Procmon

Procmon是一款国外专业的进程管理器，它可以显示系统中所有正在运行的进程，并显示进程时间、进程名、进程PID、进程操作、进程路径、进程结果等等。点击鼠标右键还可以查看进程详细属性、堆栈、书签切换、跳转到、在线搜索等等，如果你发现系统中有不寻常的进程在偷偷运行，可以使用这款Procmon绿色免费版软件进行详细检查。

Procmon系统进程管理器是一个功能强大的系统检测工具，不但可以监视进程/线程，还可以关注到文件系统，注册表的变化.它包含2个Sysinternals遗留组件:Filemon 和 Regmon，并添加了大量功能。总体来说Process Monitor相当于Filemon+Regmon，其中的Filemon专门用来监视系统中的任何文件操作过程，而Regmon用来监视注册表的读写操作过程。有了Procmon，使用者可以对系统中的任何文件和注册表操作同时进行监视和记录，通过注册表和文件读写的变化，对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说，非常有用。这是一个高级的 Windows系统和应用程序监视工具，由优秀的Sysinternals开发，并且目前已并入微软旗下，可靠性自不用说。

使用方法

1、下载并解压，双击 [Procmon汉化版 v3.20.0.0.exe] 打开软件，软件会自动加载系统所有正在运行的进程。

2、我们随便选中一个进程，例如迅雷下载，点击鼠标右键，选择属性。

3、在Process选项卡中可以查看到迅雷这个进程的详细信息，包括PID、架构、父PID、虚拟化、会话ID、完整性等等。

4、在Stack选项卡中可以查看到迅协这个进程的使用模块，并显示模块所在的位置。

5、选中进程后点击鼠标右键，选择跳转到...

6、会跳转到该进程所在的目录下。

命令行

/OpenLog <PML文件> 打开一个之前保存的事件文件
/BackingFile <PML文件> 在指定的后备文件中保存事件
/PagingFile 在虚拟内存中保存事件
/NoConnect 启动时不自动收集事件
/NoFilter 启动时清空过滤器
/AcceptEula 自动接受许可协议 (不显示一个对话框)
/LoadConfig <文件> 加载先前已保存的配置文件
/Profiling 启用线程分析特性
/Minimized 以最小化启动此程序
/WaitForIdle 等待 ProcMon 的一个实例准备就绪
/Terminate 结束所有 ProcMon 实例并退出
/Quiet 启动时不确认过滤器设置
/Run32 运行32位版本，以加载32位日志文件(仅 x64 版本)
/HookRegistry 钩住注册表，以便解决 Softgrid 疑难问题 (仅 x86 Vista)
/SaveAs <路径> 导出到一个 XML，CSV 或 PML 文
/SaveAs1 <路径> 导出时包含堆栈追踪(仅XML)
/SaveAs2 <路径> 导出时包含带符号的堆栈追踪(仅XML)
/SaveApplyFilter 导出前应用当前过滤器