ISKOLAI NAVIGÁCIÓ
- Mi a SysInternals eszközök és hogyan használja őket?
- A folyamatérzékelő megértése
- A Folyamatérzékelő használata a hibaelhárításhoz és a diagnosztizáláshoz
- A folyamatfigyelő megértése
- A Folyamatmonitor használata a Hibaelhárítás és a Regisztrációs Hackok kereséséhez
- Az Autoruns használata az indítási folyamatokkal és a rosszindulatú programokkal
- A BgInfo használatával megjeleníti a rendszerinformációkat az asztalon
- A PsTools használatával más számítógépek vezérlése a parancssorból
- A fájlok, mappák és meghajtók elemzése és kezelése
- Felhúzás és az eszközök együttes használata
A Process Explorer segédprogrammal ellentétben, amelyen néhány napot töltöttünk le, a Process Monitor passzív pillantást jelent mindarra, ami a számítógépen történik, nem pedig aktív eszköz a folyamatok megöléséhez vagy a lezárások kezeléséhez. Ez olyan, mintha egy globális naplófájlba pillantott volna minden olyan eseményre, ami a Windows számítógépen történik.
Szeretné megérteni, hogy melyik rendszerleíró kulcsok a kedvenc alkalmazásod valójában tárolják a beállításokat? Szeretné kitalálni, hogy milyen fájlokat érinti a szolgáltatás és milyen gyakran? Szeretné látni, hogy egy alkalmazás hogyan csatlakozik a hálózathoz vagy új folyamatot nyit meg? A folyamatfigyelő a mentéshez.
Nem sok regisztrációs hack cikket bonyolítunk többé, de vissza, amikor először elkezdtük használni a Process Monitorot, hogy kitaláljuk, milyen rendszerleíró kulcsokról van szó, majd csavarja be azokat a rendszerleíró kulcsokat, hogy lássa, mi fog történni. Ha valaha is elgondolkoztál, hogy egy geek hogyan találtak ki egy regisztrációs hacket, amit senki sem látott, valószínűleg a Process Monitoron keresztül.
A Process Monitor segédprogramot két különböző régi iskola segédprogramok, a Filemon és a Regmon kombinálásával hozták létre, melyeket a fájlok és a nyilvántartás aktivitásának figyelemmel kísérésére használtak, ahogyan a nevük is utal. Miközben ezek a segédprogramok még mindig rendelkezésre állnak, és miközben megfelelnek az Ön igényeinek, sokkal jobb lenne, ha a Process Monitor-ot jobban látnák, mert jobban tudja kezelni a nagyszámú eseményt, mivel úgy tervezték,.
Érdemes megjegyezni, hogy a Process Monitor mindig rendszergazdai módot igényel, mivel egy rendszermag meghajtót tölt be a motorháztető alatt, hogy rögzítse az összes eseményt. Windows Vista és újabb verziók esetén az UAC párbeszédpanel felszólításra kerül, de az XP vagy 2003 esetében meg kell győződnie arról, hogy a használt fiók rendelkezik rendszergazdai jogosultságokkal.
A monitorfigyelő események
A Process Monitor rögzíti a tonna adatot, de nem rögzíti mindazokat a dolgokat, amelyek a számítógépen történik. Például a Process Monitor nem törődik az egér mozgatásával, és nem tudja, hogy az illesztőprogramok optimálisan működnek-e. Nem fogja követni, hogy mely folyamatok vannak nyitva, és a számítógép CPU-ját pazarolják - ez végül is a Process Explorer munkája.
Amit csinál, megragad bizonyos I / O (Input / Output) műveleteket, függetlenül attól, hogy a fájlrendszeren, a rendszerleíró adatbázison vagy akár a hálózaton keresztül történik-e. Ezenkívül néhány egyéb eseményt korlátozott módon is követni fog. Ez a lista az általa rögzített eseményeket tartalmazza:
- Iktató hivatal - ez kulcsokat generálhat, olvashat, törölhet vagy lekérdezhet. Meg fogsz lepődni, hogy milyen gyakran történik ez.
