Понимание Process Monitor

Оглавление:

Понимание Process Monitor
Понимание Process Monitor

Видео: Понимание Process Monitor

Видео: Понимание Process Monitor
Видео: Ускорил Wi-Fi На Телефоне ПОМЕНЯВ ВСЕГО ОДНУ НАСТРОЙКУ - YouTube 2024, Май
Anonim
Сегодня в этом выпуске Geek School мы расскажем вам о том, как утилита Process Monitor позволяет вам заглянуть под капот и посмотреть, что ваши любимые приложения действительно делают за кулисами - какие файлы они обращаются, ключи реестра, которые они использование и т. д.
Сегодня в этом выпуске Geek School мы расскажем вам о том, как утилита Process Monitor позволяет вам заглянуть под капот и посмотреть, что ваши любимые приложения действительно делают за кулисами - какие файлы они обращаются, ключи реестра, которые они использование и т. д.

ШКОЛЬНАЯ НАВИГАЦИЯ

  1. Каковы инструменты SysInternals и как их использовать?
  2. Понимание Process Explorer
  3. Использование Process Explorer для устранения неполадок и диагностики
  4. Понимание Process Monitor
  5. Использование Process Monitor для устранения неполадок и поиска файлов реестра
  6. Использование автозапуска для работы с процессами запуска и вредоносными программами
  7. Использование BgInfo для отображения информации о системе на рабочем столе
  8. Использование PsTools для управления другими ПК из командной строки
  9. Анализ и управление файлами, папками и дисками
  10. Объединение и использование инструментов вместе

В отличие от утилиты Process Explorer, которую мы потратили на несколько дней, Process Monitor предназначен для пассивного просмотра всего, что происходит на вашем компьютере, а не активного инструмента для уничтожения процессов или закрытия дескрипторов. Это похоже на то, чтобы взглянуть на глобальный файл журнала для каждого отдельного события, которое происходит на вашем ПК с ОС Windows.

Хотите понять, какие ключи реестра ваше любимое приложение действительно хранит свои настройки? Хотите узнать, какие файлы обслуживает услуга, и как часто? Хотите узнать, когда приложение подключается к сети или открывает новый процесс? Это Process Monitor для спасения.

Мы больше не занимаемся обработкой статей, но назад, когда мы только начали, мы будем использовать Process Monitor, чтобы выяснить, какие ключи реестра были доступны, а затем перетащить эти ключи реестра, чтобы узнать, что произойдет. Если вы когда-нибудь задумывались над тем, как какой-то geek выяснил, что никто не видел, это был процесс Process Monitor.

Утилита Process Monitor была создана путем объединения двух разных утилит старой школы вместе, Filemon и Regmon, которые использовались для мониторинга файлов и активности реестра, поскольку их имена подразумевают. Хотя эти утилиты все еще доступны там, и, хотя они могут удовлетворить ваши конкретные потребности, вам будет намного лучше работать с Process Monitor, поскольку он может справиться с большим объемом событий лучше из-за того, что он был разработан для этого,

Также стоит отметить, что Process Monitor всегда требует режима администратора, потому что он загружает драйвер ядра под капотом, чтобы захватить все эти события. В Windows Vista и более поздних версиях вам будет предложено диалоговое окно UAC, но для XP или 2003 вам необходимо убедиться, что учетная запись, которую вы используете, имеет привилегии администратора.

События, которые отслеживает процесс мониторинга

Process Monitor захватывает тонну данных, но не фиксирует все, что происходит на вашем ПК. Например, Process Monitor не волнует, если вы двигаете мышью, и он не знает, работают ли ваши драйверы оптимально. Он не собирается отслеживать, какие процессы открыты и тратят процессор на ваш компьютер, - в этом все дело в Process Explorer.

То, что он делает, это захват определенных типов операций ввода / вывода (ввода / вывода), независимо от того, происходят они через файловую систему, реестр или даже сеть. Кроме того, он будет отслеживать несколько других событий ограниченным образом. Этот список охватывает события, которые он выполняет:

  • реестр - это может создавать ключи, читать их, удалять или запрашивать их. Вы будете удивлены, как часто это происходит.
  • Файловая система - это может быть создание файлов, запись, удаление и т. Д., И это может быть как для локальных жестких дисков, так и для сетевых дисков.
  • сеть - это покажет источник и назначение трафика TCP / UDP, но, к сожалению, он не отображает данные, что делает его менее полезным.
  • Процесс - Это события для процессов и потоков, в которых процесс запускается, поток запускается или завершается, и т. Д. Это может быть полезной информацией в определенных случаях, но часто это то, что вы хотели бы посмотреть в Process Explorer.
  • профилирование - Эти события захватываются Process Monitor для проверки количества процессорного времени, используемого каждым процессом, и использования памяти. Опять же, вы, вероятно, захотите использовать Process Explorer для отслеживания этих вещей большую часть времени, но это полезно здесь, если вам это нужно.

