19、深入了解系统监控：Procmon 实用指南

深入了解系统监控：Procmon 实用指南

1. 过滤与高级输出

在系统监控中，Procmon 提供了多种过滤选项，以帮助用户聚焦于特定的系统活动。以下这些低级别操作通常会被默认过滤：
- 名称以IRP_MJ_开头的操作，这些是 Windows 驱动用于文件或设备 I/O、即插即用（PnP）、电源管理等 I/O 相关功能的 I/O 请求包。
- 名称以FASTIO_开头的操作，它们类似于 I/O 请求包，但由 I/O 系统使用，借助文件系统驱动程序或缓存管理器来完成 I/O 请求。
- 以 “FAST IO” 开头的结果，例如 “FAST IO DISALLOWED”。
- 涉及系统页面文件的活动。
- NTFS 和主文件表（MFT）的内部管理操作。

若要查看这些被过滤的操作，可以在过滤器菜单中选择 “启用高级输出”。启用该选项后，将移除除分析事件外的所有过滤规则，并显示文件系统操作的驱动级别名称。例如，在基本模式下的 “创建文件” 操作，在高级模式下会显示为IRP_MJ_CREATE。若取消 “启用高级输出”，则会重新应用上述过滤规则，恢复基本模式的操作命名。当启用高级输出时，重置过滤器会移除除排除分析事件外的所有过滤规则。此外，若想查看所有系统活动并保留友好的事件名称，可以在不开启高级模式的情况下移除默认过滤器。

2. 过滤器的保存与使用

配置好过滤器后，可以将其保存以便后续使用。这样做的好处是能够快速重新加载和应用复杂的过滤器，或者轻松在不同的过滤器集之间切换。同时，还可以导出保存的过滤器，并将其导入