ОТВЕТProcess Monitor — это мощный инструмент из пакета Sysinternals компании Microsoft, который позволяет отслеживать файловую систему, Реестр и активность процессов/потоков в режиме реального времени.Скачайте и запустите Process Monitor:

1. Скачайте монитор процесса с веб-сайта Microsoft Sysinternals (https://docs.microsoft.com/en-us/sysinternals/downloads/procmon).
2. Извлеките скачанный zip-файл и запустите Procmon.exe.
3. Настройка фильтров (необязательно):

• При первом запуске Process Monitor, он немедленно начинает запись событий. Это может привести к массовым данным, поэтому часто полезно настроить фильтры для сбора только интересующих вас данных.
• Перейдите в меню Filter, выберите Filter... или нажмите Ctrl + L.
• С помощью диалогового окна фильтра можно указать процессы, события или сведения, которые необходимо включить или исключить из захвата.

4. Начать захват:

• Если Process Monitor еще не собирает данные, можно начать с нажатия Ctrl + E или  пиктограммы на панели инструментов.
• Позвольте ему работать столько времени, сколько необходимо, чтобы фиксировать события, имеющие отношение к вашему расследованию.

5. Сохранить захват:

• После захвата необходимых данных можно остановить захват, нажав Ctrl + E еще раз или щелкнув значок.
• Чтобы сохранить захваченные данные, перейдите в меню "Файл" и выберите "Сохранить..." или нажмите Ctrl + S.
• Выберите местоположение, в котором необходимо сохранить файл журнала, укажите его имя и выберите формат. Формат файла PML является родным форматом журнала монитора процессов, однако отфильтрованные данные можно сохранить в файл CSV или XML.
• Нажмите «ОК», чтобы сохранить журнал.

6. Анализируйте захват:

•  После сохранения журнала его можно проанализировать, повторно открыв в Process Monitor или используя другие инструменты при экспорте в файл CSV или XML.
• В Process Monitor можно использовать инструменты и фильтры для навигации по захваченным данным и поиска необходимой информации.