言成言成啊 | Kit Chen's Blog

ProcessMonitor进程监控

发布于2025-08-02 01:54:19,更新于2025-08-03 13:01:40,标签:devops  文章会持续修订,转载请注明来源地址:https://meethigher.top/blog

Process Monitor(ProcMon)是微软 Sysinternals 套件中的一款高级实时系统监控工具,可捕获并展示 Windows 的文件系统、注册表、进程/线程活动,还能查看网络连接(较有限)。

本文主要用它来监测程序创建文件、删除文件的时机。由于我还需要在 Windows7 上面运行,因此要下载旧版 3.8.4 。参考windows 7 - Sysinternals Process Monitor device driver: procedure could not be found - Super User

编写一个go程序,创建文件5秒后,将文件删除掉。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
package main

import (
	"fmt"
	"os"
	"time"
)

func main() {
	const filename = "test.txt"

	// 1. 创建文件并关闭句柄
	file, err := os.Create(filename)
	if err != nil {
		fmt.Printf("创建文件失败: %v\n", err)
		return
	}
	file.Close() // ✅ 关键:关闭句柄
	fmt.Printf("已创建 %s\n", filename)

	// 2. 等待 5 秒
	time.Sleep(5 * time.Second)

	// 3. 删除文件
	if err := os.Remove(filename); err != nil {
		fmt.Printf("删除文件失败: %v\n", err)
		return
	}
	fmt.Printf("已删除 %s\n", filename)
}

编译为main.exe

1
go build -o main.exe main.go

启动ProcMon,然后运行main.exe,配置过滤器,就能抓取到创建和删除的时机。

发布:2025-08-02 01:54:19
修改:2025-08-03 13:01:40
链接:https://meethigher.top/blog/2025/process-monitor/
标签:devops 
付款码 打赏 分享
访客数calculating
Shift+Ctrl+1 可控制工具栏