Таким образом, Process Monitor может захватывать любой тип операций ввода-вывода, независимо от того, происходит ли это через реестр, файловую систему или даже сеть - хотя фактические данные не записываются. Мы просто смотрим на то, что процесс пишет в один из этих потоков, поэтому мы можем позже узнать больше о том, что происходит.

Интерфейс монитора процессов

Когда вы сначала загружаете интерфейс Process Monitor, вам будет представлено огромное количество рядов данных, при этом данные будут летать быстро, и это может быть огромным. Ключ должен иметь некоторую идею, по крайней мере, о том, что вы смотрите, а также о том, что вы ищете. Это не тот инструмент, который вы проводите в режиме расслабляющего дневного просмотра, потому что в течение очень короткого периода времени вы будете смотреть на миллионы строк.
Когда вы сначала загружаете интерфейс Process Monitor, вам будет представлено огромное количество рядов данных, при этом данные будут летать быстро, и это может быть огромным. Ключ должен иметь некоторую идею, по крайней мере, о том, что вы смотрите, а также о том, что вы ищете. Это не тот инструмент, который вы проводите в режиме расслабляющего дневного просмотра, потому что в течение очень короткого периода времени вы будете смотреть на миллионы строк.

Первое, что вам нужно сделать, - это фильтровать эти миллионы строк до гораздо меньшего подмножества данных, которые вы хотите увидеть, и мы собираемся научить вас, как создавать фильтры и нулевое значение именно на том, что вы хотите найти, Но сначала вы должны понимать интерфейс и какие данные действительно доступны.

Просмотр столбцов по умолчанию

Столбцы по умолчанию показывают массу полезной информации, но вам определенно нужен какой-то контекст, чтобы понять, какие данные на самом деле содержатся в действительности, потому что некоторые из них могут выглядеть как что-то плохое, когда они действительно невинные события, которые происходят все время под капот. Вот что используется для каждого столбца по умолчанию:

  • Время - этот столбец достаточно понятен, он показывает точное время возникновения события.
  • Имя процесса - имя процесса, сгенерировавшего событие. Это не показывает полный путь к файлу по умолчанию, но если вы наводите курсор мыши на поле, вы можете точно определить, какой из них был.
  • PID - идентификатор процесса процесса, сгенерировавшего событие. Это очень полезно, если вы пытаетесь понять, какой процесс svchost.exe сгенерировал событие. Это также отличный способ изолировать один процесс для мониторинга, предполагая, что процесс не перезапускается сам.
  • операция - это имя операции, которая регистрируется, и есть значок, который соответствует одному из типов событий (реестр, файл, сеть, процесс). Это может быть немного запутанным, например RegQueryKey или WriteFile, но мы попытаемся помочь вам в путанице.
  • Дорожка - это не путь процесса, это путь к тому, над чем было обработано это событие. Например, если было событие WriteFile, в этом поле будет указано имя файла или папки, к которой нужно коснуться. Если это событие реестра, оно будет показывать полный доступ к ключу.
  • Результат - Это показывает результат операции, которая кодируется как SUCCESS или ACCESS DENIED. В то время как у вас может возникнуть соблазн автоматически предположить, что BUFFER TOO SMALL означает, что что-то действительно произошло плохо, на самом деле это не так в большинстве случаев.
  • подробность - дополнительная информация, которая нередко не переводится в мир поиска и устранения неполадок.

Вы также можете добавить некоторые дополнительные столбцы на дисплей по умолчанию, выбрав «Параметры» -> «Выбор столбцов». Это не будет нашей рекомендацией для вашей первой остановки, когда вы начнете тестирование, но поскольку мы объясняем столбцы, стоит упомянуть об этом.

Одной из причин добавления дополнительных столбцов на дисплей является то, что вы можете очень быстро фильтровать эти события, не перегружая данными. Вот несколько дополнительных столбцов, которые мы используем, но вы можете найти применение для некоторых других в списке в зависимости от ситуации.
Одной из причин добавления дополнительных столбцов на дисплей является то, что вы можете очень быстро фильтровать эти события, не перегружая данными. Вот несколько дополнительных столбцов, которые мы используем, но вы можете найти применение для некоторых других в списке в зависимости от ситуации.
  • Командная строка - в то время как вы можете дважды щелкнуть любое событие, чтобы увидеть аргументы командной строки для процесса, сгенерированного каждым событием, может быть полезно быстро просмотреть все параметры.
  • название компании - основная причина, по которой этот столбец полезен, заключается в том, что вы можете просто исключить все события Microsoft быстро и сузить свой мониторинг ко всему остальному, что не является частью Windows. (Вы хотите убедиться, что у вас нет каких-либо странных процессов rundll32.exe, работающих с помощью Process Explorer, хотя они могут скрывать вредоносное ПО).
  • Родительский PID - это может быть очень полезно при устранении неполадок процесса, который содержит много дочерних процессов, таких как веб-браузер или приложение, которое продолжает запускать отрывочные вещи в качестве другого процесса. Затем вы можете фильтровать Parent PID, чтобы убедиться, что вы все захватили.