- Fájlrendszer - ez lehet fájl létrehozása, írása, törlése stb., És mind a helyi merevlemezekhez, mind a hálózati meghajtókhoz tartozhat.
- Hálózat - ez megmutatja a TCP / UDP forgalom forrását és célját, de sajnos nem jeleníti meg az adatokat, így kevésbé hasznos.
- Folyamat - Ezek olyan folyamatok és szálak eseményei, ahol egy folyamat elindul, egy téma elindul vagy kilép, stb. Ez bizonyos esetekben lehet hasznos információ, de gyakran a Process Explorerben szeretne nézni.
- profilalkotás - Az eseményeket a Process Monitor rögzíti, hogy ellenőrizze az egyes folyamatok által használt processzoridő és a memória használatát. Ismét valószínűleg a Process Explorer használatával szeretné használni ezeket a dolgokat az idő nagy részének követéséhez, de hasznos itt, ha szüksége van rá.
Így a Process Monitor képes bármilyen típusú I / O műveletet rögzíteni, akár a rendszerleíró adatbázisban, a fájlrendszerben, akár a hálózaton keresztül is - bár a tényleges adatokat nem rögzítették. Csak azt vesszük szemügyre, hogy egy folyamat ezen folyamok egyikére ír, így később kideríthetjük, mi történik.
A folyamatfigyelő interfész
Az első dolog, amit meg akarsz csinálni, a több millió sor lefelé szűrése a sokkal kisebb részhalmazra, amelyet meg akarsz látni, és megtanuljuk megtanítani, hogy hogyan lehet szűrőket létrehozni és nullázni pontosan azon, amit meg akarsz találni. De először meg kell értened a felületet, és milyen adatok állnak rendelkezésre.
Az alapértelmezett oszlopok megtekintése
Az alapértelmezett oszlopok rengeteg hasznos információt mutatnak be, de feltétlenül szükség van némi kontextusra annak megértéséhez, hogy az egyes adatok ténylegesen tartalmaznak-e, mert egyesek úgy tűnhetnek, hogy valami rossz történik, ha valóban ártatlan eseményekről van szó, amelyek egész idő alatt bekövetkeznek. kapucni. Az alábbi alapértelmezett oszlopok használatosak:
- Idő - ez az oszlop meglehetősen magától értetődő, azt mutatja, hogy az adott esemény hol történt.
- Folyamat neve - az eseményt generáló folyamat neve. Ez nem mutatja a fájl teljes elérési útját alapértelmezés szerint, de ha áthelyezi a mező fölé, láthatja pontosan, hogy melyik folyamat volt.
- PID - a folyamat folyamatazonosítója, amely az eseményt generálta. Ez nagyon hasznos, ha megpróbálja megérteni, hogy mely svchost.exe folyamat generálta az eseményt. Szintén nagyszerű módja annak, hogy elkülönítsünk egy folyamatot az ellenőrzéshez, feltételezve, hogy a folyamat nem indít újra.
- Művelet - ez a bejelentkeztetett művelet neve, és van egy ikon, amely egyezik az egyik eseménytípussal (rendszerleíró adatbázis, fájl, hálózat, folyamat). Ezek kicsit zavarosak lehetnek, mint például a RegQueryKey vagy a WriteFile, de megpróbáljuk segíteni az összetévesztésen.
- Pálya - ez nem a folyamat útja, hanem az az út, ahová az eseményen dolgoztunk. Például, ha volt WriteFile esemény, ez a mező megmutatja a megérintett fájl vagy mappa nevét. Ha ez egy rendszerleíró esemény, akkor azt mutatja, hogy a teljes kulcsot elérik.
