Kotisivu » koulu » Prosessimonitorin ymmärtäminen

    Prosessimonitorin ymmärtäminen

    Tänään tässä Geek School -julkaisussa opetamme sinulle, miten Process Monitor -apuohjelman avulla voit kurkistaa hupun alla ja nähdä, mitä suosikkisovelluksesi todella tekevät kulissien takana - mitä tiedostoja he käyttävät, rekisteriavaimet ne käyttö ja paljon muuta.

    KOULUN NAVIGOINTI
    1. Mitkä ovat SysInternals-työkalut ja miten niitä käytetään?
    2. Process Explorerin ymmärtäminen
    3. Process Explorerin käyttäminen vianmääritykseen ja diagnosointiin
    4. Prosessimonitorin ymmärtäminen
    5. Prosessimonitorin käyttäminen vianmääritykseen ja rekisterihakujen löytämiseen
    6. Käyttämällä Autorunsia käsitellä käynnistysprosesseja ja haittaohjelmia
    7. BgInfo-sovelluksen käyttäminen järjestelmän tietojen näyttämiseen työpöydällä
    8. PsTools-ohjelman käyttäminen muiden tietokoneiden ohjaamiseen komentoriviltä
    9. Tiedostojen, kansioiden ja asemien analysointi ja hallinta
    10. Työkalujen pakkaaminen ja käyttö yhdessä

    Toisin kuin Process Explorer -apuohjelma, jonka olemme käyttäneet muutaman päivän peitossa, prosessimonitorin on tarkoitus olla passiivinen tarkastelu kaikesta, mitä tapahtuu tietokoneessasi, ei aktiivisena työkaluna prosessien tai kädensijan sulkemiseen. Tämä on kuin kurkistaminen maailmanlaajuiseen lokitiedostoon jokaisesta Windows-tietokoneessa tapahtuvasta tapahtumasta.

    Haluatko ymmärtää, mitä rekisteriavaimia suosikkisovelluksesi todella tallentaa? Haluatko selvittää, mitä tiedostoja palvelu koskettaa ja kuinka usein? Haluatko nähdä, milloin sovellus muodostaa yhteyden verkkoon tai avaa uuden prosessin? Se on prosessinvalvoja pelastamiseen.

    Emme enää tee paljon rekisterin hakata artikkeleita, mutta kun aloitimme ensimmäisen kerran, käytämme prosessimonitoria selvittämään, mitä rekisteriavaimia käytettiin, ja siirry sitten näihin rekisteriavaimiin nähdäkseen, mitä tapahtuisi. Jos olet koskaan miettinyt, miten jotkut geekit totesivat rekisterin hakata, jota kukaan ei ole koskaan nähnyt, se oli luultavasti Process Monitorin kautta.

    Prosessimonitori-apuohjelma luotiin yhdistämällä kaksi eri vanhaa koulua käyttävää apuohjelmaa yhdessä, Filemon ja Regmon, joita käytettiin tiedostojen ja rekisteritoimintojen seuraamiseen niiden nimien mukaan. Vaikka nämä apuohjelmat ovat edelleen käytettävissä, ja vaikka ne sopivat tarpeisiisi, olisit paljon parempi prosessinvalvojan kanssa, koska se pystyy käsittelemään suuren määrän tapahtumia paremmin, koska se on suunniteltu tekemään niin.

    On myös syytä huomata, että Process Monitor vaatii aina järjestelmänvalvontatilan, koska se lataa ytimen ohjaimen hupun alla saadakseen kaikki nämä tapahtumat. Windows Vistassa ja uudemmissa versioissa sinua kehotetaan antamaan UAC-valintaikkuna, mutta XP: lle tai 2003: lle sinun on varmistettava, että käytössä olevalla tilillä on järjestelmänvalvojan oikeudet.

    Tapahtumat, jotka käsittelevät näyttöä

    Process Monitor kaappaa tonni dataa, mutta se ei tallenna jokaista PC: llä tapahtuvaa asiaa. Esimerkiksi Process Monitor ei välitä, jos siirrät hiirtäsi, eikä se tiedä, toimivatko ohjaimet optimaalisesti. Se ei aio seurata, mitkä prosessit ovat auki ja tuhlaa tietokoneessa olevaa CPU: ta - se on prosessin Explorerin tehtävä.

