A：停止/启动监视

B：设置过滤参数

C：显示进程树，可查看进程关系及执行周期

D：选择需要监视的操作（注册表、文档、网络等，一般只选择文档）

启动监视后，正常地操作软件，完成之后停止监视，可直接在当前界面进行分析，也可以将监视数据导出（菜单Filesàsave…），保存时最好选择“all events”，然后将保存出来的PML文件导入到Process Monitor上进行分析。

数据分析

1. 通过进程树可以查看应用程序相关的进程，这些进程基本可以设置为授权进程，不排除会调用公用进程（如cmd.exe），如果存在这样的进程，需要检查它所需要访问的文件（主要为临时文件），此类文件一般需要过滤；
2. 通过过滤设置查看重要文件（需要加密的文件）有被哪些进程访问、修改，这些进程需要添加到授权；
3. 对需要授权的进程访问及修改的文件进行分析，方法与ASC基本相同。