Process Monitor是一款系统进程监视工具，Sysinternals被微软收购以后将原来著名的文件监视工具Filemon和注册表监视工具Regmon合并成了今天的Process Monitor。

在一些流氓软件肆虐的地区，由于用户所处于的特殊环境，流氓软件不仅能够畅通无阻的去扫描用户的硬盘和内存，收集用户的任何信息和资料，牟取巨大的商业利益和其他筹码，还由于在其所处地区拥有强大的地位而畅通无阻，直至成为人们生活中离不开的装机必备的流氓软件。如果想知道那些表面上是“安全软件”，“影音工具”，“下载工具”，“网页浏览器”，“聊天工具”的流氓软件们背后都在做什么，他们如何靠这些“免费软件”来获得日进斗金的收益，可以借助Process Monitor这个小工具来看看它们都进行了哪些可疑的操作。

Process Monitor可以在微软官方网站下载到，目前最新版是Process Monitor v2.93（2010-9-29）

将Process Monitor压缩包下载完以后，解压到一个目录就可以使用了。首先打开Procmon.exe，这时会先弹出Process Monitor过滤器，可以用来缩小监视范围，当然默认设置也行，但是那样会监控所有程序，我们只需要监视那些可疑的流氓软件就行了。
一. 在第一栏下拉框里选择“Process Name”选项，也就是进程名称。其他还有“Path”（路径）；“Company”（公司名称）等。
二. 第二栏选择“is”（是）。其他还有“is not”（不是）；“contains”（包含）等。
三. 第三栏这里就要输入我们要监视的程序名称了，比如“XX.exe”之类的。
四. 第四栏选择“Include” （包含）。另一个选择是“Exclude”（排除）。
点中“Apply”，让Process Monitor开始工作。

设置Process Monitor

现在开始运行我们要监视的流氓软件，很快这个程序所进行的任何文件操作或注册表操作开始在Process Monitor中显示出来，如果你选中了“Auto Scroll”（自动滚屏），这个程序就会开始在Process Monitor中疯狂“刷屏”，露出自己的狐狸尾巴，当然一些狡猾的流氓软件则会选择“合适的时机”来扫描你的电脑，所以你可以多开Process Monitor一段时间。另外需要补充一下，据说一些客户端软件的行为可以随时由服务器端人为控制（就是个木马），所以不排除还有更多行为你在使用Process Monitor时候看不到。

Process Monitor监视效果

使用Process Monitor你就可以实时监视到任何程序有没有或都进行了哪些不相干的操作，比如是否乱摸乱动，是否很可疑的从后台发送信息到神秘的地址等等。当然Process Monitor只能做到监控，但是无法阻止流氓软件的行为，所以还是要靠其他安全工具来阻止流氓软件，但是有时候一个流氓软件有很大的背景势力，让一些安全工具因为自身利益不得不对其“网开一面”，不再对其“误杀”“误报”，所以最终的解决办法还是尽量让自己和身边的朋友远离这些流氓软件，尽量去使用开源软件和自由的非商业软件，这个世界上没有不可替代的软件，几乎每种应用都有自由开源的替代品，手脚都在自己手中，不要让这些肆意妄为的流氓捆绑住我们一代又一代，有位网友说得好，大意是“你不弃之因他人不弃，他人不弃因你不弃，如何终结？”。