[NtX]

Напишу сюда, чтобы новую тему не создавать. Заодно и автору может быть полезным.

Я хочу собрать лог созданных файлов при установке программы. Для удобства взял инсталлер java.
Порядок действий такой: запуск procmon, установка java, остановка захвата событий в procmon, затем открываю дерево процессов и найдя запущенный установщик из-под explorer фильтрую события по нему с учётом дочерних процессов. Однако возникает проблемка - в список отфильтрованных событий не попадает часть файлов из каталога c:\Program Files\Java\jre1.8.0_311\bin. Это произошло потому что из-под wininit был запущен msiexec, который запускает явовский installer.exe. И вот... т.е. мне нужно анализировать получается вообще всё дерево? Я как-то сильно рассчитывал на "Add process and children to include filters", а этого получается недостаточно. Можно как-то связать эти события? Или в procmon как-то просто исключить все уже имеющиеся процессы до запуска установщика, но исключать не поодиночке потому что тот же wininit нельзя же исключать прямо с дочерними процессами.