Mark Russinovich - Advanced Windows Trobleshooting with Sysinternals Process Monitor

  • Article

https://www.microsoft.com/emea/spotlight/sessionh.aspx?videoid=346

 

Process Monitor 와 Process Explorer 에 대한 이야기 입니다. (Process Monitor 는 Filemon, Regmon 의 기능을 합친 것에 Image load, Process/Thread Create/Exit 를 모니터링 하고 최근에는 Network Filter 기능 또한 추가 되었습니다.)

Process Monitor 는 Device Driver 를 가지고 있어서 kernel 에서 일어나는 Action 을 모니터링 할 수 있습니다. (한 번 실행시켜 보시면 kernel 이 엄청나게 많은 일들을 하고 있다는 것을 아실 수 있을 것 입니다. 모든 내용을 보실 싶요 없이 Filter 를 설정하면 원하는 내용만 보실 수 있고 Drop Filtered Events 를 선택 하시면 Filter 된 내용은 저장되지 않고 버려지게 되어 저장소를 아낄 수 있습니다.)

image

Filemon 이나 Regmon 을 사용한 사람은 손을 들라고 하니 거의 대 부분의 사람이 손을 드는데 사용해 보지 않은 사람 손들라고 하니 한 명도 들지 않는군요 아마도 모두가 사용해 봤다는 것이겠죠?

Process Monitor 는 Tool 안에 몇가지 유용한 기능이 있습니다.

  • Unique Values 를 사용하여 capture 된 data 를 분류할 수 있습니다. Process Monitor 에서는 많은 Data 를 수집하게 되는데 이 것을 수동으로 확인한다는 것은 불가능에 가깝습니다. Unique Values 를 사용하면 모든 Data 중에서 중복되는 것을 제외한 Data 를 볼 수 있게 해 줍니다.
  • Count Occurrences 를 사용하여 Unique Values 의 호출 횟수를 알 수 있습니다.
  • Process, File, Registry, Stack summary 를 사용하여 통계값을 알 수 있습니다.

Option 에서 History Depth 를 사용하여 기록할 log 의 depth 를 설정할 수 있습니다.
Process Monitor 는 기본적으로 page file 을 backing file 로 사용하는데 이를 변경할 수 있습니다.