运维和网安必备：Sysinternals Process Monitor 4.01 更新（还有 Linux 版）

Windows 平台免费管理员工具软件套装：Sysinternals Suite[1]，不知道这名字的 Windows 系统管理员可以说还未合格。

微软刚刚释出了套装中重要且被频繁使用的 Process Monitor 的新版本 4.01[2]。

Sysinternals Suite 下载地址：

https://learn.microsoft.com/en-us/sysinternals/downloads/

微软一直在持续更新 Sysinternals Suite，而且正在逐渐增加支持非微软操作系统，包括 Linux 和 Mac。

比如本篇介绍的 Process Monitor，已经释出了 Linux 的 2.0 版。

不过，系统管理员要注意保留旧版本的 Sysinternals Suite，因为有些工具的新版本是会抛弃已经停止支持的旧版 Windows 操作系统。

比如最新版本的 Process Monitor 就只支持 Windows 10 和 Windows Server 2012 或以上。

Process Monitor 可以全面和实时监控记录所有进程的活动，包括文件系统读写、注册表读写和进程内线程活动，是系统级 DEBUG 和恶意软件追踪的关键工具。

Process Monitor 4.0 其实刚出不久（2024年6月17日），4.01 是小版本更新，原因是修BUG。

4.0 和 4.01 的 BUG FIX 以及功能性、可用性的更新情况具体如下：

1、两项 BUG FIX

第一项是修正使用 /EnableBootLogging 命令行参数功能启动系统引导日志，但日志停止记录的 BUG。该 BUG 导致 Process Monitor 在错误地启用了性能分析事件时，运行428秒后停止记录日志。

第二项是修正使用 /ConvertBootLog 命令行参数功能会输出错误和不完整的日志转换结果。这个功能的用途是把记录的引导日志转换为可读的格式（PML文件）以便深入分析。

笔者在此强调，Process Monitor 产生的启动期间进程事件日志是远比 Windows 系统本身的启动日志要详尽的，实属 Threat Hunting 过程必备。

2、功能性更新：提供进程启动的时间戳信息。

该功能默认关闭，可通过在界面选择列：

然后在 Application Details 分类下选出 Process Start 而启用和显示。

旧版（3.92）没有这个选项：

该信息对于分析频繁启动又结束的进程有用。

3、可用性更新：改善复制事件信息到剪贴板的效率和增加提示

Process Monitor 运行时会产生海量事件信息，一般都会在使用时先配置上日志文件去记录，事后再打开日志文件查看。但旧版本有个问题是，对于感兴趣的大量事件信息想顺手复制粘贴到别的软件进行分析统计时，就会碰到 Process Monitor 不响应的情况。

如上图，新版本从提高复制速度和增加进度条提示两方面改进了可用性。需要注意在此期间不要进行任何干扰剪贴板内容的操作，上图笔者是用 Win + PrtSc 直接截屏为图片文件的方式保存的，该操作就不会涉及剪贴板。

项目开源，MIT 许可证，地址：

https://github.com/microsoft/ProcMon-for-Linux

目前发展到版本号2.0，尚处于预览阶段，支持的操作系统是 Ubuntu 18.04 LTS 和 RHEL 8 这两条线，按继承关系，已经覆盖相当多发行版，估计目标会是覆盖能在 WSL 环境运行的全部 Linux 发行版。

至于其他发行版，反正开源，改改也能运行。

在 Linux 命令行，用 sudo 启动工具：

注：该动图来自 ProcMon-for-Linux 项目网页

易用的文本 GUI 界面，弹出式查看事件细节，用惯 mc (midnight commander[3]）的系统管理员会觉得非常熟悉，相对界面简单但功能不简单的传统 Linux 命令行工具来说，实时工作效率会有质的提升。

而且工具还支持 Headless 无头模式，这对于先聚焦收集事件日志，事后再分析的工作方式也很有用。

所以，笔者颇为期待 Sysinternals Suite 中另一个重要且频繁使用的工具：Process Explorer[4]，也会出 Linux 版。 

注：题头图为笔者自行拍摄。

点赞和转发都是免费的↓ 

原文始发于微信公众号（wavecn）：运维和网安必备：Sysinternals Process Monitor 4.01 更新（还有 Linux 版）