Vimisoft studio process monitor что это
filecheck .ru
Вот так, вы сможете исправить ошибки, связанные с vmonproc.exe
Информация о файле vmonproc.exe
Описание: vmonproc.exe не является необходимым для Windows. Файл vmonproc.exe находится в подпапках «C:\Program Files». Размер файла для Windows 10/8/7/XP составляет 233,472 байт. 
У процесса нет видимого окна. Это не системный процесс Windows. Процесс начинает работать вместе с Windows (Смотрите ключ реестра: MACHINE\Run ). Vmonproc.exe способен мониторить приложения. Поэтому технический рейтинг надежности 48% опасности.
В случае, если вы испытываете проблемы с использованием vmonproc.exe, Вы можете искать помощи на сайте Vimicast, или удалить программу (Пуск > Панель управления > Установка и удаление программ > IM Magician или Uninstall IM Magician).
Важно: Некоторые вредоносные программы маскируют себя как vmonproc.exe, особенно, если они расположены в каталоге c:\windows или c:\windows\system32. Таким образом, вы должны проверить файл vmonproc.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
Лучшие практики для исправления проблем с vmonproc
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
vmonproc сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
По программе Process Monitor дано уже довольно-таки много материала, да и изучение основ функционирования утилиты всегда было доступно даже для неподготовленного пользователя. Но все же, я лично не совсем понимал многие аспекты работы (а некоторые не понимаю до сих пор :), поэтому и решил набросать очередную заметку по поводу данной, весьма полезной утилиты, дабы впоследствии можно было использовать статью как своего рода подсказку. Если рассматривать любую операционную систему с точки зрения обобщения, то можно условно дифференцировать её на блоки кода/данных, которые взаимодействуют между собой на основе определенных закономерностей. Чтобы приблизиться к привычным нам терминам, будем считать упомянутый блок процессом, объединяющим в себе и код и данные, предназначающимся для решения определенной задачи. Таким образом, взаимодействие между подобными процессами и составляет (за некоторым исключением) понятие функционирования операционной системы. Во время работы операционной системы, в ней выполняется большое количество процессов и назначение любого из этих процессов может варьироваться в достаточно широком диапазоне.
На ум сразу приходят основные, наиболее вероятные сценарии применения Process Monitor:
Как это работает
Похоже, через этот драйвер-фильтр проходят все события, отслеживаемые Process Monitor. В дополнение к этому, Process Monitor использует технологию Трассировки событий (ETW, Event Tracing for Windows), как минимум для наблюдения за событиями сетевой активности. Не совсем пока ясно, тот же драйвер используется в качестве контроллера и получателя для ETW или же сам исполняемый модуль? Напомню, что ETW это своеобразная расширяемая система журналирования, встроенная в систему Windows, реализованная на уровне ядра и позволяющая (по запросу) собирать события от приложений пользовательского режима и модулей режима ядра. А как мы знаем, практически во все компоненты операционной системы включена возможность отслеживания выполняемых операций. Понятное дело, что функционал ETW значительно шире, он предоставляет обширнейшую информацию по функционированию: переключение контекста, статистика по прерываниям, отложенные вызовы процедур (DPC), процедуры обработки прерываний (ISR), создание и уничтожение процессов и потоков, дисковый ввод-вывод, ошибки страниц, переходы процессора между режимами в рабочем состоянии (p-state), операции с реестром, и многое другое.
Интерфейс
Перед запуском неплохо было бы получить исполняемый модуль утилиты. Скачать Process Monitor можно отсюда. Утилита распространяется в виде портабельного приложения и не требует инсталляции, а просто может быть извлечена из архивного файла в произвольную директорию, что крайне полезно при диагностировании с переносных носителей и при интегрировании в среду предустановки (WinPE).
В случае запуска Process Monitor с установленными в предыдущих сеансах работы фильтрами, программа открывает окно настройки фильтров (Filter). Делается это для того, чтобы пользователь смог, при желании, модифицировать фильтры перед началом процедуры сбора данных.
