A folyamatfigyelő megértése

Tartalomjegyzék:

A folyamatfigyelő megértése
A folyamatfigyelő megértése

Videó: A folyamatfigyelő megértése

Videó: A folyamatfigyelő megértése
Videó: How to make your WiFi speed faster / make your WiFi faster and stable - YouTube 2024, Lehet
Anonim
Ma a Geek Iskola e kiadásában megtanuljuk megtudni, hogy a Folyamatfigyelő segédprogram lehetővé teszi-e a motorháztető lebillenését, és nézze meg, hogy a kedvenc alkalmazásai mi a valóságban a színfalak mögött - milyen fájlokat használnak, a rendszerleíró kulcsok használatát, stb.
Ma a Geek Iskola e kiadásában megtanuljuk megtudni, hogy a Folyamatfigyelő segédprogram lehetővé teszi-e a motorháztető lebillenését, és nézze meg, hogy a kedvenc alkalmazásai mi a valóságban a színfalak mögött - milyen fájlokat használnak, a rendszerleíró kulcsok használatát, stb.

ISKOLAI NAVIGÁCIÓ

  1. Mi a SysInternals eszközök és hogyan használja őket?
  2. A folyamatérzékelő megértése
  3. A Folyamatérzékelő használata a hibaelhárításhoz és a diagnosztizáláshoz
  4. A folyamatfigyelő megértése
  5. A Folyamatmonitor használata a Hibaelhárítás és a Regisztrációs Hackok kereséséhez
  6. Az Autoruns használata az indítási folyamatokkal és a rosszindulatú programokkal
  7. A BgInfo használatával megjeleníti a rendszerinformációkat az asztalon
  8. A PsTools használatával más számítógépek vezérlése a parancssorból
  9. A fájlok, mappák és meghajtók elemzése és kezelése
  10. Felhúzás és az eszközök együttes használata

A Process Explorer segédprogrammal ellentétben, amelyen néhány napot töltöttünk le, a Process Monitor passzív pillantást jelent mindarra, ami a számítógépen történik, nem pedig aktív eszköz a folyamatok megöléséhez vagy a lezárások kezeléséhez. Ez olyan, mintha egy globális naplófájlba pillantott volna minden olyan eseményre, ami a Windows számítógépen történik.

Szeretné megérteni, hogy melyik rendszerleíró kulcsok a kedvenc alkalmazásod valójában tárolják a beállításokat? Szeretné kitalálni, hogy milyen fájlokat érinti a szolgáltatás és milyen gyakran? Szeretné látni, hogy egy alkalmazás hogyan csatlakozik a hálózathoz vagy új folyamatot nyit meg? A folyamatfigyelő a mentéshez.

Nem sok regisztrációs hack cikket bonyolítunk többé, de vissza, amikor először elkezdtük használni a Process Monitorot, hogy kitaláljuk, milyen rendszerleíró kulcsokról van szó, majd csavarja be azokat a rendszerleíró kulcsokat, hogy lássa, mi fog történni. Ha valaha is elgondolkoztál, hogy egy geek hogyan találtak ki egy regisztrációs hacket, amit senki sem látott, valószínűleg a Process Monitoron keresztül.

A Process Monitor segédprogramot két különböző régi iskola segédprogramok, a Filemon és a Regmon kombinálásával hozták létre, melyeket a fájlok és a nyilvántartás aktivitásának figyelemmel kísérésére használtak, ahogyan a nevük is utal. Miközben ezek a segédprogramok még mindig rendelkezésre állnak, és miközben megfelelnek az Ön igényeinek, sokkal jobb lenne, ha a Process Monitor-ot jobban látnák, mert jobban tudja kezelni a nagyszámú eseményt, mivel úgy tervezték,.

Érdemes megjegyezni, hogy a Process Monitor mindig rendszergazdai módot igényel, mivel egy rendszermag meghajtót tölt be a motorháztető alatt, hogy rögzítse az összes eseményt. Windows Vista és újabb verziók esetén az UAC párbeszédpanel felszólításra kerül, de az XP vagy 2003 esetében meg kell győződnie arról, hogy a használt fiók rendelkezik rendszergazdai jogosultságokkal.

A monitorfigyelő események

A Process Monitor rögzíti a tonna adatot, de nem rögzíti mindazokat a dolgokat, amelyek a számítógépen történik. Például a Process Monitor nem törődik az egér mozgatásával, és nem tudja, hogy az illesztőprogramok optimálisan működnek-e. Nem fogja követni, hogy mely folyamatok vannak nyitva, és a számítógép CPU-ját pazarolják - ez végül is a Process Explorer munkája.