Стоит отметить, что вы можете фильтровать данные по столбцам, даже если столбец не отображается, но гораздо проще щелкнуть правой кнопкой мыши и фильтровать, чем вручную. И да, мы снова упомянули фильтры, хотя мы еще не объяснили их.

Изучение одного события

Просмотр вещей в списке - отличный способ быстро увидеть много разных точек данных сразу, но это определенно не самый простой способ изучить один фрагмент данных, и есть только так много информации, которую вы можете увидеть в список. К счастью, вы можете дважды щелкнуть любое событие, чтобы получить доступ к сокровищнице дополнительной информации.

На вкладке «Событие по умолчанию» вы получаете информацию, которая во многом похожа на то, что вы видели в списке, но добавляет немного дополнительной информации для участника. Если вы посмотрите на событие файловой системы, вы сможете увидеть определенную информацию, такую как атрибуты, время создания файла, доступ, который был предпринят во время операции записи, количество записанных байтов и продолжительность.

Переключение на вкладку «Процесс» дает вам много отличной информации о процессе, который вызвал событие. Хотя вы обычно хотите использовать Process Explorer для обработки процессов, может быть очень полезно иметь много информации о конкретном процессе, который генерировал конкретное событие, особенно если это произошло очень быстро, а затем исчезло из список процессов. Таким образом, данные захватываются.
Переключение на вкладку «Процесс» дает вам много отличной информации о процессе, который вызвал событие. Хотя вы обычно хотите использовать Process Explorer для обработки процессов, может быть очень полезно иметь много информации о конкретном процессе, который генерировал конкретное событие, особенно если это произошло очень быстро, а затем исчезло из список процессов. Таким образом, данные захватываются.
Вкладка «Стек» - это то, что иногда будет чрезвычайно полезно, но часто время не будет полезно вообще. Причина, по которой вы хотели бы посмотреть на стек, заключается в том, что вы можете устранить неполадки, просмотрев столбец Module для всего, что не выглядит совершенно правильно.
Вкладка «Стек» - это то, что иногда будет чрезвычайно полезно, но часто время не будет полезно вообще. Причина, по которой вы хотели бы посмотреть на стек, заключается в том, что вы можете устранить неполадки, просмотрев столбец Module для всего, что не выглядит совершенно правильно.

Например, представьте, что процесс постоянно пытался запросить или получить доступ к файлу, который не существует, но вы не были уверены, почему.Вы можете просмотреть вкладку «Стек» и посмотреть, есть ли какие-либо модули, которые не выглядели правильно, а затем исследовать их. Проблема может быть вызвана устаревшим компонентом или даже вредоносным ПО.

Или вы можете обнаружить, что для вас нет ничего полезного, и это тоже хорошо. Существует много других данных.
Или вы можете обнаружить, что для вас нет ничего полезного, и это тоже хорошо. Существует много других данных.

Примечания о переполнении буфера

Прежде чем мы продолжим дальше, мы захотим отметить код результата, который вы собираетесь увидеть в списке, и на основе всех ваших знаний об игре до сих пор вы можете немного рассердиться. Так что, если вы начнете видеть BUFFER OVERFLOW в списке, пожалуйста, не предполагайте, что кто-то пытается взломать ваш компьютер.

Следующая страница: Фильтрация данных, которые обрабатывает монитор процесса

Рекомендуемые:

Понимание и управление службами Windows

Понимание и управление службами Windows

В уроке «Уроки Geek» мы научим вас о Windows Services и о том, как управлять ими, используя встроенные утилиты.

Понимание новой стратегии загрузки Android Oreo

Понимание новой стратегии загрузки Android Oreo

В версиях Android, о которых помнит ум, приложения, не найденные в Play Store, могут быть повсеместно «загружены», отметив один флажок в меню «Безопасность» устройства. С Oreo это меняется.

Понимание путешествия во времени на Apple Watch

Понимание путешествия во времени на Apple Watch

Сегодня мы хотим поговорить о Time Travel. Нет, мы не будем на самом деле идти вперед и назад временно. Скорее, мы хотим поговорить о Time Travel, поскольку он относится к Apple Watch, для чего он нужен и что он делает.

Использование Process Monitor для устранения неполадок и поиска файлов реестра

Использование Process Monitor для устранения неполадок и поиска файлов реестра

В сегодняшнем выпуске Geek School мы научим вас, как использовать Process Monitor для фактического выполнения поиска и устранения неполадок в реестре, о которых вы бы не знали.

Понимание Process Explorer

Понимание Process Explorer

Этот урок в нашей серии Geek School охватывает Process Explorer, возможно, самое используемое и полезное приложение в наборе инструментов SysInternals. Но насколько хорошо вы знаете эту полезность?