    Mitä se tekee, on tietyntyyppisten I / O (Input / Output) -toimintojen kaappaaminen riippumatta siitä, tapahtuvatko ne tiedostojärjestelmän, rekisterin tai jopa verkon kautta. Se seuraa myös muutamia muita tapahtumia rajoitetusti. Tämä luettelo kattaa tapahtumat, jotka se tallentaa:

    • kirjaamo - tämä voisi olla avainten luominen, lukeminen, poistaminen tai niiden kysely. Tulet yllättymään, kuinka usein tämä tapahtuu.
    • Tiedostojärjestelmä - tämä voi olla tiedostojen luominen, kirjoittaminen, poistaminen jne., ja se voi olla sekä paikallisia kiintolevyjä että verkkoasemia.
    • verkko - tämä näyttää TCP / UDP-liikenteen lähde ja kohde, mutta valitettavasti se ei näytä tietoja, joten se on hieman vähemmän hyödyllinen.
    • Käsitellä asiaa - Nämä ovat tapahtumia prosesseille ja säikeille, joissa prosessi käynnistetään, lanka käynnistyy tai poistuu jne. Tämä voi olla hyödyllistä tietoa tietyissä tapauksissa, mutta on usein jotain, jota haluat tarkastella Process Explorerissa.
    • profilointi - Prosessimonitori tallentaa nämä tapahtumat tarkistaakseen kunkin prosessin käyttämän prosessorin ajan ja muistin käytön. Jälleen kerran, haluat todennäköisesti käyttää Process Exploreria näiden asioiden seurantaan suurimman osan ajasta, mutta se on hyödyllistä tässä, jos tarvitset sitä.

    Prosessimonitori voi siepata minkä tahansa tyyppisiä I / O-toimintoja riippumatta siitä, tapahtuuko se rekisterin, tiedostojärjestelmän tai jopa verkon kautta - vaikka todellisia kirjoitettuja tietoja ei oteta talteen. Katsomme vain sitä, että prosessi kirjoittaa johonkin näistä virroista, joten voimme myöhemmin selvittää lisää siitä, mitä tapahtuu.

    Prosessimonitorin käyttöliittymä

    Kun lataat Process Monitor -käyttöliittymän ensimmäistä kertaa, näyttöön tulee valtava määrä tietorivejä, ja enemmän tietoja lentää nopeasti, ja se voi olla ylivoimainen. Tärkeintä on saada ainakin idea siitä, mitä etsit ja mitä etsit. Tämä ei ole sellainen työkalu, jota käytät rentouttavan päivän selaamisen kautta, koska hyvin lyhyessä ajassa näet miljoonia rivejä.

    Ensimmäinen asia, jonka haluat tehdä, on suodattaa miljoonia rivejä alaspäin paljon pienempään osajoukkoon, jota haluat nähdä, ja opetamme sinulle, miten voit luoda suodattimia ja nollata tarkalleen mitä haluat löytää . Mutta ensin sinun on ymmärrettävä käyttöliittymä ja mitä tietoja on todella saatavilla.

    Tarkastellaan oletuspylväitä

    Oletuspylväät osoittavat paljon hyödyllistä tietoa, mutta tarvitset varmasti jonkinlaisen kontekstin ymmärtääkseen, mitä tietoja kukin todella sisältää, koska jotkut niistä saattavat näyttää siltä, ​​että jotain pahaa tapahtui, kun ne ovat todella viattomia tapahtumia, jotka tapahtuvat koko ajan. huppu. Seuraavassa on, mitä kukin oletuskolonnista käytetään:

    • Aika - tämä sarake on melko itsestään selvä, se osoittaa tarkan ajan, jolloin tapahtuma tapahtui.
    • Prosessin nimi - tapahtuman tuottaneen prosessin nimi. Tämä ei näytä oletusarvoisesti tiedoston koko polkua, mutta jos siirrät kentän päälle, näet tarkasti, mikä prosessi oli.
    • PID - tapahtuman generoivan prosessin tunnus. Tämä on erittäin hyödyllistä, jos yrität ymmärtää, mikä svchost.exe-prosessi on tuottanut tapahtuman. Se on myös loistava tapa erottaa yksittäinen seurantaprosessi olettaen, että prosessi ei käynnisty uudelleen.
    • Operaatio - tämä on kirjautuvan toimenpiteen nimi ja kuvake, joka vastaa yhtä tapahtumatyyppistä (rekisteri, tiedosto, verkko, prosessi). Nämä voivat olla hieman hämmentäviä, kuten RegQueryKey tai WriteFile, mutta yritämme auttaa sinua sekaannuksessa.
    • polku - tämä ei ole prosessin polku, se on tie, johon tämä tapahtuma on työskennellyt. Jos esimerkiksi tapahtui WriteFile-tapahtuma, tämä kenttä näyttää kosketettavan tiedoston tai kansion nimen. Jos tämä oli rekisteritapahtuma, se osoittaisi koko avaimen.
    • Tulos - Tämä osoittaa operaation tuloksen, joka koodaa SYKYYS tai KÄYTTÖÖNOTETTU. Vaikka saatat olla kiusaus automaattisesti olettaa, että BUFFER TOO SMALL tarkoittaa jotain todella pahaa, se ei oikeastaan ​​ole suurimman osan ajasta.
    • Yksityiskohta - Lisätietoa, joka ei usein käännä säännölliseen geek-vianetsintäverkkoon.