Amit csinál, megragad bizonyos I / O (Input / Output) műveleteket, függetlenül attól, hogy a fájlrendszeren, a rendszerleíró adatbázison vagy akár a hálózaton keresztül történik-e. Ezenkívül néhány egyéb eseményt korlátozott módon is követni fog. Ez a lista az általa rögzített eseményeket tartalmazza:

  • Iktató hivatal - ez kulcsokat generálhat, olvashat, törölhet vagy lekérdezhet. Meg fogsz lepődni, hogy milyen gyakran történik ez.
  • Fájlrendszer - ez lehet fájl létrehozása, írása, törlése stb., És mind a helyi merevlemezekhez, mind a hálózati meghajtókhoz tartozhat.
  • Hálózat - ez megmutatja a TCP / UDP forgalom forrását és célját, de sajnos nem jeleníti meg az adatokat, így kevésbé hasznos.
  • Folyamat - Ezek olyan folyamatok és szálak eseményei, ahol egy folyamat elindul, egy téma elindul vagy kilép, stb. Ez bizonyos esetekben lehet hasznos információ, de gyakran a Process Explorerben szeretne nézni.
  • profilalkotás - Az eseményeket a Process Monitor rögzíti, hogy ellenőrizze az egyes folyamatok által használt processzoridő és a memória használatát. Ismét valószínűleg a Process Explorer használatával szeretné használni ezeket a dolgokat az idő nagy részének követéséhez, de hasznos itt, ha szüksége van rá.

Így a Process Monitor képes bármilyen típusú I / O műveletet rögzíteni, akár a rendszerleíró adatbázisban, a fájlrendszerben, akár a hálózaton keresztül is - bár a tényleges adatokat nem rögzítették. Csak azt vesszük szemügyre, hogy egy folyamat ezen folyamok egyikére ír, így később kideríthetjük, mi történik.

A folyamatfigyelő interfész

Amikor először tölti fel a Process Monitor felületet, akkor óriási számú adatrészlet jelenik meg, és több adat repül gyorsan, és ez túlsúlyos lehet. A legfontosabb az, hogy legyen némi ötleted arra vonatkozóan, hogy mit keresel, valamint amit keresel. Ez nem az a fajta eszköz, amelyet pihentető napot töltesz át, mert nagyon rövid idő alatt több millió sorot néz.
Amikor először tölti fel a Process Monitor felületet, akkor óriási számú adatrészlet jelenik meg, és több adat repül gyorsan, és ez túlsúlyos lehet. A legfontosabb az, hogy legyen némi ötleted arra vonatkozóan, hogy mit keresel, valamint amit keresel. Ez nem az a fajta eszköz, amelyet pihentető napot töltesz át, mert nagyon rövid idő alatt több millió sorot néz.

Az első dolog, amit meg akarsz csinálni, a több millió sor lefelé szűrése a sokkal kisebb részhalmazra, amelyet meg akarsz látni, és megtanuljuk megtanítani, hogy hogyan lehet szűrőket létrehozni és nullázni pontosan azon, amit meg akarsz találni. De először meg kell értened a felületet, és milyen adatok állnak rendelkezésre.

Az alapértelmezett oszlopok megtekintése

Az alapértelmezett oszlopok rengeteg hasznos információt mutatnak be, de feltétlenül szükség van némi kontextusra annak megértéséhez, hogy az egyes adatok ténylegesen tartalmaznak-e, mert egyesek úgy tűnhetnek, hogy valami rossz történik, ha valóban ártatlan eseményekről van szó, amelyek egész idő alatt bekövetkeznek. kapucni. Az alábbi alapértelmezett oszlopok használatosak:

