Process Monitor已推出V2.0了,我注意其中最大的改變是多了兩種擷取記錄: Network Activity及Profiling Events。

Network Activity檢視可以錄下程式透過網路對外溝通的狀況,等於把TCP View的功能也整合進來。如此可以一併看程式讀寫什麼檔案,接著透過網路對哪些主機收發資料,對軟體行為的剖析能力又更上一層樓。

以上回說過的C#下載網站檔案為例,Process Monitor 2.0可以抓到程式連線網站下載檔案的活動記錄。

 

Profiling Events則是要求Process Monitor定期掃瞄系統所有Active Thread的Kernel Mode/User Mode CPU耗用狀況,Context Switch次數等等。

由於Process Monitor抓取資料的範圍愈來愈豐富,很短時間內就會累積十分可觀的Event數目,對系統是項負擔(我發現2.0起啟動及停止擷取時會有幾秒的Delay)。如果你並不需要事後調整Filter及切換File/Registry/Network檢視,可以利用選單Filter/Drop Filtered Events將不符合設定條件的事件丟棄,整體操作會輕巧許多,但如此會喪失事後重調Filter抓出線索的機會,如何取捨視需要而定。

另外,Tools Menu裡有不少有用的工具,Process Tree可以展開類似Process Explorer的Process從屬結構樹狀圖,Unique Values可列出某欄位所有出現過的值,而Count Occurences則可進一步統計某欄位各值出現的次數。

Process Monitor又更威了!


Comments

# by cappella

WINDOWS 2000 不能執行.... 會出現找不到程序輸入點在 ws2_32.dll

Post a comment


64 + 18 =