Следене на активност при Windows процеси

Тъй като с Sir Peach днес имахме задачка да проследим една "програмка" каква активност извършва - използвани файлове, registry ключове и т.н. се наложи да си спомня за този инструмент, а той е именно - Process Monitor на SysInternals

Download

Инструмента след пускането си hookва глобално всички процеси и следи всички event-и, за да проследите поведението на точно определен процес - използвате филтри.
Филтрите са много гъвкави и позволяват филтрация по пътека на изпълняваният файл, отварян файл, че дори по използвано Windows-ко API.