问题标签 [procmon]

我正在尝试确定 Windows 进程是否已在 bInheritHandles 设置为 true 的情况下启动。

我可以使用进程资源管理器查看进程拥有的所有句柄，我可以使用 procmon 查看进程启动和线程创建事件，我可以使用句柄工具导出句柄，但我看不到任何方法进程是否有能力继承父进程的句柄。

有没有办法做到这一点？

我正在尝试诊断导致我的计算机在使用音频一段时间后崩溃的问题。

我尝试使用文件的环形缓冲区选项运行 procmon（Process Monitor v 3.84）（以将捕获的数据量限制为 4GB），并且我将计算机与音频一起使用了一段时间，直到机器崩溃。重新启动后，我希望我的 procmon 日志文件将包含崩溃前的所有痕迹，但这就是我得到的：

“log.pml 在捕获期间未完全关闭并且已损坏”。

看来我无法取回任何记录的信息。鉴于我的计算机运行良好，然后在出现音频问题时一切都冻结了，有没有办法可以生成可用的日志文件？

我尝试在不接触注册表的情况下进行 COM。我从一个非常简单的 C++“客户端”开始，尝试CoCreateInstance使用随机的任意 UUID。

可以想象，程序的输出是：

“CoCreateInstance”失败，错误为 0x80040154

（0x80040154 是臭名昭著的“找不到类”）

有人告诉我，在这种情况下，Windows 会在图像目录中搜索一个或多个“清单”文件。

到目前为止，我很难创建这样的文件，所以作为最后的手段，我画了procmon.exe.

我设法获得了一个与上述程序的执行相对应的 CSV 文本文件，使用的过滤器排除了与进程名称无关的任何事件。

然后我使用记事本++，发现了一些与RegOpenKey我的虚拟“类”相关的事件，所有事件都以“未找到名称”结尾

然后我搜索CreateFile带有一些“清单”文件扩展名的事件，但没有找到！

问题：为什么无法访问某些清单文件？