ESET Inspect – 目录

原始事件

单击要重定向到所选进程的进程详细信息的进程名称。要在计算机事件中查看,请右键单击原始事件的名称,然后单击在计算机事件中显示。使用屏幕顶部的过滤器优化显示的项列表。单击显示子进程事件以显示子进程事件。

侧边的进程树

进程树反映了进程之间的父子关系,其中子进程直接显示在其父进程的正下方并右缩进。侧边的进程是孤立的进程,其父进程已退出。

重要信息

早期的 Windows 版本不会生成 Windows Management Instrumentation 事件。此功能在 Windows 10 版本 1803 中可用。

某些事件会记录部分信息:

文件写入事件 - 第一个文件更改(按进程统计:如果有两个进程更改同一个文件,则两次更改都会被记录)。

注册表相关事件 - 第一个注册表项更改(首次由进程执行)。

DLLLoad - 未被 AV 列入白名单的 DLL。

TcpIp 事件 - 第一个连接(首次由进程执行)。

Http 事件 - 第一个请求(首次由进程执行)。

ModuleDrop(又名 PEDrop)- 首次放置给定模块(首次在计算机上执行)。

AmsiTriggerEvent - 首次执行(首次在计算机上执行)。

使用操作按钮来限制列出的进程的视图。