Интерфейс программы Process Monitor чрезвычайно прост и по умолчанию выглядит следующим образом:
Согласитесь, всё гениальное действительно просто. Простота интерфейса обуславливает интуитивность восприятия происходящего в системе. Непосредственно после запуска Process Monitor сразу же начинает захватывать события, происходящие в операционной системе, производится мониторинг основных компонентов, таких как: файловая система, реестр, сеть, активность процессов/потоков. После захвата события, не попавшие под фильтр, выводятся в хронологическом порядке в главное окно приложения. Причем пользователь наблюдает такое огромное количество данных, которое просто по первости может запросто обескуражить, вся эта тонна данных мгновенно переполняет основное окно программы и устремляется за её пределы, о чем красноречиво говорит стремительно уменьшающийся боковой ползунок прокрутки. Каждая выводимая таким образом строка представляет собой событие, произошедшее в системе, видимое и захваченное драйвером Process Monitor и не попавшее под правила фильтрации. Основной массив информации отформатирован в виде таблицы, соответственно каждая строка поделена на некоторое количество столбцов, состав и расположение которых может быть изменен через настройки программы. В конфигурации по-умолчанию используются следующие столбцы:
| Столбец | Наименование | Обозначение |
|---|---|---|
| 1 | Time of Day | Время возникновения события. Отображается в долях секунд в формате ЧЧ:ММ:СС,ССССССС с точностью в семь десятичных знаков после запятой. Точность выводимого временного значения зависит от точности используемого в компьютере аппаратного таймера (8254/RTC/HPET). |
| 2 | Process Name | Имя процесса. Колонка отображает имя процесса, который выполнил операцию. Выводится только лишь имя процесса, однако если вы наведете курсор мыши на интересующее имя, дополнительно отобразиться и полный путь к модулю. В колонке отображается иконка (значок) приложения, запакованная в ресурсной секции бинарного файла. |
| 3 | PID | Идентификатор процесса. Довольно полезный параметр, особенно для «комплексных» процессов, таких как svchost.exe. |
| 4 | Operation | Операция. Имя зафиксированной низкоуровневой операции, производимой процессом по отношению к целевому объекту. Обычно данное имя соответствует имени функции, которая вызывается для выполнения операции. Дополнительно отображается иконка класса события (регистр, файл, сеть, процесс). |
| 5 | Path | Путь к целевому объекту, по отношению к которому процесс выполняет операцию. Не путайте с путем к процессу (модулю). Выводится только в том случае, если путь применим к объекту. Возможные значения: |
Поле результата операции (Result) является одним из ключевых и требует дополнительного пояснения:
Панель инструментов
Поясним назначение кнопок, размещенных на панели инструментов интерфейса утилиты Process Monitor:
Горячие клавиши
| Комбинация | Описание |
|---|---|
| Ctrl + E | активация/останов записи событий. |
| Ctrl + X | очистка журнала захваченных событий. |
| Ctrl + A | включение/отключение автопрокрутки событий. |
| Ctrl + F | поиск события среди всех захваченных событий. |
| Ctrl + C | копирование выделенного события в виде строки текста с разделителями. |
| Ctrl + J | перейти к выделенному объекту. |
| Ctrl + L | открытие окна настройки фильтров. |
| Ctrl + R | сброс фильтра в настройки по умолчанию. |
| Ctrl + H | открытие окна подсветки. |
| Ctrl + T | открытие дерева процессов. |
Фильтрация событий
Как уже отмечалось, количество событий, происходящих (генерируемых различными компонентами) в системе, довольно велико. Число событий, которые «видит» Process Monitor меньше, но не намного. Возникает резонный вопрос, а все ли события нам необходимы? Ответ очевиден. Большинство событий, которые отображаются в главном окне программы совершенно излишни в контексте тех или иных узкоспециализированных пользовательских задач. Ну не нужно пользователю видеть события загрузки образа внезапно стартовавшей программы обновления, в то время как он занят изучением ключей реестра, хранящих конфигурацию интересующей его программы. Именно с целью скрыть ненужные события, у Process Monitor имеются гибкие и мощные средства фильтрации. Фильтр позволяет скрывать лишние события, тем самым ограничивая количество отображаемых элементов и сужая область поиска проблемы.