- Eredmény - Ez mutatja a művelet eredményét, amely a SUCCESS vagy az ACCESS DENIED kódot kódolja. Bár lehet, hogy kísértésbe merül, hogy automatikusan feltételezi, hogy egy BUFFER TOO SMALL valami nagyon rosszat jelentett, ami valójában nem a legtöbb esetben.
- Részlet - olyan további információk, amelyek gyakran nem fordulnak elő a rendszeres geek hibakeresési világban.
Az alapértelmezett megjelenítéshez további oszlopokat is hozzáadhat az Opciók -> Oszlopok kiválasztása menüpontra. Ez nem lenne a mi ajánlásunk az első megállónál, amikor megkezdi a tesztelést, de mióta megmagyarázzuk az oszlopokat, érdemes megemlíteni.
- Parancs sor - bár kétszer is kattinthat bármelyik eseményre, ha meg szeretné tekinteni az egyes események generálásához szükséges parancssori argumentumokat, hasznos lehet az összes lehetőség gyors áttekintése.
- Cégnév - Ennek az oszlopnak az elsődleges oka az, hogy egyszerűen kizárhatja az összes Microsoft-eseményt, és szűkítheti nyomon a figyelmet minden másra, amely nem része a Windowsnak. (Biztosítani kell, hogy ne legyenek olyan furcsa rundll32.exe folyamatok, amelyek a Process Explorer használatával futtathatók, mivel azok elrejthetik a rosszindulatú programokat).
- Szülő PID - ez nagyon hasznos lehet, ha olyan folyamatot próbál meg hibakeresni, amely sok gyermekprocesszort tartalmaz, például egy webböngészőt vagy olyan alkalmazást, amely a vázlatos dolgokat egy másik folyamatként kezeli. Ezután szűrheti a Szülõ PID segítségével, hogy mindent el lehessen fogni.
Érdemes megjegyezni, hogy oszlopadatokkal is szűrhet, még akkor is, ha az oszlop nem jelenik meg, de sokkal könnyebb a jobb egérgombbal kattintani és szűrni, mint kézzel csinálni. És igen, ismételten megemlítettük a szűrőket, még akkor is, ha még nem magyaráztuk őket.
Egyetlen esemény vizsgálata
A listákban szereplő dolgok megtekintése remek módja annak, hogy egyszerre sok különböző adatpontot gyorsan láthasson, de nem feltétlenül a legegyszerűbb módja egyetlen adat megvizsgálásának, és csak annyi információ található, amelyet a lista. Szerencsére kétszer is kattinthat bármelyik eseményre, hogy hozzáférjen egy kincseslányhoz.
Az alapértelmezett Esemény lap olyan információkat jelenít meg, amelyek nagyjából hasonlóak ahhoz, amit a listában láttál, de további információkat ad hozzá a pártnak. Ha fájlrendszer-eseményt keres, bizonyos információkat, például az attribútumokat, a fájl létrehozási idejét, a hozzáférést, amelyet megpróbált az írási művelet során, az írt bájtok számát és az időtartamot.
Például képzeld el, hogy egy folyamat folyamatosan próbálta lekérdezni vagy elérni egy nem létező fájlt, de nem tudta, miért.Megnézheted a Stack fület, és megnézheted, vannak-e olyan modulok, amelyek nem néztek ki helyesnek, majd kutassák őket. Lehet, hogy egy elavult összetevő, vagy akár rosszindulatú program is okozza a problémát.
Megjegyzések a puffer túlcsordulásáról
Mielőtt még tovább folytatnánk, meg szeretnénk jegyezni egy eredménykódot, amelyről sokat fogsz látni a listán, és az eddigi geek ismereteid alapján kicsit kicsúszhatsz. Tehát, ha elkezdi látni a BUFFER OVERFLOW listát, kérjük, ne feltételezzék, hogy valaki megpróbálja becsapni a számítógépet.
Következő oldal: A megfigyelő által rögzített adatok szűrése