Process Monitor : surveiller les processus sous Windows

Page 3 sur 7: Utilisation de Process Monitor

Utilisation de Process Monitor

Installation et lancement

1. Téléchargement :
   • Se rendre sur le site officiel de Microsoft
   • Télécharger l'archive "ProcessMonitor.zip"
2. Extraction et exécution :
   • Extraire les fichiers de l'archive
   • Exécuter "ProcMon.exe" (aucune installation requise)
   • Accorder les privilèges administrateur lorsque demandé

Interface utilisateur

L'interface principale de Process Monitor comprend :

1. Une barre d'outils avec des icônes pour la gestion des filtres, des vues et du comportement de l'outil
2. Une zone centrale affichant les événements journalisés

Les colonnes par défaut incluent :

• Time of Day : Horodatage précis de chaque événement
• Process Name : Nom du processus à l'origine de l'événement
• PID : Identifiant unique du processus
• Operation : Type d'opération effectuée
• Path : Chemin complet de la ressource affectée
• Result : Résultat de l'opération
• Detail : Informations supplémentaires sur l'événement

Utilisation des filtres

Les filtres sont cruciaux pour exploiter efficacement Process Monitor. Pour accéder aux filtres :

1. Cliquer sur l'icône de filtre ou utiliser CTRL + L
2. Dans la fenêtre de filtres, on peut :
   • Créer de nouveaux filtres d'inclusion ou d'exclusion
   • Visualiser et modifier les filtres existants

Exemples de filtres courants :

# Afficher uniquement les événements d'un processus spécifique
Process Name is "notepad.exe" then Include

# Exclure les événements réussis
Result is "SUCCESS" then Exclude

# Afficher les événements liés à un dossier spécifique
Path begins with "C:\\Users\\Nom\\Documents" then Include

# Exclure les événements liés au registre
Operation begins with "Reg" then Exclude

# Afficher uniquement les accès refusés
Result is "ACCESS DENIED" then Include

Sauvegarde et importation des données

1. Sauvegarde des captures d'événements :
   • Utiliser "File > Save"
   • Choisir entre les formats .PML (natif), CSV ou XML
   • Le format .PML est recommandé pour une réimportation ultérieure dans ProcMon
2. Importation des captures :
   • Utiliser "File > Open" pour les fichiers .PML
3. Gestion des filtres :
   • Sauvegarder : "Filter > Save Filter"
   • Charger : "Filter > Load Filter"
   • Exporter/Importer : "Filter > Organize Filters" puis "Export" ou "Import"