Поскольку фильтрация является одним из ключевых элементов Procmon, возможности её в данной программе очень хорошо проработаны. Фильтровать события можно используя любые доступные программе атрибуты событий. Отфильтровывать события в Process Monitor можно несколькими способами:
Фильтрация по классу
Это самая общая, можно сказать грубая фильтрация событий, позволяющая исключить из вывода сразу целый класс событий: реестр, файловая система, сеть, активность процессов/потоков, события профилирования. Настройка фильтрации по классу событий представлена пятью кнопками в правой части панели инструментов:
Соответственно, в тот момент, когда какая-либо из перечисленных кнопок класса деактивируется (отжимается) пользователем на панели команд, в общий набор фильтров добавляется соответствующий фильтр с предписанием Exclude (Исключить), скрывающий из вывода все события данного класса.
Меню Filter
Какие бы из типов фильтров не применялись в Process Monitor, все они доступны через меню Filter и подпункт Filter. Это полный (общий) набор параметров фильтрации и представлен он в следующем виде:
Быстрый фильтр
Можно применить так называемый «быстрый фильтр» для некоторых параметров событий, отображаемых в главном окне. Активируется он нажатием правой кнопки мыши на событии в главном окне программы:
Фильтрация по владельцу окна
В дополнение к основным вариантам фильтрации, в утилите Procmon имеется возможность отфильтровать события по описателю (идентификатору) окна приложения. Это достаточно удобная функциональная особенность, поскольку она предоставляет пользователю возможность посмотреть события процесса, окно которого появляется на рабочем столе. Для задействования данного функционала на панели инструментов найдите значок прицела:
Перетащите его на интересующее Вас окно и Procmon создаст соответствующий фильтр на процесс, являющееся владельцем выбранного окна, соответственно изменив вывод в главном окне.
Подсветка событий
В дополнение к фильтрам, в Procmon присутствует возможность маркировать события, выделяя их цветом. Тогда как фильтрация скрывает лишние события из вывода, то подсветка просто-напросто выделяет необходимые события в списке. Напрямую, вроде как, не относится к фильтрам, поскольку не скрывает события, а всего-лишь маркирует их другим цветом в списке. Вызвать окно настройки подсветки Process Monitor можно либо нажатием комбинации клавиш Ctrl + H или щелчком по соответствующему значку на панели задач. Выглядит оно следующим образом:
Как Вы видите, оно идентично окну настройки фильтров, за исключением того, что по умолчанию не имеет никаких установок, то есть подсветка полностью отключена. Алгоритм настройки параметров подсветки и выборки результатов окна Highlighting во многом схожи с аналогичными в окне Filter.
Поиск по событиям
Будет отображено уже знакомое по другим продуктам Microsoft окно поиска. Поиск осуществляется по значениям всех без исключения полей вывода главного окна Process Monitor и при обнаружении первого попавшегося совпадения, утилита пролистывает экран до найденного значения и маркирует целиком всю строку с обнаруженным ключевым фрагментом синим цветом.
Детали событий
Process Monitor получает от различных компонентов операционной системы достаточно большое количество дополнительной информации. Все они отображаются в столбце Detail. Большинство из них чисто информативные, поэтому обычно пропускаются при анализе. Тут можно встретить запрашиваемый уровень доступа для операции, подробности запросов функций, дополнительные параметры некоторых функций, имена пакетов драйверов и прочее
Изучение события
Вся информация, коллекционируемая утилитой Process Monitor в процессе записи событий, представляется в виде огромной таблицы, каждая строка которой отражает лишь обобщенное описание определенного произошедшего события. Ну и что, как Вы думаете, достаточно ли этой информации, представленной в главном экране утилиты в виде ограниченных сведений, разнесенных на несколько колонок? Иногда да, но зачастую и нет! Надо отдать должное авторам Process Monitor’a за то, что они предусмотрели логику более детального исследования записываемых событий. Давайте выполним двойной щелчок на строке события, и посмотрим что же произойдет? После выполнения двойного щелчка открывается отдельное окно, имеющее следующий вид:
Во вкладке Event (Событие), мы видим общую информацию об интересующем нас событии. В общем то, именно эта вкладка не представляет для исследователя большой ценности, поскольку содержит информацию, которую можно получить в интерфейсе утилиты другими способами. Но вот две оставшиеся вкладки окна определенно могут нас заинтересовать. Средняя вкладка называется Process (Процесс) и выглядит следующим образом:
Тут мы видим путь к модулю (Path), командную строку, с использованием которой был запущен модуль (Command Line), пользователя, с привилегиями которого процесс был запущен (User), идентификатор сессии входа в систему (Auth ID), в которой процесс, хозяин операции, выполняется, и уровень целостности (Integrity), присвоенный процессу, хозяину операции, при запуске. Отдельного внимания удостаивается информационное окно со списком библиотек, загруженных в адресное пространство процесса (Modules), которое сильно способствует выявлять непрошенных гостей в виде различного рода вредоносов. Но для продвинутых исследователей настоящей ценностью является последняя, самая правая вкладка Stack (Стек), которая позволяет увидеть стек вызовов основного потока процесса:
Как мы видим, в этой вкладке можно обнаружить хорошо знакомую нам по отладчику WinDbg, классическую цепочку вызовов функций, называемую стеком вызовов. Во-первых, она позволяет отследить последовательность вызовов функций с момента начала выполнения стартовой функции потока. Во-вторых, по последовательности вызовов функций можно определить к каким модулям (библиотекам) эти функции принадлежат, тем самым выявив и системные компоненты, которые либо требуют обновления, либо вообще не должны применяться в данном модуле (например: вирусы).
Сценарии использования
Некоторые замечания по статусам программы Process Monitor:
Диагностика этапа загрузки
В дополнение к активации механизма, Procmon предлагает включить профилирование потоков через равные промежутки времени. Это немаловажно, потому что в большинстве случаев проблемы загрузки связаны с медленной работой определенных процессов. Именно с целью отследить подобные «тормозящие» процессы включается профилирование, которое позволяет создавать эдакие снимки активности потоков внутри процесса (стек вызовов и прочие данные) через равные промежутки времени. В итоге, записываемая информация помогает понять на какие именно операции поток тратит процессорное время.
После включения опции Enable Boot Logging можно перезагружать операционную систему. После завершения загрузки запускаем утилиту Process Monitor для сохранения лог-файлов процесса загрузки и видим следующее диалоговое окно:
Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра
Серия уроков по пакету утилит SysInternals
5. Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра
В этой статье мы научим вас, как использовать Process Monitor для устранения неполадок и поиска ключей реестра, которыми можно менять настройки системы, о которых вы бы не узнали другим способом.
Process Monitor — один из самых впечатляющих инструментов, которые вы можете иметь в своём наборе инструментов, поскольку другого способа увидеть, что на самом деле делает приложение, практически не существует. Это единственный способ узнать, какие файлы и какие процессы записывают, где что-то хранится в реестре и какие файлы к ним обращаются.
Мы начнём с того, что посмотрим, как найти ключи реестра с помощью диалоговых окон настроек Windows и Process Monitor, а затем рассмотрим фактический сценарий устранения неполадок, с которым мы столкнулись на одном из наших компьютеров в лаборатории и который был легко решён с помощью Process Monitor.
Как использовать Process Explorer для поиска ключей реестра, которые меняют настройки
Настраивая операционную систему мы устанавливаем флажок или меняем значение раскрывающегося списка, но задумывались ли вы, где на самом деле хранятся эти значения? Многие приложения и практически все настройки Windows хранятся в реестре… где-то.
В сегодняшнем примере мы определим, в каком именно ключе реестра хранится первая настройка Панели задач под названием «Закрепить панель задач», которая должна присутствовать во всех версиях Windows. Итак, теперь наша миссия — выяснить, где именно этот параметр хранится в реестре. Вы можете следить за этим конкретным параметром, или вы можете попробовать один из других параметров в том же диалоговом окне — или в любом другом месте, для которого вы хотите найти место в реестре, где он хранится.
Теперь, когда у нас есть масса данных в списке, пришло время отфильтровать список, чтобы уменьшить количество строк, которые нам придётся просматривать. Поскольку мы рассматриваем значение реестра, которое изменяется, нам необходимо выполнить фильтрацию по «RegSetValue», которое Windows использует для фактической установки нового параметра в разделе реестра. Используйте опцию «Include», чтобы показать только эти события.
