Я только что научился использовать Procmon.Из всех обучающих программ они сказали, что пользователь должен включить расширенный вывод для фильтрации.Я искал различия между расширенным выводом и нормальным выводом, но безуспешно.
Я обнаружил, что в нормальный вывод (отключить предварительный вывод),Операции находятся в этом списке: https://gist.github.com/mgeeky/f0d13172d557e5860c0301dbf847de60.
Их категории: FileSystem, ProcessThread, Registry, Network, Profiling.
В то время как при расширенный вывод , операции содержат IRP_MJ_CLOSE, FASTIO_RELEASE_FOR_SYNCHRONIZATION и т. Д.
Какие категории для расширенного вывода?
Спасибо!