Process Monitor란?

• Windows Sysinternals Suite에서 제공하는 도구로, Microsoft에서 제공
  • https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
• 프로세스 모니터링 및 분석, 디버깅을 목적으로 시스템의 파일 시스템, 프로세스/스레드, 파일, 네트워크, 레지스트리 동작 등을 실시간으로 캡쳐(수집)하여 모니터링 하는 프로그램
• 너무 많은 데이터를 수집한다는 점이 가장 큰 장점이자 단점
• 주요 수집 이벤트 클래스(카테고리, 유형)
  • Registry
  • Filesystem
  • Network
  • Processes
  • Profiling events

실행

• 파워쉘로 압축해제 및 실행 (참고 : https://adamtheautomator.com/procmon/)

Powershell.exe Expand-Archive -Path '~\\ProcessMonitor.zip' -Destination ProcessMonitor
~\\ProcessMonitor\\procmon.exe
.\\procmon.exe /Minimized
.\\procmon.exe /AcceptEula
.\\procmon.exe /Run32
procmon.exe /NoConnect

주요 기능

• Capture : 프로세스 로그 수집 캡쳐 on/off, 단축키 : Ctrl + E

• Filter : Ctrl + L

  

  

  

  

  

  

  

  

  

  

  

  

  

  

  

  

• Autoscroll : 최근 활동한 프로세스 목록 이동

• Clear : 캡쳐된 프로세스 출력 내용 초기화

• Filter : 필터링 설정(프로세스 명 / PID / 경로 등등), 단축키 : Ctrl + L

• Highlight : 강조할 프로세스 표시

• Include Process From Window : 모니터링할 프로세스 선택