Procmon64

记录一次用process monitor - sysinternals优化windows后台过于活跃的进程

排查频繁出错的app

• 增加过滤器，result为success和reparse的结果排除掉，只看有问题的

• 翻看这些异常的行为

• DisplayFusion多屏工具的异常记录比较多
  • 看一下堆栈和详情

  • 

  • 看一下事件对应的注册表具体情况，发现确实没有这个项

  • 

  • 卸载了重装，发现这个工具初始状态就已经有这些报错了
  • 活动记录后面有个细节需要读权限，尝试管理员运行该软件，报错依旧
  • steam安装的最新版本10.1.2(2023.10.27)，软件官方这时推送了11.1.1(2025.01.29)升级后，报错依旧
  • chatgpt反馈：正常行为，这是程序设计的一部分，DisplayFusion 会检查是否存在某些注册表配置以决定加载哪些策略。若对应的注册表键不存在，返回“NAME NOT FOUND”并不影响程序的正常运行。

排查过于活跃的app

• 开启监控

• 优化前，按app活动1分钟统计

• 优化file次数前10的app
  • Procmon64.exe 监控期间自身的行为，跳过
  • MsMpEng.exe 微软杀毒软件，垃圾，可禁用，但doc蠕虫会漏，24年中过，传统工程项目组重灾
  • System 这名字，跳过
  • svchost.exe 4296 各种系统服务功能的载体，因WMI的服务活跃导致
  • NVDisplay.Container.exe 显卡的服务，直接到系统服务里找到nvidia相关的改为暂停+手动
  • wmiprvse.exe 微软的中间WMI服务，问题需要穿透到背后是哪个app调用它，大概率是微信活跃导致
    • 事件查看器 - 应用程序和服务日志 - Microsoft - Windows - WMI active
    • WMI active 右键，查看 - 显示分析和调试日志 点击选上，这时会多出2个子项，debug和trace
    • WMI active - trace 右键，启用
    • 排查刷屏事件的client id

    •   <Provider Name="Microsoft-Windows-WMI-Activity" Guid="{1418ef04-b0b4-4623-bf7e-d74ab47bbdaa}" /> 
        <Execution ProcessID="4296" ThreadID="16352" /> 
        
        <OperationId>5657</OperationId> 
        <Operation>IWbemServices::Connect</Operation> 
        
        <ClientProcessId>1428</ClientProcessId> 
        <ClientProcessCreationTime>133867290890863221</ClientProcessCreationTime> 
        <NamespaceName>ROOT\CIMV2</NamespaceName> 

    • 我就说是微信干的吧，嘿嘿
  • WeChat.exe 想想怎么整它，参照QQ的，于是微信升到最新版3.9.12，后台行为好了很多
  • DisplayFusion.exe 多屏快捷操作工具
  • ctfmon.exe 微软office安装选择时-共享功能-中文可选用户输入，卸载重装时，去掉这个选择
  • clash.exe 打工人学习工具，跳过
  • qq.com 官方9.9.17安装版，次数很少已老实，跳过
• 优化后，按app活动16分钟统计