Suprasti procesų monitorių
Šiandien šiame Geek mokyklos leidime mes išmokysime jums, kaip „Process Monitor“ įrankis leidžia jums žiūrėti po gaubtu ir pamatyti, ką jūsų mėgstamos programos tikrai daro užkulisiuose - kokie failai jiems prieinami, registro raktai naudoti ir dar daugiau.
MOKYKLOS NAVIGACIJA- Kokie yra „SysInternals“ įrankiai ir kaip juos naudoti?
- Suprasti „Process Explorer“
- Proceso naršyklės naudojimas trikčių šalinimui ir diagnostikai
- Suprasti procesų monitorių
- Proceso monitoriaus naudojimas trikčių šalinimui ir registro talpyklų paieškai
- „Autoruns“ naudojimas sprendžiant paleidimo procesus ir kenkėjišką programą
- „BgInfo“ naudojimas sisteminei informacijai rodyti darbalaukyje
- Naudojant PsTools valdyti kitus kompiuterius iš komandinės eilutės
- Failų, aplankų ir diskų analizė ir valdymas
- Įrankių apvyniojimas ir naudojimas kartu
Skirtingai nei „Process Explorer“ įrankis, kurį praleidome keletą dienų, „Process Monitor“ yra skirtas pasyviai pažvelgti į viską, kas vyksta jūsų kompiuteryje, o ne į aktyvų įrankį žudyti procesus ar uždaryti rankenas. Tai tarsi žiūri į pasaulinį žurnalo failą kiekvienam įvykiui, kuris vyksta jūsų „Windows“ kompiuteryje.
Norite suprasti, kuriuos registro raktus jūsų mėgstamiausia programa faktiškai saugo? Norite išsiaiškinti, kokie failai veikia ir kiek dažnai? Norite pamatyti, kada programa prisijungia prie tinklo arba atidaro naują procesą? Tai procesų stebėjimo priemonė, skirta gelbėjimui.
Mes nebandome daug registro įsilaužimo straipsnių, bet, kai mes pirmą kartą pradėjome, mes naudosime „Process Monitor“, kad išsiaiškintume, kokie registro raktai buvo pasiekti, o tada pereikite prie tų registro raktų, kad pamatytumėte, kas atsitiks. Jei kada nors susimąstėte, kaip kai kurie geekai suprato registro įsilaužimą, kurio niekas niekada nematė, tikriausiai tai buvo „Process Monitor“.
Proceso stebėjimo įrankis buvo sukurtas derinant dvi skirtingas senosios mokyklos komunalines paslaugas, „Filemon“ ir „Regmon“, kurios buvo naudojamos failų ir registro veiklos stebėjimui, kaip rodo jų vardai. Nors šios komunalinės paslaugos vis dar yra prieinamos, ir nors jos gali atitikti jūsų konkrečius poreikius, jūs geriau dirbate su „Process Monitor“, nes jis gali geriau apdoroti daugybę įvykių dėl to, kad jis buvo sukurtas taip..
Taip pat verta paminėti, kad „Process Monitor“ visada reikalauja administratoriaus režimo, nes jis įkelia branduolio tvarkyklę po gaubtu, kad užfiksuotų visus šiuos įvykius. „Windows Vista“ ir vėlesnėse versijose jums bus pasiūlytas dialogo langas „UAC“, tačiau XP arba 2003 m. Turėsite įsitikinti, kad naudojama paskyra yra administratoriaus teisės.
Įvykiai, kurie apdoroja monitorių
Proceso monitorius užfiksuoja tonų duomenų, tačiau jis nesugeba užfiksuoti kiekvieno kompiuterio įvykio. Pavyzdžiui, „Process Monitor“ nerūpi, jei perkeliate pelę, ir nežino, ar jūsų tvarkyklės veikia optimaliai. Tai nesiruošia stebėti, kokie procesai yra atviri ir išeikvoti procesoriuje jūsų kompiuteryje.
Tai, ką ji daro, yra fiksuoti I / O (įvesties / išvesties) operacijų tipus, nesvarbu, ar jie vyksta per failų sistemą, registrą, ar net tinklą. Ji taip pat ribotai seka keletą kitų įvykių. Šis sąrašas apima įvykius, kuriuos jis užfiksavo:
- Registras - tai gali būti raktų kūrimas, jų skaitymas, jų ištrynimas arba jų užklausimas. Būsite nustebinti, kaip dažnai tai vyksta.
- Failų sistema - tai gali būti failų kūrimas, rašymas, ištrynimas ir tt, ir gali būti tiek vietiniams, tiek ir tinklo diskams.
