.85
v3 http://www.rohitab.com/apimonitor/
ну и комбинация этих вариантов

вспомнил еще один способ: запускать procmon из под админа, а прогу из под ограниченной учетки.

+ в 2008 году патчил procmon для схожей задачи, тогда помогло: http://rghost.ru/45987656

Цитата:

в 2008 году патчил procmon

Вау! Спасибо - то, что нужно, Фимка не увидела этот вариант
А вариант с запуском из разных учеток не сработал - ругается на мониторящую программу.

Andreyxpv7

Цитата:

При запуске новой версии утилиты с обновлённым драйвером может потребоваться перезагрузка для загрузки в память нового драйвера.

А ларчик то просто открывается!
Достаточно было перезагрузить систему!
Спасибо тебе, мил человек

Process Monitor v3.05:
[more=Обновление]Process Monitor is a powerful file, registry, process, thread and network monitoring tool. This update adds a context-menu entry that opens the filter edit dialog with contents prepopulated with the specified row and column value.[/more]

Русский Process Monitor v3.05: здесь и будет здесь

А Process Monitor возможно отучить хранить настройки в реестре?

Stanner
спасибо за русский !!!