Process Monitor
Process Monitor ist aus File Monitor und Registry Monitor hervorgegangen. Beide Vorgänger sind damit überflüssig geworden und wurden eingestellt. Process Monitor überwacht im Hintergrund alle Details aller Prozesse und zeigt diese in Echtzeit an. Hier sehen Sie unter anderem, wie der Aufruf des betreffenden Prozesses genau lautete, oder welche Dateien und Registry-Schlüssel er geöffnet, gelesen, geschrieben und wieder geschlossen hat. Auch alle fehlgeschlagenen Versuche dieser Operationen verzeichnet Process Monitor. Praktisch: Process Monitor nimmt Ihnen Klickarbeit dadurch ab, dass Sie viel Information bereits im Tooltip zu sehen bekommen, wenn sie mit der Maus darüberfahren. Noch mehr gibt es per Doppelklick auf ein Ereignis.
Boot-Protokoll: Process Monitor kann ein ausführliches Boot-Protokoll erstellen. Dabei verwendet er einen eigenen Treiber, der sich so zeitig in das System einklinkt, dass er wirklich vom ersten Prozess an alles mitbekommt. Sie schalten das Boot-Protokoll im Menü über „Options, Enable Boot Logging“ ein. Beim nächsten Start von Process Monitor nach dem nächsten Windows-Start können Sie wählen, ob Sie die beim Booten gesammelten Daten speichern und darstellen lassen wollen. Es dauert ein wenig, bis sie zusammengestellt sind; danach haben Sie ein präzises Bild der ersten Sekunden ihres laufenden Systems. Die entsprechende Datei können Sie auch wiederholt öffnen, etwa wenn sie zwischendurch Process Monitor beendet oder wieder im Live-Modus benutzt hatten.