wecooperate / imonitor Goto Github PK

选择了很多列，但只能显示一部分

建议增加一个Procmon的bootlogging功能，对于分析开机引导的恶意程序非常有用。

实现如下：
1、通过GUI写驱动服务自启、写驱动配置(捕获哪些数据、捕获多久/多大后自动停止还是手动停止、记录保存在哪里)；
2、重启系统后，驱动根据配置开始捕获数据，并写入记录文件到指定目录(procmon默认在windows目录，后缀为pmb文件)；
3、再次运行GUI程序时，检测是否为bootlogging状态(若此时还未重启系统，则不应检测bootlogging状态)，是则提示是否停止捕获，并转换记录展示在GUI界面。

Is there any chance that you can translate the tool into Portuguese (Brazil)?

there are no more endpoints available from the endpoint mapper when i start driver windows 10 20h2

原因：希望这个软件能帮助诊断 Windows 未知原因关机的问题 (由第三方软件触发的关机)
实现：希望能增加自动保存记录到硬盘的功能 (如果能增加接收到关机事件时触发保存的选项那更好)

该窗口用于展示与分组 count对应行数的未分组前各行数据。

使用中发现“丢弃被过滤事件”开关不会考虑以下5个开关的状态：

下载最新的版本，win7 x64驱动加载不了。
补丁已经安装了

关闭签名验证是可以的~

包括其进程以及其子进程和注入其他进程的线程等行为
比如和HRSword的组ID差不多

启动软件后，捕获了两万多条记录，几秒后就未响应卡死

如图所示，符号路径设置好了，但是这两个功能都无法使用

系统是 Windows11
iMonitor版本是2.5.3

最近想实现用 scoop 安装和管理 iMonitor，但是发现不知道 iMonitor 的配置文件在系统上的位置（如果存在这样一个文件的话）

然后希望如果 iMonitor 存在配置文件的话，可以在启动时默认寻找 iMonitor.exe 所在目录是否存在配置文件（类似于其他软件的 portable mode），这样就方便用 scoop 的 persist 功能来持久化配置了。

Scoop 是 Windows 上的一个包管理软件，类似于 winget 和 macOS 上的 Homebrew

iMonitor v2.1
分组前：

分组后：

是否分组后的事件计数应该等于1747+2167+875+2033==分组前的4161个事件？

imonitor 2.0

感谢贵团队制作的冰境软件，比Process Monitor好用不少（更流畅易用）

但是有一个小细节Process Monitor做的比较好，就是在编辑规则的时候，如果没有Add正在编辑的规则就直接点击确定的话，Procmon会有以下提示You did not add the item you were editing. Add it now?

希望冰镜可以改进这一点，因为经常忘记Add规则就直接点击确定，导致白编辑了哈哈

如上图，关掉后还是会弹出，点击查看证书：

iMonitor v2.0:

几乎所有主流软件，都有深色模式了。连Visual Studio都有了

用途：如 Result 列设为显示显示最后一条记录的结果，可用于快速判断一个dll是否查找成功：

目前只能把Result列也分组，查看不在一起的两条记录，不太方便。也可以支持按列排序来解决这个问题。

iMonitor 2.0.0