Skip to main content

Suprasti proceso monitorių

Suprasti proceso monitorių

Geoffrey Carr

Šiandien šiame Geek mokyklos leidime mes išmokysime jums apie tai, kaip "Process Monitor" įrankis leidžia jums žvilgtelėti po gaubtu ir pamatyti, kaip jūsų mėgstamiausios programos iš tiesų veikia už scenų - kokie failai jie pasiekia, registro raktus jie naudoti ir dar daugiau.

MOKYMO NAVIGACIJA
  1. Kokie yra "SysInternals" įrankiai ir kaip juos naudoti?
  2. "Process Explorer" supratimas
  3. "Procesoriaus" naršyklės naudojimas siekiant trikčių šalinimo ir diagnozės
  4. Suprasti proceso monitorių
  5. "Process Monitor" naudojimas, siekiant ištaisyti ir rasti registro hacks
  6. Autoruns naudojimas dirbant su paleisties procesais ir kenkėjiškomis programomis
  7. Naudojant BgInfo rodyti sistemos informaciją darbalaukyje
  8. Naudojant "PsTools" valdyti kitus kompiuterius iš komandinės eilutės
  9. Failų, aplankų ir diskų analizė ir valdymas
  10. Įpakavimas ir įrankių naudojimas kartu

Skirtingai nuo "Process Explorer" įrankio, kurį praleidome keletą dienų, "Process Monitor" yra skirtas pasyviai pažvelgti į viską, kas vyksta jūsų kompiuteryje, o ne aktyvaus įrankio, skirto žudyti procesus ar uždaryti rankenas. Tai panašu į kiekvieno įvykio, kuris vyksta jūsų "Windows" kompiuteryje, žvilgsnį į pasaulinę žurnalą.

Norite sužinoti, kokie registro raktus jūsų mėgstamiausia programa saugo savo nustatymus? Norite sužinoti, kokie failai yra susiję su paslauga ir kaip dažnai? Norite pamatyti, kada programa prisijungia prie tinklo arba atidaro naują procesą? Tai proceso monitorius gelbėjimui.

Mes dar neužmegztini daugybės registro praleidimo straipsnių, bet atgal, kai mes pirmą kartą pradėjome naudoti procesų monitorių, kad išsiaiškintume, kokie registro raktus buvo pasiekti, tada eikite keisti šiuos registro raktus, kad pamatytumėte, kas atsitiks. Jei kada nors susimąstėte, kaip kai kurie "geek" suprato registro įsilaužimą, kurio niekas niekada nematė, tikriausiai jis buvo per "Process Monitor".

"Process Monitor" įrankis buvo sukurtas, derinant dvi skirtingas senosios mokyklos programas kartu "Filemon" ir "Regmon", kurie buvo naudojami failų ir registro veiklai stebėti, kaip rodo jų pavadinimai. Nors šios komunalinės paslaugos vis dar yra prieinamos ir, nors jos gali tenkinti jūsų konkrečius poreikius, jums bus daug lengviau su "Process Monitor", nes jis gali geriau valdyti didelį įvykių skaičių dėl to, kad jis buvo sukurtas taip .

Taip pat verta paminėti, kad "Process Monitor" visada reikalauja administratoriaus režimo, nes įkrovos branduolio tvarkyklę po gaubtu, kad būtų užfiksuoti visi šie įvykiai. "Windows Vista" ir naujesnėse versijose būsite paraginti dialogo lango UAC, bet XP ar 2003 m. Turėsite įsitikinti, kad naudojama paskyra turi administratoriaus teises.

Renginiai, kuriuos užfiksuoja proceso monitorius

Proceso monitorius užfiksuoja daugybę duomenų, bet jame nėra užfiksuoti visi dalykai, kurie atsiranda kompiuteryje. Pavyzdžiui, "Process Monitor" nesirūpina, jei perkeliate pelę ir nežinote, ar jūsų tvarkyklės veikia optimaliai. Nebus stebima, kokie procesai yra atviri ir išskaitys jūsų kompiuteryje esantį procesorių - tai yra "Process Explorer" darbas.

Ką jis daro, yra surinkti tam tikrus įvesties / išvesties (įvesties / išvesties) veiksmus, nepriklausomai nuo to, ar jie vyksta per failų sistemą, registrą ar net tinklą. Be to, ribotu būdu bus stebima keletas kitų įvykių. Šis sąrašas apima įvykius, kuriuos jis užfiksuoja:

