Procmon注册表过滤条件写法

被一个很简单的Procmon问题困扰了很久,今天终于顿悟。

问题:使用Procmon过滤注册表项直接在注册表中右键菜单“复制项名称”然后直接粘贴在Procmon的过滤条件中,开始监控,却一直过滤不到想要的结果,但是如果不添加这个过滤条件Procmon就可以显示出程序操作该注册表的信息,并且在结果中右键选择“include“XXX””也可以成功,检查过滤条件path contains  include没发现问题。

纠结了几天,今天终于弄明白了这个问题,原因是:注册表中右键复制的路径是以类似HKEY_LOCAL_MACHINE形式开头,而Procmon过滤条件必须是简写后HKLM这种形式的路径,恍然大悟,看来细心还是很重要的。

Leave a Reply

电子邮件地址不会被公开。 必填项已用*标注