Izpratne par procesa monitoru

Šodien šajā izdevuma Geek skolu mēs iemācīsimies par to, kā Process Monitor lietderība ļauj jums skatīties zem kapuci un redzēt, kādas ir jūsu iecienītākās programmas, kas patiešām veic aiz ainas - kādi faili tie piekļūst, reģistra atslēgas, kuras viņi izmantot un daudz ko citu.

SKOLAS NAVIGĀCIJA

1. Kādi ir SysInternals rīki un kā jūs tos izmantot?
2. Izpratne par Process Explorer
3. Problēmu novēršana, lai novērstu traucējumus un diagnosticētu
4. Izpratne par procesa monitoru
5. Izmantojot procesa monitoru, lai novērstu un atrastu reģistra hacks
6. Autoruns izmantošana, lai veiktu starta procesus un ļaunprogrammatūru
7. Izmantojot BgInfo, lai parādītu sistēmas informāciju darbvirsmā
8. Izmantojot PsTools, lai kontrolētu citus datorus no komandrindas
9. Failu, mapju un disku analīze un pārvaldīšana
10. Iesaiņošana un instrumentu lietošana kopā

Atšķirībā no Process Explorer lietojumprogrammas, ko mēs esam pavadījušas dažas dienas, kas aptver, Process Monitor ir domāts, lai pasīvi apskatītu visu, kas notiek jūsu datorā, nevis aktīvo rīku, kas ļautu nogalināt procesus vai aizvērt rokturus. Tas ir tāds pats kā pietrūkt globālā logfailā katram notikumam, kas notiek jūsu Windows datorā.

Vēlaties saprast, kuras reģistra atslēgas jūsu mīļākā lietojumprogramma faktiski saglabā savus iestatījumus? Vēlaties uzzināt, kādi faili pakalpojums ir pieskaras un cik bieži? Vai vēlaties redzēt, kad lietojumprogramma pieslēdzas tīklam vai atver jaunu procesu? Tas ir Process Monitor uz glābšanu.

Mēs vairs nedomājam lielu skaitu reģistra hakeru rakstus, bet atpakaļ, kad mēs vispirms sākām, mēs izmantosim procesa monitoru, lai noskaidrotu, kādi reģistra atslēgas tiek izmantotas, un tad nometiet šo reģistra atslēgas, lai redzētu, kas notiks. Ja jūs kādreiz esat domājuši par to, kā kāds geek sapratu, kāds ir reģistra uzbrukums, ko neviens nekad nav redzējis, iespējams, tas bija ar Process Monitor palīdzību.

Procesa monitora lietderība tika izveidota, apvienojot divas dažādas veco skolu utilītes kopā, Filemon un Regmon, kuras tika izmantotas, lai uzraudzītu failus un reģistra darbību, kā to norāda vārdi. Kaut arī šie komunālie pakalpojumi joprojām ir pieejami, un, lai gan tie var atbilst jūsu īpašajām vajadzībām, jūs varētu būt daudz labāk ar Process Monitor, jo tas var rīkoties ar lielu pasākumu apjomu labāk tāpēc, ka tas bija paredzēts, lai to izdarītu .

Ir arī vērts atzīmēt, ka Process Monitor vienmēr pieprasa administratora režīmu, jo tajā tiek ielādēts kodola draiveris, lai attēlotu visus šos notikumus. Operētājsistēmā Windows Vista un jaunāk, jums tiks piedāvāts dialoglodziņš UAC, bet gan XP vai 2003, jums būs jāpārliecinās, vai izmantotajam kontam ir administratoru privilēģijas.

Notikumi, ko apstrādā monitora ieraksti

Process Monitor uzņem tonnu datus, bet tajā nav ietvertas visas lietas, kas notiek jūsu datorā. Piemēram, Process Monitor neuztraucas, ja pārvietojat peli, un tā nezina, vai jūsu draiveri darbojas optimāli. Tas nenovēros, kādi procesi ir atvērti un iztērē jūsu datorā esošo CPU - tas ir Process Explorer darbs.

Tas, ko tā dara, ir uztveršanas īpašus I / O (ieejas / izejas) darbību veidus neatkarīgi no tā, vai tie notiek, izmantojot failu sistēmu, reģistru vai pat tīklu. Tas papildus izsekos arī dažus citus notikumus. Šis saraksts attiecas uz notikumiem, ko tas uztver:

• Kanceleja - tas varētu būt atslēgas izveidošana, to lasīšana, dzēšana vai vaicājumi. Jūs būsiet pārsteigti, cik bieži tas notiek.
• Failu sistēma - tas varētu būt failu izveidošana, rakstīšana, dzēšana uc, un tā var būt gan vietējiem cietajiem diskiem, gan tīkla diskiem.
• Tīkls - tas parāda TCP / UDP datplūsmas avotu un galamērķi, bet diemžēl tas nerāda datus, padarot to nedaudz mazāk noderīgu.
• Process - Tie ir notikumi procesiem un pavedieniem, kur tiek uzsākts process, pavediens sāk vai izslēdz, utt. Dažos gadījumos tā var būt noderīga informācija, bet tā vietā bieži vien ir kaut kas, kuru vēlaties aplūkot programmā Process Explorer.
• Profilēšana - Šie notikumi tiek uzņemti procesa monitorā, lai pārbaudītu katra procesa procesora laiku un atmiņas izmantošanu. Atkal, jūs, iespējams, vēlēsities izmantot Procesoru, lai lielāko daļu laika tiktu izsekotas šīm lietām, taču šeit tas ir noderīgi, ja jums tas ir nepieciešams.