Теперь ваш список должен быть ограничен только ключами реестра, которые были изменены, поэтому пришло время взглянуть на события и попытаться выяснить, какой это может быть раздел реестра. Поскольку мы проверяем параметр «Заблокировать панель задач», а один из настраиваемых разделов реестра содержит в названии слово «Панель задач», это хорошее место для начала. Щёлкните правой кнопкой мыши путь и выберите Jump To («Перейти к месту»).
Process Monitor откроет редактор реестра и выделит ключ в списке. Теперь нам нужно убедиться, что это действительно правильный ключ, который довольно легко определить. Взгляните на настройку, а затем посмотрите на ключ. Сейчас настройка включена, а ключ установлен на 0.
Поэтому измените настройку, нажмите «Применить» в диалоговом окне, а затем используйте клавишу F5, чтобы обновить окно редактора реестра. В нашем случае мы определённо выбрали правильный параметр, поэтому теперь вы можете видеть, что для параметра TaskbarSizeMove установлено значение 1.
Если вы выбрали неправильное значение, вы не увидите изменений при повторном тестировании настроек. Так что идите и найдите следующий логичный вариант и начните заново.
Устранение проблем с помощью Process Monitor
На самом деле невозможно проиллюстрировать в одной статье, как устранить любую проблему с помощью Process Monitor или любого другого инструмента в этом отношении. Слишком много комбинаций проблем, слишком много путей, по которым что-то может пойти не так.
Однако мы можем показать, как на самом деле мы использовали Process Monitor для устранения реальной проблемы, которая действительно произошла с одним из наших тестовых компьютеров. Мы устанавливали какое-то вредоносное ПО, а затем решили попробовать очистить компьютер. Проблема заключалась в записи на панели «Удаление программ», которая просто не исчезла.
Каждый раз, когда мы нажимали «Изменить», чтобы удалить её, мы получали сообщение об ошибке «Произошла ошибка при попытке удалить AwfulApp. Возможно, она уже была удалена. Вы хотите удалить AwfulApp из списка «Программы и компоненты? ».
Это было бы здорово, если бы мы не получили сообщение об ошибке: «У вас недостаточно прав для удаления OutfoxTV из списка программ и функций. Пожалуйста, обратитесь к системному администратору».
Первое, что нужно было сделать, это снова попробовать процесс удаления с запущенным Process Monitor, который захватил огромное количество данных. На этот раз мы решили использовать функцию Find («Найти») (CTRL+F), чтобы быстро найти то, что мы искали в списке. Вы также можете использовать фильтр, если хотите, но это казалось простым и, к счастью, сработало в первый раз.
Взглянув на первый элемент в списке, мы заметили ошибку: Windows пыталась получить доступ к разделам реестра, связанным с программой удаления, но на самом деле их не было в реестре в том месте, которое искала Windows. Если вы посмотрите на пару ключей вниз, вы увидите событие RegOpenKey с результатом УСПЕХ для какого-то объекта в HKLM\Software\Wow6432Node.
Выполнение поиска по этому ключу реестра очень быстро привело нас к источнику проблемы: сообщению ACCESS DENIED (доступ запрещён), когда Windows пыталась выполнить очистку списка с помощью операции RegDeleteKey. Интересно!
Конечно же, посмотрите на все эти ключи реестра! Неудивительно, что он до сих пор фигурирует в списке.
Чтобы быть уверенным, мы открыли каталог C:\Program Files\, чтобы посмотреть, остались ли какие-либо файлы, но очевидно, что приложение уже было стёрто с ПК.
Решение было очень простым: мы просто вручную удалили раздел реестра, с удалением которого у Windows возникли проблемы. Если бы мы получили сообщение об отказе в доступе, мы могли бы использовать настройку разрешений, чтобы убедиться, что у нас есть доступ, и повторить попытку.
К счастью, удаление сработало немедленно, и теперь список программ удаления стал чистым.
Это лишь некоторые из множества способов использования Process Monitor — это чрезвычайно важная и полезная утилита, освоение которой займёт некоторое время, но как только вы это сделаете, она действительно может помочь вам решить многие проблемы.
Следующий урок
Далее мы рассмотрим многие другие утилиты в SysInternals Toolkit, включая некоторые из мощных инструментов командной строки.