Process Monitor 严重占用内存，达到300MB的问题

brilight

一个小时后，它的驱动程序会占用300MB的内存，你用任务管理器的进程 中是查看不到的，但可以通过总内存查看

dl123100

很正常，所以要设置过滤规则，针对性记录。

穿越星空

回复 2# dl123100
　　那请问下，断开跟踪事件需要一分钟，有没有什么办法加快这一步骤呢？记得以前的FileMon和RegMon没这步的。

dl123100

回复 3# 穿越星空


    连接ETW是为了获取联网信息，不过过滤掉这些貌似也一样会连接，需要patch一下procmon。

Anthony198634

这个软件没用过，有没有介绍？

穿越星空

回复 4# dl123100
　　的确是这样，感觉加入了TCPView功能后有这个问题，那我请教下，如果仅查看注册表和文件情况，不需要获取联网信息的吧？
　　要是可以这样的话，我准备换回原来的版本了。

dl123100

回复 6# 穿越星空


    FileMon、RegMon有的时候确实更方便，XP下也能正常用。
    Vista以来ETW机制有很大的改变，Procemmon连接、断开ETW应该速度很快，可以考虑用ProcmMon。

穿越星空

回复 7# dl123100
　　那依您的意思新版的ProcMon是适应Windows 6.x，所以对之前的5.x系列支持不好？ProcMon最初是合并了FileMon和RegMon，而后才加入了TCPView，但是在加入了TCPView后就发生了这个问题，所以我想换回去掉TCPView的ProcMon，TCPView对FileMon和RegMon没影响的吧？

dl123100

回复 8# 穿越星空


    也许可以吧，我没试过。

gtyre1

额。。过滤规则没设置好吧
这个软件，之前用来跟踪病毒行为
挺好用的。。
简单设置下写入文件，和设置下注册表。。