Process Monitor
 

После запуска потребление памяти увеличивается на 1,5-3 гб.

dimka11, попробуйте установить флажок «Drop filtered events» в меню \Filter\Drop filtered events. Разумеется, задав предварительно нужные фильтры.

Как отследить установку программы в Process Monitor
 

Имею установщик программы. Хочу с помощью Process Monitor отследить что и куда копирует установщик.

Creator000, закройте лишние программы, начните ведение лога, запустите установщик. Потом лишние процессы, вроде антивируса, можно исключить из лога.

См. также [видео] Process Monitor: как отследить приложение, записывающее непонятные файлы на диск, но там известна папка заранее.

а всякие проводники csrss.exe можно исклучить? меня интересует что копируется в на жесткий и какие создаются изменения в реестре.

Creator000, да, и (внезапно!) по ссылке в видео показано и голосом рассказано, а в статье буквами написано, как именно это делается.

уже посмотрел. все исключил кроме самого установщика. и все же как смотреть что он копировал? просто написано read file название установщика и его путь c:/user/admin/desktop.

ProcessMonitor. Отследить запуск прогоаммы
 

Здравствуйте. Какие фильтры нужно установить в ProcessMonitor, что бы увидеть какие процессы запускаются в системе. Например установить фильтры, очистить список и если, например, в "Пуск-Выполнить" ввести "compmgmt.msc", мы увидим процесс mmc.exe.
P.S. Простите если не там создал тему.

Событие Process Create - создание процесса (кто Parent).
Событие Process Start - запуск.

Фильтр - Operation is.
Также дерево процессов можно посмотреть в меню Tools -> Process Tree.

Невозможно открыть лог в Process Monitor
 

Добрый день, друзья. Невозможно открыть лог в Process Monitor. Во такая ошибочка появляется (см. вложение 1) В чем проблема? И второй вопрос, что значит вот это окошко (см. вложение 2)? Товариищи, если можно поделитись документацией по данной программе, желательно на русском. Спасибо.

В блоге у Vadikan'а (например, по тэгу sysinternals). У Руссиновича, в оригинале или в переводе: Mark Russinovich по-русски - Site Home - TechNet Blogs (тэгами снабжён неудачно, так что читайте всё подряд; в любом случае пригодится).

sjsdjsoiq,

1. Unable to Open Saved ProcMon File
   
   Цитата:

   an active PML will never be readable if ProcMon does not close gracefully. This is because process lists, event indices, etc. don't get written until the file is closed. In a scenario where multiple PMLs are generated because of the length of the trace then ProcMon will generally close each PML soon after it opens a new one, and all PMLs except the last one will be readable even if the exit is not graceful.

2. Process monitor - мониторинг для продвинутых

sjsdjsoiq, по второму вопросу:
Что не получается? Создать открыть созданный файл при загрузке системы?

Всем спасибо, но с логами все равно не получается.

Создать получаеться. Открыть не получаеться. Посмотрите вложение под номером 1.

sjsdjsoiq,
Я, кажется, знаю, в чем ваша проблема. Process Monitor использует перехват системных вызовов. Подобную технологию используют некоторые руткиты. Понимаете, о чем я?? Если вы используете какое-то защитное ПО, то, вполне может быть, что оно препятствует правильной роботе программы. Я использую Comodo. Я попытался промониторить процесс загрузки системы. Программа создала лог файл. Но.... При попытке открыть созданный файл я получил такую же ошибку, как у вас.
Решение: временно отключите установленное у вас защитное ПО, не только отключите процесс в автозагрузке, но и остановите все сервисы, связанные с ним.

Казбек,
Спасибо. Проблема решена!

Process Monitor и отслеживание следов программ
 

Здравствуйте. Ситуация такова - имеются установщики программ, игр и прочего. Нужно отследить, какие папки и пути реестра создает каждый из них, когда совершается установка программы или игры. Копался в интернете, экспериментировал с фильтрами - все равно получается какая-то ерунда. С английским дела обстоят туговато.
Даже при использовании фильтров, при одном только запуске установщика, уже огромное количество записей отображалось - обращения к разным разделам реестра, и т.д. Может кто-нибудь подсказать, как упростить работу с Process Monitor? Чтобы было что-то вроде "Запустил процесс - установил - в логе показало, какие были созданы папки и записи в реестре", без кучи ненужных записей, в которых черт ногу сломит

Используйте для этого другие приложения, делающие слепок реестра и файловой системы до инсталляции и после, а затем сравнивающие их и демонстрирующие результат, навскидку: Revo Uninstaller, Ashampoo Uninstaller и т.п., имя коим — легион.

DarkTooth, если с аглицким туговато, то объяснсть как настраивать фильтр в ProcMon'е если не трата времени, то потеря его значительной части - точно, тем паче для того, чтобы отследить что куда пишется лучше использовать что-то вроде RegShot'а или WhatChanged.

