カレンダー
| 04 | 2024/05 | 06 |
| S | M | T | W | T | F | S |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
リンク
カテゴリー
フリーエリア
最新CM
最新記事
(01/03)
(06/25)
(06/22)
(06/14)
(05/21)
最新TB
プロフィール
HN:
IT業界の情弱
性別:
男性
バーコード
RSS
ブログ内検索
アーカイブ
最古記事
(02/12)
(02/12)
(02/14)
(02/26)
(03/03)
P R
忍者アナライズ
05.02.14:28
[PR]
02.14.01:06
Process Monitor を Enable Boot Logging してみた
プロセスモニターで最初にとらえたのは smss.exe だった。
==== >ここから< ====
0:43:01.6927956 smss.exe Process Start SUCCESS Parent PID: 4 NT AUTHORITY\SYSTEM C:\Windows\System32\smss.exe \SystemRoot\System32\smss.exe 0.0000000 Process
0:43:01.6928013 smss.exe Thread Create SUCCESS Thread ID: 316 NT AUTHORITY\SYSTEM C:\Windows\System32\smss.exe \SystemRoot\System32\smss.exe 0.0000000 Process
0:43:01.6931561 smss.exe Load Image C:\Windows\System32\smss.exe SUCCESS Image Base: 0x48050000, Image Size: 0x20000 NT AUTHORITY\SYSTEM C:\Windows\System32\smss.exe \SystemRoot\System32\smss.exe 0.0000000 Process
0:43:01.6931745 smss.exe Load Image C:\Windows\System32\ntdll.dll SUCCESS Image Base: 0x77ad0000, Image Size: 0x1a9000 NT AUTHORITY\SYSTEM C:\Windows\System32\smss.exe \SystemRoot\System32\smss.exe 0.0000000 Process
0:43:01.6945683 smss.exe Thread Create SUCCESS Thread ID: 320 NT AUTHORITY\SYSTEM C:\Windows\System32\smss.exe \SystemRoot\System32\smss.exe 0.0000000 Process
0:43:01.8987412 smss.exe Process Create C:\Windows\system32\autochk.exe SUCCESS PID: 332, Command line: \??\C:\Windows\system32\autochk.exe * NT AUTHORITY\SYSTEM C:\Windows\System32\smss.exe \SystemRoot\System32\smss.exe 0.0000000 Process
0:43:01.8987530 autochk.exe Process Start SUCCESS Parent PID: 312 NT AUTHORITY\SYSTEM C:\Windows\system32\autochk.exe \??\C:\Windows\system32\autochk.exe * 0.0000000 Process
0:43:01.8987624 autochk.exe Thread Create SUCCESS Thread ID: 336 NT AUTHORITY\SYSTEM C:\Windows\system32\autochk.exe \??\C:\Windows\system32\autochk.exe * 0.0000000 Process
0:43:01.8991148 autochk.exe Load Image C:\Windows\System32\autochk.exe SUCCESS Image Base: 0xff2b0000, Image Size: 0xc1000 NT AUTHORITY\SYSTEM C:\Windows\system32\autochk.exe \??\C:\Windows\system32\autochk.exe * 0.0000000 Process
0:43:01.8991500 autochk.exe Load Image C:\Windows\System32\ntdll.dll SUCCESS Image Base: 0x77ad0000, Image Size: 0x1a9000 NT AUTHORITY\SYSTEM C:\Windows\system32\autochk.exe \??\C:\Windows\system32\autochk.exe * 0.0000000 Process
0:43:02.4503864 autochk.exe Thread Exit SUCCESS Thread ID: 336, User Time: 0.0000000, Kernel Time: 0.0156001 NT AUTHORITY\SYSTEM C:\Windows\system32\autochk.exe \??\C:\Windows\system32\autochk.exe * 0.0000000 Process
0:43:02.4505430 autochk.exe Process Exit SUCCESS Exit Status: 0, User Time: 0.0000000 seconds, Kernel Time: 0.0156001 seconds, Private Bytes: 450,560, Peak Private Bytes: 450,560, Working Set: 978,944, Peak Working Set: 978,944 NT AUTHORITY\SYSTEM C:\Windows\system32\autochk.exe \??\C:\Windows\system32\autochk.exe * 0.0000000 Process
略,,,
==== >ここまで< ====
イベントログよりも 10 秒も早くロギング開始しているらしい。
==== >ここから< ====
ログの名前: System
ソース: EventLog
日付: 2012/02/14 0:43:12
イベント ID: 6009
説明:
Microsoft (R) Windows (R) 6.01. 7601 Service Pack 1 Multiprocessor Free.