- Tinklas - tai parodys TCP / UDP srauto šaltinį ir paskirties vietą, tačiau, deja, ji nerodo duomenų, todėl šiek tiek mažiau naudinga.
- Procesas - Tai įvykiai procesams ir temoms, kur prasideda procesas, siūlai prasideda ar išeina ir tt Tai gali būti naudinga informacija tam tikrais atvejais, tačiau dažnai tai yra kažkas, ką norėtumėte peržiūrėti „Process Explorer“.
- Profiliavimas - Šie įvykiai yra užfiksuoti „Process Monitor“, kad patikrintų kiekvienam procesui naudojamą procesoriaus laiką ir atminties naudojimą. Vėlgi, jūs tikriausiai norėtumėte naudoti „Process Explorer“ šių dalykų stebėjimui dažniausiai, tačiau naudinga čia, jei reikia.
Taigi proceso monitorius gali užfiksuoti bet kokio tipo I / O operacijas, nesvarbu, ar tai vyksta per registrą, failų sistemą, ar net tinklą - nors faktiniai duomenys nėra įrašyti. Mes tiesiog žvelgiame į tai, kad procesas rašomas į vieną iš šių srautų, todėl vėliau galime daugiau sužinoti apie tai, kas vyksta.
Proceso stebėjimo sąsaja
Kai pirmą kartą įkeliate „Process Monitor“ sąsają, jums bus pateiktas didžiulis duomenų eilučių skaičius, daugiau duomenų skrendant greitai, ir tai gali būti didžiulė. Svarbiausia yra turėti bent jau idėją apie tai, ką žiūrite, taip pat apie tai, ko ieškote. Tai ne toks įrankis, kurį praleidžiate atsipalaiduojančiai dienai, nes per labai trumpą laiką žiūrėsite į milijonus eilučių.
Pirmas dalykas, kurį norite padaryti, yra filtruoti tuos milijonus eilučių iki daug mažesnio duomenų, kuriuos norite matyti, pogrupio, ir mes išmokysime jus, kaip sukurti filtrus ir nulį tiksliai to, ką norite rasti . Tačiau pirmiausia turėtumėte suprasti sąsają ir kokie duomenys yra iš tikrųjų prieinami.
Žvelgiant į numatytuosius stulpelius
Numatytuose stulpeliuose pateikiama nemažai naudingos informacijos, tačiau jums tikrai reikės tam tikro konteksto, kad suprastumėte, kokie duomenys iš tikrųjų yra, nes kai kurie iš jų gali atrodyti blogai, kai jie yra tikrai nekalti įvykiai, kurie vyksta visą laiką. gaubtu. Štai ką kiekvienas numatytasis stulpelis naudojamas:
- Laikas - šis stulpelis yra gana savaime suprantamas, parodo tikslų įvykio laiką.
- Proceso pavadinimas - įvykio sukūrimo proceso pavadinimas. Pagal numatytuosius nustatymus tai neparodo viso kelio į failą, tačiau, jei nukreipiate virš lauko, galite tiksliai matyti, koks procesas buvo.
- PID - proceso, kuriame įvyko įvykis, proceso ID. Tai labai naudinga, jei bandote suprasti, kuris „svchost.exe“ procesas sukėlė įvykį. Tai taip pat yra puikus būdas atskirti vieną stebėsenos procesą, darant prielaidą, kad procesas neprasideda iš naujo.
- Operacija - tai yra operacijos, kuri yra registruojama, pavadinimas ir piktograma, atitinkanti vieną iš įvykių tipų (registras, failas, tinklas, procesas). Tai gali būti šiek tiek paini, pvz., „RegQueryKey“ arba „WriteFile“, bet bandysime jums padėti ir supainioti.
- Kelias - tai nėra proceso kelias, tai yra kelias į šį įvykį. Pavyzdžiui, jei įvyko „WriteFile“ įvykis, šiame lauke bus rodomas liesti failo ar aplanko pavadinimas. Jei tai būtų registro įvykis, jis parodytų visą raktą.
- Rezultatas - Tai parodo operacijos rezultatą, kuris koduoja tokius kaip SĖKMĖ arba PRIEINAMUMAS. Nors jums gali kilti pagunda automatiškai manyti, kad „BUFFER TOO SMALL“ reiškia, kad įvyko kažkas blogo, tai iš tikrųjų nėra didžiąją laiko dalį..
- Išsami informacija - papildoma informacija, kuri dažnai neįvertinama į įprastą geek trikčių šalinimo pasaulį.
Taip pat galite pridėti kai kuriuos papildomus stulpelius į numatytąjį ekraną, eikdami į Parinktys -> Pasirinkti stulpelius. Tai nebūtų mūsų rekomendacija jūsų pirmojo sustojimo metu, kai pradėsite testavimą, bet kadangi mes paaiškiname stulpelius, verta paminėti jau.