У них в функционале, вроде, не указано то, что мне нужно. На всякий случай поясню - мне нужно знать, какие папки и пути реестра создаются, чтобы потом все это собрать, подправить и засунуть в один архив, дабы после переустановки системы не устанавливать и настраивать все заново, а распаковать и добавить записи в реестр двойным кликом. И если с большинством программ проблем нет, и все отслеживается легко, тот же агент меил.ру-шный, например, разбрасывает свой хлам по куче директорий, и без помощи софта его отследить проблематично.

С ним туговато, в плане "если есть инструкция полностью на английском - я могу ее не понять", так как термины там тоже будут на инглише. А так - знание оного все же получше, чем "маза-фаза-систа-браза" и "Лондон ис зе кэпитал оф Грейт Британ")

DarkTooth, это именуется «образом». Типичные представители потребного Вам функционала: Norton Ghost, Acronis True Image и т.п.

«Выкинь каку!»

Это точно не то, что мне нужно. По-моему, проще упаковать все нужные файлы в архив и потом распаковывать его на других ПК, чем и тут, и там ставить Акронис. Порой - ради проги, занимающей десяток-другой мегабайт.

Вероятно, Вы не совсем верно меня поняли. Дана куча ехе-шников, которые при установке порой создают и ненужные папки, или просто распихивают их куда попало. А я дюже не люблю, когда бывает такой бардак. Поэтому хочу проделать следующее: по-одной устанавливать проги/игры в виртуалку, настраивать все как мне нужно, потом подправить реестра записи, если понадобится. Затем - экспортировать нужные ветви реестра, скопировать папку игры/программы и все запаковать в архив. И потом, в случае переустановки системы, достаточно будет извлечь файлы, добавить записи в реестр, и все будет готово к работе. Без попыток подсунуть всякую гадость, коими изобилуют установщики (Unlocker-а, например) и без повторной возни с настройками. Это выгоднее, чем делать образ всей системы, так как порой может понадобиться что-то одно, и это одно будет под рукой, за 5 секунд готовое к работе. В общем, мне нужно превратить "папка с установщиками" в "папка с архивированными программами и играми". Без доп.софта - хватит и упаковки простым ВинРаром, сделав все остальное своими руками. Плюс, такой подход позволит ставить не в ту же папку, в какой программа была при снятии образа, если пользоваться Акронисом и ему подобными, а куда угодно, просто заменив пути в реестре.
Для кого-то это наверняка покажется извращением, но я устал от того, что при установке программ нужно тщательно следить, чтобы что-то дополнительное не установилось, что игры делают кучу папок в разных директориях, хотя можно было бы все рядом хранить, и т.д. Поскольку не у всех программ есть портейбл-версии, а уж про игры я вообще молчу, хочу сделать хоть подобие портативности.

Зная правила форума, уточню - ни о каком взломе платных программ речь не идет.

Пока не могу - всех знакомых на что-то другое не пересадишь. Да и 5-е версии относительно приличные, если сравнивать с нынешним.

Ни тут, ни там устанавливать его не надо, загрузка, создание и развёртывание образа делаете с внешнего устройства. И да — Вы писали не про «порой», не про одно приложение, а про:

Цитата:

Цитата DarkTooth Ситуация такова - имеются установщики программ, игр и прочего. »

Я ничего не путаю?

Ну, ради интереса можете этим заняться. В тутошнем разделе по автоустановке масса как образцов, так и готовых примеров.

Mail.RU и «приличное» — несовместимые понятия.

Да, не про одно. Но речи о том, что они бывают нужны все и сразу, не было. В списке установщиков одних только игр пара сотен... Речь шла именно о замене "хранилища установщиков игр и программ" на "хранилище игр и программ, готовых к использованию в любой момент, стоит только распаковать их". В случае с программами это избавит от возни с настройкой каждый раз, и от риска подцепить Adware, потеряв бдительность лишь на пару секунд. С играми - от необходимости устанавливать их всякий раз, как захочется поиграть и деинсталлировать, когда надоест. Еще и "хвосты" подчищать после этого... Распаковал-поиграл-удалил папку с игрой. Легко, быстро, удобно.

Спасибо, сейчас покопаюсь там, хоть и сомневаюсь, что найду что-то, что пригодится лично мне.

Цитата:

Цитата Iska Mail.RU и «приличное» — несовместимые понятия. »

Не спорю. Да и, будем честны, не только меил. Но если говорить именно в сравнении - 5-й гораздо лучше. Без рекламы, без вырвиглазного интерфейса 6-х версий, за собой, без спроса, тащит только альтер гео сканер, который удаляется за считанные секунды. Из множества зол он - наименьшее. Скайп не лучше, аська не особо удобная (по крайней мере, была таковой несколько лет назад). И, опять же, он все еще популярен, поэтому, общаясь с людьми, пользующимися почтой мыло.ру, держать его под рукой приходится. Но, это уже совсем оффтоп, так что, эту часть обсуждения предлагаю заканчивать.