Emezeta.com

Process Monitor: ¿Qué ocurre en mi PC?


Process Monitor es una aplicación desarrollada por Mark Russinovich y Bryce Cogswell miembros de la antigua empresa de herramientas de administración avanzadas Sysinternals, adquirida en 2006 por Microsoft.

Este programa realiza una tarea muy interesante: monitorizar cualquier tipo de actividad en el sistema.

process monitor sysinternals microsoft

Y cuándo digo cualquier me refiero a cualquier: creación de ficheros temporales, operaciones de escritura o lectura en disco, operaciones en el registro, recepción o transmisión TCP o UDP, creación de hilos (threads), creación de procesos, etc...

Pero vamos a analizar las diferentes acciones que se pueden realizar con este simple, pero a la vez potente programa.

¿Para que sirve?


¿Para que podemos querer utilizar esta aplicación?

Como dije antes, para tareas de administración, mantenimiento o ingeniería inversa, es una aplicación muy útil. Algo tan básico como un sistema lento, puede ser analizado y averiguar que operaciones está realizando y porque causa ha bajado su rendimiento.

Filtro por criterios


Una de las características más llamativas de los programas de Sysinternals es la alta personalización que poseen. Process Monitor no es una excepción.

Podemos ir al menú Filter / Filter... (CTRL+L) y establecer unas reglas para incluir o excluir la actividad que nos interese.

process monitor filter filtro

Como se ve en la imagen, el filtro es muy potente y puede filtrar por nombre de proceso, PID, fecha, arquitectura, tipo de operación y un largo etcétera, estableciendo así una cadena de filtros con uno o varios parámetros.

Con la misma estructura tenemos también el Highlight (CTRL+H) que no es más que un filtro para resaltar líneas (con un fondo azul) con determinada actividad especificada en las reglas.

Eventos


Por cada evento ocurrido durante nuestra traza, se pueden examinar diferentes aspectos. Por ejemplo, uno de ellos es el listado de módulos o dependencias utilizadas.

process monitor modules modulos

Y aún a más bajo nivel podemos comprobar operaciones a nivel de pila, así como contrastar la dirección de memoria donde se están efectuando las acciones, el tamaño, etc...

process monitor stack pila

La herramienta posee algunas otras opciones más o menos relevantes pero igualmente útiles, como filtro rápido de actividades por género (sistema ficheros, actividad de red, registro de windows...), importación/exportación de configuración, profiling, etc.