Благодарим вас за обратную связь.

ANSWER
Process Monitor – это мощный инструмент из пакета Sysinternals Microsoft, который позволяет отслеживать файловую систему, Реестр и активность процессов/потоков в режиме реального времени.

Скачивание и запуск монитора процесса.

1. Скачайте мониторинг процесса с веб-сайта Microsoft Sysinternals (https://docs.microsoft.com/en-us/sysinternals/downloads/procmon).
2. Извлеките скачанный файл ZIP и запустите файл Procmon.exe.
3. Настройка фильтров (необязательно):

• При первом запуске Process Monitor он начинает запись событий немедленно. Это может привести к массовым данным, поэтому часто бывает полезно настроить фильтры для сбора только интересующих вас данных.
• Перейдите в меню Фильтр, выберите Фильтр... или нажмите Ctrl + L.
• С помощью диалогового окна фильтра можно указать, какие процессы, события или сведения необходимо включить или исключить из захвата.

4. Начать захват.

• Если Process Monitor еще не ведет запись данных, для начала можно нажать Ctrl + E или щелкнуть пиктограмму  на панели инструментов.
• Разрешите ему работать столько времени, сколько необходимо, чтобы фиксировать события, относящиеся к вашему расследованию.

5. Сохраните снимок.

• После сбора необходимых данных можно остановить запись, снова нажав Ctrl + E или щелкнув пиктограмму.
• Чтобы сохранить сохраненные данные, перейдите в меню Файл и выберите Сохранить... или нажмите Ctrl + S.
• Выберите расположение, в котором необходимо сохранить файл журнала, присвойте ему имя и выберите формат. Формат файла PML является стандартным форматом журнала Process Monitor, однако при необходимости можно сохранить отфильтрованные данные в файл CSV или XML.
• Щелкните ОК, чтобы сохранить журнал.

6. Анализ захвата.

•  После сохранения журнала его можно проанализировать, повторно открыв его в Process Monitor или используя другие инструменты, если он экспортирован в файл CSV или XML.
• В Process Monitor можно использовать инструменты и фильтры для навигации по записанным данным и поиска необходимой информации.