Viena iš priežasčių, kodėl pridedami papildomi stulpeliai, yra toks, kad tuos įvykius galite greitai filtruoti, nesuprasdami duomenų. Pateikiame keletą papildomų stulpelių, kuriuos mes naudojame, tačiau kai kuriuos kitus sąraše galite rasti naudodami priklausomai nuo situacijos.
- Komandinė eilutė - galite bet kuriuo atveju du kartus spustelėti, kad pamatytumėte komandų eilutės argumentus procesui, kuris sukūrė kiekvieną įvykį, gali būti naudinga greitai matyti visas parinktis.
- Įmonės pavadinimas - pagrindinė priežastis, dėl kurios ši skiltis yra naudinga, yra ta, kad jūs galite lengvai išskirti visus „Microsoft“ įvykius ir susiaurinti stebėseną į viską, kas nėra „Windows“ dalis. (Norėsite įsitikinti, kad neturite jokių keistų rundll32.exe procesų, naudojant procesoriaus naršyklę, nes jie gali slėpti kenkėjišką programą).
- Tėvų PID - tai gali būti labai naudinga tais atvejais, kai šalinate procesą, kuriame yra daug vaikų procesų, pvz., interneto naršyklę ar programą, kuri palaiko eskizinius dalykus kaip kitą procesą. Tada galite filtruoti tėvų PID, kad įsitikintumėte, jog užfiksuotas viskas.
Verta pažymėti, kad galite filtruoti pagal stulpelių duomenis, net jei stulpelis nerodomas, tačiau daug lengviau spustelėti dešiniuoju pelės klavišu ir filtruoti nei rankiniu būdu. Ir taip, mes vėl paminėjome filtrus, nors mes jų dar nepaaiškinome.
Vieno įvykio tyrimas
Duomenų peržiūra sąraše yra puikus būdas greitai pamatyti daugybę skirtingų duomenų taškų, tačiau tai nėra paprasčiausias būdas išnagrinėti vieną duomenų vienetą, ir yra tik tiek daug informacijos, kurią galite matyti sąrašą. Laimei, galite du kartus spustelėti bet kurį įvykį, kad galėtumėte gauti papildomos informacijos lobių.
Numatytasis įvykių skirtukas suteikia jums informaciją, kuri iš esmės panaši į tai, ką matėte sąraše, bet pridės šiek tiek daugiau informacijos šaliai. Jei žiūrite į failų sistemos įvykį, galėsite matyti tam tikrą informaciją, pvz., Atributus, failo kūrimo laiką, prieigą, kuri buvo bandoma rašymo operacijos metu, parašytų baitų skaičių ir trukmę.
Perėjimas prie skirtuko Procesas suteikia jums daug puikios informacijos apie procesą, kuris sukūrė įvykį. Nors paprastai norite naudoti „Process Explorer“ procesams spręsti, gali būti labai naudinga turėti daug informacijos apie konkretų procesą, kuris sukūrė konkretų įvykį, ypač jei tai įvyko labai greitai ir tada išnyko iš proceso sąrašas. Tokiu būdu duomenys užfiksuojami.
Skirtukas „Stack“ yra kažkas, kas kartais bus labai naudinga, tačiau dažnai laikai nebus naudingi. Priežastis, kodėl norėtumėte pažvelgti į steką, yra ta, kad galite išspręsti, išnagrinėdami modulio stulpelį, kad nieko, kas nėra teisinga.
Pavyzdžiui, įsivaizduokite, kad procesas nuolat bandė užklausą arba prieigą prie failo, kuris nėra, bet nežinote, kodėl. Galite peržiūrėti skirtuką „Stack“ ir pažiūrėti, ar buvo kokių nors modulių, kurie atrodė netinkami, ir tada juos ištirti. Problemą gali sukelti pasenęs komponentas arba net kenkėjiška programa.
Arba galite pastebėti, kad čia nėra nieko naudingo ir taip pat gerai. Yra daug kitų duomenų.
Pastabos dėl buferio perpildymo
Prieš tęsdami toliau, norime pažymėti rezultato kodą, kurį pradėsite matyti daugelyje sąrašų, ir remiantis visomis savo geek žiniomis iki šiol galėtumėte šiek tiek išgirsti. Taigi, jei pradėsite matyti BUFFER OVERFLOW sąraše, nereikia manyti, kad kažkas bando nulaužti kompiuterį.
Kitas puslapis: duomenų, kuriuos apdoroja monitorius, filtravimas