  • Registras - tai gali būti raktų kūrimas, jų skaitymas, jų ištrynimas arba jų užklausimas. Jūs būsite nustebinti, kaip tai dažnai būna.
  • Failų sistema - tai gali būti failų kūrimas, rašymas, ištrynimas ir tt, ir tai gali būti tiek vietiniams standžiajam įrenginiui, tiek tinklo diskams.
  • Tinklas - tai parodys TCP / UDP srauto šaltinį ir paskirties vietą, tačiau, deja, jis nerodo duomenų, todėl tai šiek tiek mažiau naudinga.
  • Procesas - Tai procesų ir temų įvykiai, kuriuose pradedamas procesas, pradedamas ar išjungiamas pokalbis ir tt Tai tam tikrais atvejais gali būti naudinga informacija, bet dažnai tai yra kažkas, į kurį norėtumėte pažvelgti "Process Explorer" vietoje.
  • Profiliavimas - Šie įvykiai yra užfiksuoti "Process Monitor", siekiant patikrinti kiekvieno proceso metu sunaudoto procesoriaus kiekį ir atminties naudojimą. Vėlgi tikriausiai norėtumėte naudoti "Procesoriaus" naršyklę daugeliui laiko stebėti šiuos dalykus, bet čia naudinga, jei jums to reikia.

Taigi "Process Monitor" gali užfiksuoti bet kokio tipo įvesties / išvesties operaciją, nesvarbu, ar tai vyksta per registrą, failų sistemą ar net tinklą, nors faktiniai įrašomi duomenys nėra užfiksuoti. Mes tiesiog žiūrime į tai, kad procesas yra vienas iš šių srautų, taigi vėliau galėsime sužinoti daugiau apie tai, kas vyksta.

Proceso monitoriaus sąsaja

Kai pirmą kartą įkelsite "Process Monitor" sąsają, jums bus pateiktas didžiulis duomenų eilučių skaičius, o daugiau duomenų skris greitai, ir tai gali būti nepaprastai svarbu. Svarbiausia yra turėti tam tikrą idėją bent jau apie tai, ką žiūrite, taip pat į tai, ko ieškote. Tai nėra priemonė, kurią praleidžiate per atostogos dienos peržiūrą, nes per labai trumpą laikotarpį ieškosite milijonų eilučių.

Pirmas dalykas, kurį norėsite padaryti, yra filtruoti tuos milijonus eilučių iki žymiai mažesnio duomenų dalių, kurias norite matyti, ir mes išmokysime jums kurti filtrus ir nulį tiksliai, ko norite rasti. . Bet pirmiausia turite suprasti sąsają ir kokie duomenys iš tikrųjų yra.

Žiūrėkite numatytuosius stulpelius

Numatytieji stulpeliai rodo toną naudingos informacijos, tačiau jums tikrai reikės tam tikro konteksto, kad suprastumėte, kokius duomenis kiekvienas iš tikrųjų turi, nes kai kurie iš jų gali atrodyti, kad kažkas blogo įvyko, kai jie yra tikrai nekalti įvykiai, kurie visą laiką vyksta pagal gaubtas. Štai ką naudoja kiekvienas numatytasis stulpelis:

  • Laikas - šis stulpelis yra gana savaime suprantamas, jis parodo tikslų įvykio įvykio laiką.
  • Proceso pavadinimas - proceso, kuris sukūrė įvykį, pavadinimas. Pagal nutylėjimą nepateikiamas visas kelias į failą, tačiau jei užveskite pelės žymeklį ant lauko, galite tiksliai pamatyti, koks procesas buvo.
  • PID - proceso, kuris sukūrė įvykį, proceso ID. Tai labai naudinga, jei bandote suprasti, kuris svchost.exe procesas sukūrė įvykį. Tai taip pat puikus būdas išskirti vieną stebėsenos procesą, darant prielaidą, kad tas procesas neatsivers.
  • Operacija - tai yra užregistruotos operacijos pavadinimas ir yra piktograma, atitinkanti vieną iš įvykių tipų (registro, failo, tinklo, proceso). Tai gali būti šiek tiek paini, kaip RegQueryKey arba WriteFile, bet mes stengiamės jums padėti supainioti.
  • Kelias - tai nėra proceso kelias, tai yra kelias į tai, kam šis įvykis dirba. Pavyzdžiui, jei įvyko įrašas WriteFile, šiame lauke bus rodomas liečiančio failo arba aplanko pavadinimas. Jei tai buvo registro įvykis, jis parodys visą prieigos raktą.
  • Rezultatas - Tai parodo operacijos, kurios kodas "SUCCESS" arba "ACCESS DENIED", rezultatas. Nors gali būti pagunda automatiškai daryti prielaidą, kad "BUFFER TOO SMALL" reiškia "kažką labai blogo", tai iš tikrųjų nėra didžiąją dalį laiko.
  • Išsamiau - papildoma informacija, kuri dažnai neperduodama į įprastą geeko trikčių šalinimo pasaulį.

Taip pat galite pridėti keletą papildomų stulpelių į numatytąjį ekraną, eikite į Funkcijos -> Pasirinkti stulpelius. Tai nebus mūsų rekomendacija pirmą kartą sustabdyti, kai pradėsite bandymus, tačiau kadangi paaiškiname stulpelius, tai verta paminėti jau.