  • Idő - ez az oszlop meglehetősen magától értetődő, azt mutatja, hogy az adott esemény hol történt.
  • Folyamat neve - az eseményt generáló folyamat neve. Ez nem mutatja a fájl teljes elérési útját alapértelmezés szerint, de ha áthelyezi a mező fölé, láthatja pontosan, hogy melyik folyamat volt.
  • PID - a folyamat folyamatazonosítója, amely az eseményt generálta. Ez nagyon hasznos, ha megpróbálja megérteni, hogy mely svchost.exe folyamat generálta az eseményt. Szintén nagyszerű módja annak, hogy elkülönítsünk egy folyamatot az ellenőrzéshez, feltételezve, hogy a folyamat nem indít újra.
  • Művelet - ez a bejelentkeztetett művelet neve, és van egy ikon, amely egyezik az egyik eseménytípussal (rendszerleíró adatbázis, fájl, hálózat, folyamat). Ezek kicsit zavarosak lehetnek, mint például a RegQueryKey vagy a WriteFile, de megpróbáljuk segíteni az összetévesztésen.
  • Pálya - ez nem a folyamat útja, hanem az az út, ahová az eseményen dolgoztunk. Például, ha volt WriteFile esemény, ez a mező megmutatja a megérintett fájl vagy mappa nevét. Ha ez egy rendszerleíró esemény, akkor azt mutatja, hogy a teljes kulcsot elérik.
  • Eredmény - Ez mutatja a művelet eredményét, amely a SUCCESS vagy az ACCESS DENIED kódot kódolja. Bár lehet, hogy kísértésbe merül, hogy automatikusan feltételezi, hogy egy BUFFER TOO SMALL valami nagyon rosszat jelentett, ami valójában nem a legtöbb esetben.
  • Részlet - olyan további információk, amelyek gyakran nem fordulnak elő a rendszeres geek hibakeresési világban.

Az alapértelmezett megjelenítéshez további oszlopokat is hozzáadhat az Opciók -> Oszlopok kiválasztása menüpontra. Ez nem lenne a mi ajánlásunk az első megállónál, amikor megkezdi a tesztelést, de mióta megmagyarázzuk az oszlopokat, érdemes megemlíteni.

Az egyik oka annak, hogy további oszlopokat adjon hozzá a kijelzőhöz, így nagyon gyorsan szűrheti ezeket az eseményeket anélkül, hogy túlterhelt volna az adatokkal. Íme néhány az általunk használt extra oszlopok közül, de a helyzet függvényében a listában szereplő többi felhasználó számára is hasznos lehet.
Az egyik oka annak, hogy további oszlopokat adjon hozzá a kijelzőhöz, így nagyon gyorsan szűrheti ezeket az eseményeket anélkül, hogy túlterhelt volna az adatokkal. Íme néhány az általunk használt extra oszlopok közül, de a helyzet függvényében a listában szereplő többi felhasználó számára is hasznos lehet.
  • Parancs sor - bár kétszer is kattinthat bármelyik eseményre, ha meg szeretné tekinteni az egyes események generálásához szükséges parancssori argumentumokat, hasznos lehet az összes lehetőség gyors áttekintése.
  • Cégnév - Ennek az oszlopnak az elsődleges oka az, hogy egyszerűen kizárhatja az összes Microsoft-eseményt, és szűkítheti nyomon a figyelmet minden másra, amely nem része a Windowsnak. (Biztosítani kell, hogy ne legyenek olyan furcsa rundll32.exe folyamatok, amelyek a Process Explorer használatával futtathatók, mivel azok elrejthetik a rosszindulatú programokat).
  • Szülő PID - ez nagyon hasznos lehet, ha olyan folyamatot próbál meg hibakeresni, amely sok gyermekprocesszort tartalmaz, például egy webböngészőt vagy olyan alkalmazást, amely a vázlatos dolgokat egy másik folyamatként kezeli. Ezután szűrheti a Szülõ PID segítségével, hogy mindent el lehessen fogni.

Érdemes megjegyezni, hogy oszlopadatokkal is szűrhet, még akkor is, ha az oszlop nem jelenik meg, de sokkal könnyebb a jobb egérgombbal kattintani és szűrni, mint kézzel csinálni. És igen, ismételten megemlítettük a szűrőket, még akkor is, ha még nem magyaráztuk őket.

Egyetlen esemény vizsgálata

A listákban szereplő dolgok megtekintése remek módja annak, hogy egyszerre sok különböző adatpontot gyorsan láthasson, de nem feltétlenül a legegyszerűbb módja egyetlen adat megvizsgálásának, és csak annyi információ található, amelyet a lista. Szerencsére kétszer is kattinthat bármelyik eseményre, hogy hozzáférjen egy kincseslányhoz.

Az alapértelmezett Esemény lap olyan információkat jelenít meg, amelyek nagyjából hasonlóak ahhoz, amit a listában láttál, de további információkat ad hozzá a pártnak. Ha fájlrendszer-eseményt keres, bizonyos információkat, például az attribútumokat, a fájl létrehozási idejét, a hozzáférést, amelyet megpróbált az írási művelet során, az írt bájtok számát és az időtartamot.