==== >ここまで< ====
==== >ここから< ====
0:43:01.6927956 smss.exe Process Start SUCCESS Parent PID: 4 NT AUTHORITY\SYSTEM C:\Windows\System32\smss.exe \SystemRoot\System32\smss.exe 0.0000000 Process
0:43:01.6928013 smss.exe Thread Create SUCCESS Thread ID: 316 NT AUTHORITY\SYSTEM C:\Windows\System32\smss.exe \SystemRoot\System32\smss.exe 0.0000000 Process
0:43:01.6931561 smss.exe Load Image C:\Windows\System32\smss.exe SUCCESS Image Base: 0x48050000, Image Size: 0x20000 NT AUTHORITY\SYSTEM C:\Windows\System32\smss.exe \SystemRoot\System32\smss.exe 0.0000000 Process
0:43:01.6931745 smss.exe Load Image C:\Windows\System32\ntdll.dll SUCCESS Image Base: 0x77ad0000, Image Size: 0x1a9000 NT AUTHORITY\SYSTEM C:\Windows\System32\smss.exe \SystemRoot\System32\smss.exe 0.0000000 Process
0:43:01.6945683 smss.exe Thread Create SUCCESS Thread ID: 320 NT AUTHORITY\SYSTEM C:\Windows\System32\smss.exe \SystemRoot\System32\smss.exe 0.0000000 Process
0:43:01.8987412 smss.exe Process Create C:\Windows\system32\autochk.exe SUCCESS PID: 332, Command line: \??\C:\Windows\system32\autochk.exe * NT AUTHORITY\SYSTEM C:\Windows\System32\smss.exe \SystemRoot\System32\smss.exe 0.0000000 Process
0:43:01.8987530 autochk.exe Process Start SUCCESS Parent PID: 312 NT AUTHORITY\SYSTEM C:\Windows\system32\autochk.exe \??\C:\Windows\system32\autochk.exe * 0.0000000 Process
0:43:01.8987624 autochk.exe Thread Create SUCCESS Thread ID: 336 NT AUTHORITY\SYSTEM C:\Windows\system32\autochk.exe \??\C:\Windows\system32\autochk.exe * 0.0000000 Process
0:43:01.8991148 autochk.exe Load Image C:\Windows\System32\autochk.exe SUCCESS Image Base: 0xff2b0000, Image Size: 0xc1000 NT AUTHORITY\SYSTEM C:\Windows\system32\autochk.exe \??\C:\Windows\system32\autochk.exe * 0.0000000 Process
0:43:01.8991500 autochk.exe Load Image C:\Windows\System32\ntdll.dll SUCCESS Image Base: 0x77ad0000, Image Size: 0x1a9000 NT AUTHORITY\SYSTEM C:\Windows\system32\autochk.exe \??\C:\Windows\system32\autochk.exe * 0.0000000 Process
0:43:02.4503864 autochk.exe Thread Exit SUCCESS Thread ID: 336, User Time: 0.0000000, Kernel Time: 0.0156001 NT AUTHORITY\SYSTEM C:\Windows\system32\autochk.exe \??\C:\Windows\system32\autochk.exe * 0.0000000 Process
0:43:02.4505430 autochk.exe Process Exit SUCCESS Exit Status: 0, User Time: 0.0000000 seconds, Kernel Time: 0.0156001 seconds, Private Bytes: 450,560, Peak Private Bytes: 450,560, Working Set: 978,944, Peak Working Set: 978,944 NT AUTHORITY\SYSTEM C:\Windows\system32\autochk.exe \??\C:\Windows\system32\autochk.exe * 0.0000000 Process
略,,,
==== >ここまで< ====
イベントログよりも 10 秒も早くロギング開始しているらしい。
==== >ここから< ====
ログの名前: System
ソース: EventLog
日付: 2012/02/14 0:43:12
イベント ID: 6009
説明:
Microsoft (R) Windows (R) 6.01. 7601 Service Pack 1 Multiprocessor Free.
==== >ここまで< ====
PR
- トラックバックURLはこちら