Viena iš priežasčių, kodėl ekranui pridėti papildomų stulpelių, leidžia labai greitai filtruoti šiuos įvykius, neapsunkinant duomenų. Štai keletas papildomų stulpelių, kuriuos mes naudojame, tačiau, atsižvelgiant į situaciją, galite rasti kai kurių kitų sąraše.

  • Komandinė eilutė - nors jūs galite dukart spustelėti bet kokį įvykį, norėdami pamatyti komandinės eilutės argumentus procesui, kuris sukūrė kiekvieną įvykį, gali būti naudinga greitai sužinoti visas parinktis.
  • Įmonės pavadinimas - pagrindinė priežastis, kodėl šis stulpelis yra naudingas, todėl galite paprasčiausiai pašalinti visus "Microsoft" įvykius ir susiaurinti savo stebėjimą su viskuo, kas nėra "Windows" dalis. (Jūs norėsite įsitikinti, kad neturite jokių keistų rundll32.exe procesų, kurie paleidžiami naudojant "Process Explorer", nes jie gali paslėpti kenkėjišką programą).
  • Tėvų PID - tai gali būti labai naudinga, kai trikdysite procesą, kuriame yra daug vaikų procesų, pvz., Žiniatinklio naršyklę ar programą, kuri kaip nors kitą procesą leidžia paleisti įmantrus dalykus. Tada galite filtruoti pagal Tėvų PID, kad įsitikintumėte, kad užfiksavote viską.

Verta paminėti, kad galite filtruoti pagal stulpelių duomenis, net jei stulpelis nerodomas, bet jį lengviau dešiniuoju pelės klavišu spustelėti ir filtruoti, nei rankiniu būdu. Ir taip, mes vėl paminėjome filtrai, nors dar jų dar nepaaiškinome.

Tikrinti vieną įvykį

Sąraše esančių dalykų peržiūra yra puikus būdas greitai peržiūrėti daugybę skirtingų duomenų taškų vienu metu, tačiau tai nėra lengviausias būdas išnagrinėti atskirą duomenų dalį, ir jame yra tiek daug informacijos, kurią galite matyti sąrašas. Laimei, galite bet kuriuo įvykiu dukart spustelėti bet prieigai prie papildomos informacijos lobyno.

Numatytasis įvykių skirtukas pateikia jums informaciją, kuri iš esmės panaši į sąrašą, kurią jūs pamačiau sąraše, bet pridės šiek tiek daugiau informacijos šaliai. Jei pažvelgsite į failų sistemos įvykį, galėsite pamatyti tam tikrą informaciją, pvz., Atributus, failo sukūrimo laiką, prieigą, kuri bandyta įrašymo operacijos metu, įrašytų baitų skaičių ir trukmę.

Perjungimas į skirtuką "Procesas" suteikia jums daug puikios informacijos apie procesą, kuris sukūrė įvykį. Nors paprastai norėsite naudoti "Process Explorer", kad galėtumėte susidoroti su procesais, gali būti labai naudinga turėti daug informacijos apie konkretų procesą, kuris sukūrė konkretų įvykį, ypač jei tai yra kažkas, kas atsitiko labai greitai ir po to dingo iš procesų sąrašas. Tokiu būdu duomenys yra užfiksuoti.

"Stack" skirtukas yra kažkas, kuris kartais gali būti labai naudingas, tačiau dažnai kartų nebus naudinga. Priežastis, kodėl norėtumėte pažvelgti į krūvą, yra tokia, kad galėtumėte pašalinti triktis, išnagrinėję stulpelį "Modulis" visai, kas ne visai atrodo teisinga.

Pavyzdžiui, įsivaizduokite, kad procesas nuolat bando užklausti ar pasiekti failą, kurio nėra, bet jūs nežinote, kodėl.Galėtumėte peržiūrėti skirtuką "Stack" ir pamatyti, ar buvo modulių, kurie atrodė netinkami, ir tada juos ištirti. Galite rasti pasenusią komponentą ar net kenkėjišką programą, dėl kurio kilo problema.

Arba galbūt pastebėsite, kad čia nėra nieko naudingos jums, ir tai taip pat gerai. Yra daug kitų duomenų, į kuriuos reikia pažvelgti.

Pastabos dėl buferio perpildymo

Prieš imdamiesi tolesnio veiksmo, norime atkreipti dėmesį į rezultatų kodą, kurį ketinate daug pamatyti sąraše, ir remiantis visomis jūsų žinios apie geeką, galite šiek tiek pasibaisėti. Taigi, jei jūs pradėsite matyti BUFFER OVERFLOW sąraše, prašome nepriimkite, kad kažkas bando įsilaužti į kompiuterį.

Kitas puslapis: filtro duomenų, kuriuos apdoroja procesorius, užfiksuoja

Link
Plus
Send
Send
Pin