[Windows] Process Monitor

 Process Monitor 은 Sysinternals의 Filemone와 Regmone를 결합시킨 도구로 파일 시스템, 레지스트리, 네트워크, 프로세스, 스레드 등과 관련된 동작에 대한 정보를 로깅하는데 사용할 수 있다. Process Monitor 는 레지스트리 모니터링을 위해 ZwDeleteKey와 ZwSetValueKey 같은 함수를 후킹하는 커널 드라이버를 로딩하며 네트워크 활동은 윈도우 이벤트 추적을 사용해 캡처한다.  Options -> Enable Boot Logging를 이용하여 부팅시 호출하는 API를 확인 할 수 있다. 

https://docs.microsoft.com/en-us/sysinternals/downloads/procmon