其他过程开始的分析(子)进程

最后编辑了

概要

有时需要确切地知道哪个进程启动其他进程。

在Windows上

在Windows上,可以使用Microsoft’s 流程监视器 用于跟踪新创建的流程。

进程监视器需要管理员权限/高程,因此启动它可能会导致Windows UAC(用户帐户控制)对话框询问是否启动此应用程序。

第1步:开始过程监视器(Procmon.exe)

第2步:添加“进程创造” filter

在首次启动或打开后显示的对话框中 Ctrl + L. add a filter for “操作是过程创建” (choose “重启”要清除/恢复默认过滤器):

添加后:

第3步:检查“删除过滤的事件"

第4步:检查“捕获事件"

第5步:选择“清晰显示"

第6步:开始应用程序

启动所需的应用程序并执行将启动疑似子进程导致的步骤。

第7步:取消选中“捕获事件"

第8步:打开过程树

步骤9:找到所需的应用程序/过程

步骤10:添加所需的过程及其子进程以过滤

第11步:导出收集的信息

第12步: - 验证导出的信息

将导出文件加载到过程资源管理器中 文件 > 打开… 并浏览事件和流程树以确保它包含预期条目。 (如果没有显示任何条目,请通过清除过滤器 Ctrl + L., 重启。)

步骤13: - 如果请求,请将导出文件发送到屏蔽技术支持。