文档翻译第003篇：Process Monitor帮助文档（Part 3，附Process Monitor的简单演示）

【导入与导出配置】

一旦您配置了一个筛选器，您能够使用“工具（Tools）”菜单中的“保存筛选器（SaveFilters）”菜单项将其保存。Process Monitor将您所保存的筛选器加入到“读取筛选器（Load Filter）”菜单，便于您能够方便地訪问。您也能够选择“工具（Tools）”菜单中的“管理筛选器（Organize Filters）”来打开管理筛选器对话框，以改变筛选器的显示顺序。您能够使用管理筛选器对话框来重命名已保存的筛选器，也能非常easy地以一定的格式导出筛选器。这样您以后就能够在其他系统中使用管理筛选器对话框来又一次导入。

您也能够使用“文件（File）”菜单中的“导出配置（ExportConfiguration）”菜单项来导出整个Process Monitor的配置信息，包含筛选器、列目选择、列目的顺序和大小。日志文件设置以及调试帮助文件路径配置信息到一个Process Monitor的配置文件里（.PMC）。

使用“文件（File）”菜单中的“导入配置（Export Configuration）”菜单项能够读取一个保存的配置文件或者使用“/LoadConfig”命令行选项。

【命令行选项】

Process Monitor提供了一些命令行选项：

/Openlog<已保存的PML日志文件>

令Process Monitor打开并读取指定的日志文件。

/Backingfile<日志文件名称>

令Process Monitor创建并使用指定的文件名称作为日志文件。

/Pagingfile

将事件保存在分页文件里。

/Noconnect

当这个标志位出现时，ProcessMonitor就不能自己主动開始日志活动。

/Nofilter

在启动时清空筛选器。

/AcceptEula

自己主动绕过许可并绕过EULA对话框。

/Profiling

打开线程分析事件类。

/Minimized

使Process Monitor在启动时将其窗体最小化显示在任务栏上。

/WaitForIdle

等待Process Monitor的一个实例。直至其准备完成。

/Terminate

终止Process Monitor的全部实例并退出。

/Quiet

在启动时不使用筛选器选项。

/Run32

使用这个开关能够在64位版本号的Windows中执行32位版本号的ProcessMonitor。以打开在32位系统中生成的日志。

/HookRegistry

这个开关仅仅可以在32位的Vista和Server 2008中使用，ProcessMonitor使用系统调用钩子以代替注冊表回调机制来监视注冊表的活动，这就行令其在这些操作系统上查看Softgrig的虚拟注冊表操作。这个选项必须在Process Monitor在系统上第一次执行时使用，而且仅仅能用于SoftGrid应用程序的故障排除。

/SaveAs,/SaveAs1,/SaveAs2

配合/OpenLog来使用这些开关，可以使ProcessMonitor以CSV、XML或PML格式导出一个日志文件。/SaveAs1选项包含以XML格式导出的栈信息，而/SaveAs2选项加入了符号信息。

/LoadConfig

读取指定的筛选器和设置文件。

【ProcessMonitor脚本编写】

您可以使用Process Monitor的命令行选项来编写批处理文件。

这里的样例为您展示了怎样编写批处理文件。使其可以捕获“记事本（notepad.exe）”程序的运行：

set PM=C:sysintprocmon.exe
start %PM% /quiet /minimized /backingfile C:	emp
otepad.pml
%PM% /waitforidle
start /wait notepad.exe
%PM% /terminate

Process Monitor的第一个调用使用的是start命令。来确保进程与控制台窗体相脱离，这可以使其与最新的命令同一时候执行。第二个调用使用的是/WaitForIdle命令，它可以令批处理文件暂停。直至第一个实例出现、执行而且捕捉事件活动。最后的调用使用的是/Terminate命令，它告诉第一个实例停止捕捉。将重要的数据保存到备份文件再顺利地退出。

【注入应用程序的调试信息】

假设您是一位应用程序开发者，那么将您自己的调试输出包括在Process Monitor的事件流中会很实用。这样您就能够更好地将应用程序的操作与其他的事件相关联。Process Monitor同意未经授权的应用程序注入长达2048个字符长度的宽字符串中。以下演示样例代码展示了怎样打开Process Monitor的调试界面并在事件流中写入信息。您在实际编程中无需以空字符作为结尾，虽然演示样例中是以空字符结尾的。以下的代码演示样例描写叙述了怎样生成Process Monitor的调试输出。John Robbins也编写了帮助类。您能够在您本地或管理应用中方便地加入这些支持，您能够在此下载。

注意：您必须显示分析事件（它被默认的过滤配置所过滤）。以查看这些事件。

#include <windows.h>
#include <tchar.h>
#include <stdio.h>

#define FILE_DEVICE_PROCMON_LOG 0x00009535
#define IOCTL_EXTERNAL_LOG_DEBUGOUT (ULONG) CTL_CODE( FILE_DEVICE_PROCMON_LOG, 0x81, METHOD_BUFFERED, FILE_WRITE_ACCESS )

int main()
{

        HANDLE hDevice = CreateFile( L"\\.\Global\ProcmonDebugLogger", GENERIC_READ|GENERIC_WRITE, FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL );

        if ( hDevice != INVALID_HANDLE_VALUE ) {

                WCHAR text[] = L"Debug out";

                DWORD textlen = (wcslen(text)+1) *sizeof(WCHAR);
                DWORD nb = 0;

                BOOL ok = DeviceIoControl( hDevice, IOCTL_EXTERNAL_LOG_DEBUGOUT, text, textlen, NULL, 0, &nb, NULL );

                if ( ok ) {

                        printf( "wrote debug output message
" );

                } else {

                        printf( "error 0x%x
", GetLastError() );

                }

                CloseHandle( hDevice );

        } else {

                printf( "error %d opening Process Monitor
", GetLastError() );

        }

        return 0;

}