После запуска потребление памяти увеличивается на 1,5-3 гб.

dimka11, попробуйте установить флажок «Drop filtered events» в меню \Filter\Drop filtered events. Разумеется, задав предварительно нужные фильтры.

Имею установщик программы. Хочу с помощью Process Monitor отследить что и куда копирует установщик.

Creator000, закройте лишние программы, начните ведение лога, запустите установщик. Потом лишние процессы, вроде антивируса, можно исключить из лога.

См. также [видео] Process Monitor: как отследить приложение, записывающее непонятные файлы на диск (http://www.outsidethebox.ms/11644/), но там известна папка заранее.

а всякие проводники csrss.exe можно исклучить? меня интересует что копируется в на жесткий и какие создаются изменения в реестре.

Creator000, да, и (внезапно!) по ссылке в видео показано и голосом рассказано, а в статье буквами написано, как именно это делается.

Creator000, да, и (внезапно!) по ссылке в видео показано и голосом рассказано, а в статье буквами написано, как именно это делается. »
уже посмотрел. все исключил кроме самого установщика. и все же как смотреть что он копировал? просто написано read file название установщика и его путь c:/user/admin/desktop.

Здравствуйте. Какие фильтры нужно установить в ProcessMonitor, что бы увидеть какие процессы запускаются в системе. Например установить фильтры, очистить список и если, например, в "Пуск-Выполнить" ввести "compmgmt.msc", мы увидим процесс mmc.exe.
P.S. Простите если не там создал тему.

что бы увидеть какие процессы запускаются в системе
Событие Process Create - создание процесса (кто Parent).
Событие Process Start - запуск.

Фильтр - Operation is.
Также дерево процессов можно посмотреть в меню Tools -> Process Tree.

Добрый день, друзья. Невозможно открыть лог в Process Monitor. Во такая ошибочка появляется (см. вложение 1) В чем проблема? И второй вопрос, что значит вот это окошко (см. вложение 2)? Товариищи, если можно поделитись документацией по данной программе, желательно на русском. Спасибо.

Товариищи, если можно поделитись документацией по данной программе, желательно на русском. »
В блоге у Vadikan'а (например, по тэгу sysinternals (http://www.outsidethebox.ms/tag/sysinternals/)). У Руссиновича, в оригинале или в переводе: Mark Russinovich по-русски - Site Home - TechNet Blogs (http://blogs.technet.com/b/mark_russinovich/) (тэгами снабжён неудачно, так что читайте всё подряд; в любом случае пригодится).

sjsdjsoiq,

Unable to Open Saved ProcMon File (http://forum.sysinternals.com/unable-to-open-saved-procmon-file_topic9702.html)
an active PML will never be readable if ProcMon does not close gracefully. This is because process lists, event indices, etc. don't get written until the file is closed. In a scenario where multiple PMLs are generated because of the length of the trace then ProcMon will generally close each PML soon after it opens a new one, and all PMLs except the last one will be readable even if the exit is not graceful.
Process monitor - мониторинг для продвинутых (https://www.techdays.ru/videos/1443.html)

sjsdjsoiq, по второму вопросу:
ProcMon настроен на запись журнала активности системы во время следующей загрузки.

ProcMon может генерировать события профилирования потоков, которые захватывают состояние всех запущенных приложений через определенные интервалы времени.
но с логами все равно не получается. »
Что не получается? Создать открыть созданный файл при загрузке системы?

Всем спасибо, но с логами все равно не получается.

Что не получается? Создать при загрузке системы? »
Создать получаеться. Открыть не получаеться. Посмотрите вложение под номером 1.

sjsdjsoiq,
Я, кажется, знаю, в чем ваша проблема. Process Monitor использует перехват системных вызовов. Подобную технологию используют некоторые руткиты. Понимаете, о чем я?? Если вы используете какое-то защитное ПО, то, вполне может быть, что оно препятствует правильной роботе программы. Я использую Comodo. Я попытался промониторить процесс загрузки системы. Программа создала лог файл. Но.... При попытке открыть созданный файл я получил такую же ошибку, как у вас.
Решение: временно отключите установленное у вас защитное ПО, не только отключите процесс в автозагрузке, но и остановите все сервисы, связанные с ним.

Казбек,
Спасибо. Проблема решена!

Здравствуйте. Ситуация такова - имеются установщики программ, игр и прочего. Нужно отследить, какие папки и пути реестра создает каждый из них, когда совершается установка программы или игры. Копался в интернете, экспериментировал с фильтрами - все равно получается какая-то ерунда. С английским дела обстоят туговато.
Даже при использовании фильтров, при одном только запуске установщика, уже огромное количество записей отображалось - обращения к разным разделам реестра, и т.д. Может кто-нибудь подсказать, как упростить работу с Process Monitor? Чтобы было что-то вроде "Запустил процесс - установил - в логе показало, какие были созданы папки и записи в реестре", без кучи ненужных записей, в которых черт ногу сломит

Может кто-нибудь подсказать, как упростить работу с Process Monitor? Чтобы было что-то вроде "Запустил процесс - установил - в логе показало, какие были созданы папки и записи в реестре", без кучи ненужных записей, в которых черт ногу сломит »
Используйте для этого другие приложения, делающие слепок реестра и файловой системы до инсталляции и после, а затем сравнивающие их и демонстрирующие результат, навскидку: Revo Uninstaller, Ashampoo Uninstaller и т.п., имя коим — легион.

DarkTooth, если с аглицким туговато, то объяснсть как настраивать фильтр в ProcMon'е если не трата времени, то потеря его значительной части - точно, тем паче для того, чтобы отследить что куда пишется лучше использовать что-то вроде RegShot'а или WhatChanged.