A Folyamat lapra való áttérés nagyszerű információkat tartalmaz az eseményt generáló folyamatról. Miközben általában a Process Explorer programot szeretné kezelni a folyamatok kezeléséhez, nagyon hasznos lehet, ha rengeteg információt kap az adott folyamatot létrehozó konkrét eseményről, különösen, ha valami nagyon gyorsan történt, majd eltűnt a folyamatlista. Így rögzítik az adatokat.
A Folyamat lapra való áttérés nagyszerű információkat tartalmaz az eseményt generáló folyamatról. Miközben általában a Process Explorer programot szeretné kezelni a folyamatok kezeléséhez, nagyon hasznos lehet, ha rengeteg információt kap az adott folyamatot létrehozó konkrét eseményről, különösen, ha valami nagyon gyorsan történt, majd eltűnt a folyamatlista. Így rögzítik az adatokat.
A Stack fül valami olyasmi, ami néha rendkívül hasznos lehet, de gyakran az idő nem lesz hasznos. Az ok, hogy miért szeretné megnézni a köteget, így hibaelhárítást végezhet, ha megvizsgálja a Modul oszlopot mindazokhoz, amelyek nem tűnnek igaznak.
A Stack fül valami olyasmi, ami néha rendkívül hasznos lehet, de gyakran az idő nem lesz hasznos. Az ok, hogy miért szeretné megnézni a köteget, így hibaelhárítást végezhet, ha megvizsgálja a Modul oszlopot mindazokhoz, amelyek nem tűnnek igaznak.

Például képzeld el, hogy egy folyamat folyamatosan próbálta lekérdezni vagy elérni egy nem létező fájlt, de nem tudta, miért.Megnézheted a Stack fület, és megnézheted, vannak-e olyan modulok, amelyek nem néztek ki helyesnek, majd kutassák őket. Lehet, hogy egy elavult összetevő, vagy akár rosszindulatú program is okozza a problémát.

Vagy találhatod meg, hogy itt semmi hasznos itt, és ez csak finom. Van még egy csomó más adat is.
Vagy találhatod meg, hogy itt semmi hasznos itt, és ez csak finom. Van még egy csomó más adat is.

Megjegyzések a puffer túlcsordulásáról

Mielőtt még tovább folytatnánk, meg szeretnénk jegyezni egy eredménykódot, amelyről sokat fogsz látni a listán, és az eddigi geek ismereteid alapján kicsit kicsúszhatsz. Tehát, ha elkezdi látni a BUFFER OVERFLOW listát, kérjük, ne feltételezzék, hogy valaki megpróbálja becsapni a számítógépet.

Következő oldal: A megfigyelő által rögzített adatok szűrése

Ajánlott:

A merevlemez particionálásának megértése a lemezkezeléssel

A merevlemez particionálásának megértése a lemezkezeléssel

A Geek Iskola mai kiadásában beszélni fogunk arról, hogyan használjuk a Lemezkezelést … de egy lépéssel tovább megyünk, és megmagyarázzuk a mester rendszerindítási rekordokat, a partíciós táblákat és a dinamikus lemezeket.

A Windows szolgáltatások megértése és kezelése

A Windows szolgáltatások megértése és kezelése

A mai Geek Iskola órájában megtanítunk Önt a Windows Services szolgáltatásról, és hogyan kezelheti azokat a beépített segédprogramokkal.

Az Android Oreo új Sideloading házirendének megértése

Az Android Oreo új Sideloading házirendének megértése

Az Android verzióiban, ameddig vissza tud emlékezni, a Play Áruházban nem szereplő alkalmazások általánosan "oldalra rakodnak", ha egy fiókot kattintsunk az eszköz Biztonsági menüjében. Az Oreóval ez megváltozik.

A Windows 10 új szinkronizálási beállításainak megértése

A Windows 10 új szinkronizálási beállításainak megértése

A Windows szinkronizálási beállításai az operációs rendszer részeként a Windows 8 óta, de a Windows 10 rendszerben átalakításra és valamilyen szükségszerű konszolidációra vonatkoznak. Ma megbeszéljük ezeket az új szinkronizálási beállításokat, és röviden össze tudjuk hasonlítani az előző verziótól való eltérést.

Online biztonság: A hackerek, a phishers és a számítógépes bűnözők megértése

Online biztonság: A hackerek, a phishers és a számítógépes bűnözők megértése

Voltál valaha a személyazonosság-lopás áldozata? Volt valaha csapkodva? Itt van az első olyan kritikus információs sorozatban, amely segít megragadni magad a hackerek, a phishers és a számítógépes bűnözők meglepően ijesztő világa ellen.