    Voit myös lisätä joitakin sarakkeita oletusnäyttöön valitsemalla Valinnat -> Valitse sarakkeet. Tämä ei olisi meidän suosituksemme ensimmäiselle pysäkille, kun aloitat testauksen, mutta koska selitämme sarakkeita, on syytä mainita jo.

    Yksi syistä lisätä sarakkeita näyttöön on, että voit suodattaa näitä tapahtumia nopeasti ilman, että tietoja on hukattu. Seuraavassa on muutamia ylimääräisiä sarakkeita, joita käytämme, mutta saatat löytää joitakin luettelossa olevia käyttäjiä tilanteesta riippuen.

    • Komentorivi - kun voit kaksoisnapsauttaa mitä tahansa tapahtumaa nähdäksesi komentorivin argumentit prosessille, joka loi jokaisen tapahtuman, voi olla hyödyllistä nähdä nopeasti kaikki vaihtoehdot.
    • Yrityksen nimi - tärkein syy tähän sarakkeeseen on hyödyllinen, joten voit yksinkertaisesti sulkea kaikki Microsoft-tapahtumat nopeasti ja supistaa valvontaa kaikkeen muuhun, joka ei ole osa Windowsia. (Haluat varmistaa, että sinulla ei ole minkäänlaisia ​​outoja rundll32.exe-prosesseja, jotka käyttävät Process Explorer -ohjelmaa, koska ne saattavat piilottaa haittaohjelmat).
    • Vanhempi PID - tämä voi olla erittäin hyödyllistä, kun olet vianmäärittänyt prosessia, joka sisältää monia lapsia koskevia prosesseja, kuten web-selaimen tai sovelluksen, joka käynnistää luonnosteltavia asioita toisena prosessina. Voit sitten suodattaa vanhemman PID: n avulla varmistaaksesi, että otat kaiken.

    On syytä huomata, että voit suodattaa saraketietojen avulla, vaikka saraketta ei näytetä, mutta se on paljon helpompi napsauttaa hiiren oikealla painikkeella ja suodata kuin manuaalisesti. Ja kyllä, mainitsimme suodattimet uudelleen, vaikka emme ole vielä selittäneet niitä.

    Yksittäisen tapahtuman tutkiminen

    Luettelossa olevien asioiden tarkasteleminen on loistava tapa nähdä nopeasti useita eri tietopisteitä, mutta se ei varmasti ole helpoin tapa tutkia yksittäistä dataa, ja siinä on vain niin paljon tietoa, jota voit nähdä lista. Onneksi voit kaksoisnapsauttaa mitä tahansa tapahtumaa, jos haluat käyttää ylimääräisiä tietoja.

    Tapahtuma-välilehdessä on tietoja, jotka ovat suurelta osin samankaltaisia ​​kuin luettelossa näkyvä, mutta lisää hieman enemmän tietoa osapuolelle. Jos tarkastelet tiedostojärjestelmän tapahtumaa, voit nähdä tietyt tiedot, kuten määritteet, tiedoston luontiajan, kirjoitusoperaation aikana yritetyn käytön, kirjoitettujen tavujen määrän ja keston.

    Siirtyminen prosessin välilehdelle antaa sinulle paljon hienoa tietoa tapahtuman luomisesta. Haluat yleensä käyttää Process Exploreria käsittelemään prosesseja, mutta voi olla erittäin hyödyllistä saada paljon tietoa tiettyyn tapahtumaan liittyvästä prosessista, varsinkin jos se on tapahtunut hyvin nopeasti ja hävisi sitten prosessiluettelo. Näin tiedot tallennetaan.

    Stack-välilehti on jotain, joka on joskus erittäin hyödyllinen, mutta usein ajat eivät ole lainkaan hyödyllisiä. Syy, miksi haluat tarkastella pinota, on niin, että voit vianmäärityksen tutkimalla moduulin sarakkeesta mitään, mikä ei näytä aivan oikein.

    Kuvittele esimerkiksi, että prosessi yritti jatkuvasti kysyä tai käyttää tiedostoa, jota ei ole olemassa, mutta et ollut varma, miksi. Voit tarkastella Stack-välilehteä ja nähdä, onko olemassa moduuleja, jotka eivät näyttäneet oikein, ja sitten tutkivat niitä. Ongelma saattaa aiheuttaa vanhentuneen komponentin tai jopa haittaohjelman.

    Tai saatat huomata, että täällä ei ole mitään hyödyllistä, ja se on myös hieno. Muita tietoja on paljon.

    Huomautuksia puskurin ylivuodoista

    Ennen kuin edes edetä, haluamme huomata tuloskoodin, jonka alatte nähdä paljon luettelossa, ja perustuen tähän mennessä tähän mennessä saamiinne geek-tietoihin, saatat olla kummajainen. Joten jos aloitat BUFFER OVERFLOW: n näkymisen luettelossa, älä oleta, että joku yrittää hakata tietokonettasi.

    Seuraava sivu: Suoritetaan monitorin kaappaustietojen suodatus