Windows系统管理工具ProcDump与PsTools使用指南
1. ProcDump工具介绍
1.1 ProcDump与Procmon协同工作
当ProcDump运行时,Procmon会捕获事件,ProcDump会将其事件发送给Procmon。通过特定的过滤和高亮设置,可以看到文件、注册表、调试和异常事件发生的准确顺序,这是单独使用Procmon或ProcDump无法实现的。
1.2 非交互式运行ProcDump
ProcDump不需要在交互式桌面会话中运行。例如,当你有一个长时间运行的目标进程,不想在监控时保持登录状态,或者想跟踪在无人登录或注销期间发生的问题时,就可以非交互式运行它。
可以使用PsExec以System账户在非交互式会话和桌面中运行ProcDump,示例命令如下:
psexec -s -d cmd.exe /c procdump.exe -e -t testapp c:\temp\testapp.dmp ^> c:\temp\procdump.out 2^> c:\temp\procdump.err如果目标应用程序在注销期间崩溃,这种命令比ProcDump在同一会话中运行效果更好。但如果注销终止了目标应用程序,ProcDump将无法捕获转储文件。
需要注意的是,当目标进程与ProcDump在不同桌面运行时,ProcDump无法监控无响应的应用程序窗口。
1.3 从目标进程分离ProcDump
ProcDum
