问题标签 [procmon]

我有一个 Windows 服务（涉及一些 C# 代码的 C++）。在生产中，我有一台可以正常工作的机器，而另一台没有 - 立即停止并出现此错误 1053..

我比较了两者的 procmon 并看到在我得到“线程退出”操作之前它试图“加载图像” - 以及 succuss 机器 - 只是继续启动......

你知道如何从这里开始工作吗？

我想确定系统中的进程何时不是由用户打开，而是由另一个进程打开。我正在使用 Sysinternals Procmon 来监视系统的进程。特别是我很想知道用户是否没有打开网络浏览器 Internet Explorer 的进程。我尝试使用父 PID，但不足以区分。有人可以给我一个方向吗？

这个问题有时会出现在我们域中的几台机器上：用户启动我的 .NET 4.0 应用程序，但没有任何反应。机器运行 Windows XP，.NET 版本为 4.0.30319.1008

正如我在任务管理器中看到的，该进程已启动，但它仅使用 40 KB 内存（有时更多，例如 404 KB，但普通运行的进程需要更多）。当我试图杀死这个进程时，系统说它已成功完成，但该进程保留在内存中并且 .exe 文件被锁定。只有重新启动机器有助于终止进程并解锁文件。

我尝试使用ProcMon进行分析，但我可以看到很少的事件，并且进程在加载其图像之前停止（加载图像操作不会发生）。所以原因不在我的应用程序中。

作为一种解决方法，我尝试了一些方法：

1. 重建应用程序并在其位置替换 .exe - 它有帮助！但是两个EXE文件之间的区别只是改变了MVID GUID和.exe中包含的一些其他编译信息

2. 所以我的想法是程序集的崩溃本机映像缓存在某处，因此替换 .exe 会启动系统重建它。我在这方面并不强，但我尝试了“ngen update”指令——有时它有帮助，有时没有。

一段时间后，问题在某些机器上重复出现。

我怎样才能找到导致问题的原因？

我正在尝试使用 ifstream 和 Procmon 分析基本读取操作。

用于读取操作的部分代码，我试图从文件中读取 16kb 大小的数据：

在 Procmon 中有 4 个 ReadFile 操作，详细信息如下：

偏移量：0，长度：4,096，优先级：正常
偏移量：4,096，长度：4,096
偏移量：8,192，长度：4,096
偏移量：12,288，长度：4,096

那么这是否意味着每个 4kb 大小有 4 个操作？如果是这样，为什么会发生这种情况，而不是只有一个 16 kb 大小的 ReadFile 操作。

据我了解，process_monitor 将 crashbin 信息存储在本地。如果这是在虚拟机上运行，​​并且测试用例导致进程和目标机器无响应，则 vmcontrol 将恢复到较早的快照。如果在恢复到较早的快照时丢失了 crashbin 信息，如何在 Web 界面上显示或访问该信息？

我正在使用 procmon 命令行。

运行上述命令后，procmon UI 显示过滤的事件，但保存的文件 - output.csv 包含所有事件。

是否可以通过 cmd 保存过滤后的输出？如果没有，有没有办法将输出复制到cmd？

好吧，这真是一个奇怪的场景。我已经在 Windows 10 中安装了 MSSQL Server 2012 和 Visual Studio 2012，全新安装。一切都很顺利，但突然，在重新启动和 Windows 10 更新后，它们都停止了工作。我没有浪费时间，只是将 PC 恢复出厂设置以重新开始。同样的场景。我设法查看了 procmon.exe 的情况，并使用 clr.dll 和 mscorrc.dll 得到了一个奇怪的“设备数据错误”。然后我意识到所有请求这些 dll 的应用程序都会发生这种情况。我的猜测是更新中的某些东西破坏了功能，但这在我看来是一个特定的问题。我从应用程序收到的唯一消息是常见的“应用程序停止工作”，仅此而已。所有与 .net 相关的应用程序都会发生这种情况，但我无法做任何事情来修复/卸载。net，因为它是作为 Windows 功能提供的。希望您能够帮助我。

我有一个用于构建应用程序（使用多个不同进程）的 procmon 跟踪，该应用程序在某些时候无法写入文件，因为它正在被另一个进程使用。我看到的第一件事是文件在构建开始时被删除：

这似乎是成功的。我注意到的下一件事是有两个“CreateFileMapping”调用返回“File Locked With Only reader”。但是，据我所知，这没什么好担心的，因为两次 closefile 似乎都被调用了。有趣的是，在删除之后调用的 QueryAllInformationFile 返回了删除之前的时间作为创建时间。这是否意味着文件没有被正确删除？

最后共享违规如下。有趣的是，相同的进程打开文件进行读取而不在读/写之前关闭。从理论上讲，您应该能够做到这一点，对吗？

我看不到文件打开后没有关闭的任何地方，它应该删除文件以开始，我在构建开始之前验证了文件没有句柄（使用“句柄“ 工具）。

您可以提供的任何指示都会有所帮助，谢谢。

我一直在尝试在启动过程中分析注册表活动。

所以想到使用 procmon 进行引导日志记录。我启用了启动日志记录，重新启动了系统。现在，当我启动 procmon 时，它要求我转储收集的引导日志。

当我尝试保存文件时，经过 7% 的进度后，它因著名的错误日志“ The instruction at "0xXXXXXXXX" referenced memory at "0xXXXXXXXX", The memory could not be "written". Click on OK to terminate that program”而崩溃。

此致，

索拉夫

我有一个在西雅图 C++Builder 10.0 中构建的 VCL 应用程序。它使用表单上的 Axis Media Control 来显示视频，因此它会在AxisMediaControl.dll运行时加载文件。

过去，我将它部署在 32 位目标机器上，应用程序位于该C:\Program Files\AppName目录中，并且AxisMediaControl.dll安装到同一位置。一切都按预期工作。

这个应用程序是32位应用程序，所以部署到64位目标机器时，安装在C:\Program File (x86)\AppName目录中。再次，该AxisMediaControl.dll文件部署在应用程序目录中。

该应用程序无法启动，并出现错误“找不到指定的模块”。Program Files使用 Process Monitor，我发现该程序正在旧目录而不是x86dir中寻找 Axis DLL 。什么会导致应用程序在该位置查找 DLL？

在我的开发机器上运行相同的二进制文件，应用程序从我的SysWOW64目录加载 DLL。如果 DLL 放置在目标机器上，它仍然无法在该位置查找。它只是查看旧的Program Files应用程序路径，我无法理解。

我希望有人可以提供一些启示。