Tādējādi Process Monitor var uztvert jebkura tipa I / O operāciju, neatkarīgi no tā, vai tas notiek ar reģistra, failu sistēmas vai pat tīkla starpniecību - lai gan faktiski rakstītie dati netiek uztverti. Mēs tikai apskatāmies faktu, ka process ir rakstīts uz vienu no šīm plūsmām, tāpēc mēs varam vēlāk noskaidrot, kas notiek.

Procesa monitora saskarne

Kad jūs vispirms ielādājat Process Monitor interfeisu, jums tiks piedāvāts milzīgs datu rindu skaits, jo vairāk datu ātri lidos, un tas var būt milzīgs. Galvenais ir vismaz kaut kāda ideja, vismaz par to, ko jūs meklējat, kā arī par to, ko meklējat. Tas nav veids, kā jūs pavadāt relaksējošu dienu pārlūkošanu, jo ļoti īsā laika periodā jūs skatīsiet miljoniem rindu.

Pirmā lieta, ko vēlaties darīt, ir filtrēt šīs miljonu rindas uz daudz mazāku datu kopumu, kuru vēlaties redzēt, un mēs iemācīsim jums, kā izveidot filtrus un nulles, tieši to, ko vēlaties atrast. . Bet vispirms jums vajadzētu saprast saskarni un kādi dati ir faktiski pieejami.

Aplūkojot noklusējuma kolonnas

Noklusējuma kolonnās ir redzama noderīgas informācijas tonis, taču jums noteikti būs nepieciešams kāds konteksts, lai saprastu, kādus datus katrs faktiski satur, jo dažās no tām varētu šķist kaut kas slikts, ja tie ir patiešām nevainīgi notikumi, kas vienmēr notiek saskaņā ar kapuci. Tālāk ir norādītas katras noklusējuma slejas:

• Laiks - šī sleja ir diezgan neskaidra, tas parāda precīzu notikuma laiku.
• Procesa nosaukums - notikuma radītā procesa nosaukums. Pēc noklusējuma netiek parādīts pilnais ceļš uz failu, bet, ja peles kursoru virs kursoru virs lauka, varat precīzi redzēt, kurš process bija.
• PID - procesa ID process, kas radīja notikumu. Tas ir ļoti noderīgi, ja mēģināt izprast, kurš svchost.exe process radīja notikumu. Tas ir arī lielisks veids, kā izolēt vienu monitoringa procesu, pieņemot, ka šis process pats neatsāk.
• Darbība - tas ir reģistrētās darbības nosaukums, un ir ikona, kas atbilst vienam no notikumu veidiem (reģistra, faila, tīkla, procesa). Tie var būt nedaudz mulsinoši, piemēram, RegQueryKey vai WriteFile, taču mēs mēģināsim jums palīdzēt, izmantojot neskaidrības.
• Ceļš - tas nav procesa ceļš, tas ir ceļš uz visu, kas šo notikumu veic. Piemēram, ja notiktu WriteFile notikums, šajā laukā tiks parādīts faila vai mapes pieskāriena nosaukums. Ja tas bija reģistra notikums, tas parādītu pilnu piekļuves taustiņu.
• Rezultāts - Tas parāda operācijas rezultātu, kas kodē piemēram SUCCESS vai ACCESS DENIED. Kaut arī jums varētu rasties kārdinājums automātiski pieņemt, ka BUFFER TOO SMALL nozīmē kaut kas patiešām slikts, tas vairumā gadījumu patiesībā nav noticis.
• Detaļas - papildu informācija, kas bieži vien netiek tulkota regulārajā Google Earth problēmu novēršanas sistēmā.

Noklusējuma displejā varat pievienot arī dažas papildu slejas, dodoties uz opcijas -> atlasīt kolonnas. Tas nebūs mūsu ieteikums par savu pirmo pieturu, kad sāksit testēšanu, taču, tā kā mēs esam izskaidrojuši kolonnas, to jau ir vērts pieminēt.

Viens no iemesliem, kā displejā pievienot papildu slejas, ir tāds, ka jūs varat ļoti ātri filtrēt šos notikumus, neapgrūtinot datus. Tālāk ir aprakstītas dažas papildu kolonnas, kuras mēs izmantojam, taču, atkarībā no situācijas, jūs, iespējams, izmantosiet dažus citus sarakstus.

• Komandrinda - kamēr jūs varat dubultklikšķi uz jebkura notikuma, lai redzētu komandrindas argumentus procesam, kas ģenerēja katru notikumu, var būt noderīgi ātri redzēt visas iespējas.
• Kompānijas nosaukums - galvenais iemesls, kāpēc šī sleja ir noderīga, lai jūs varētu vienkārši izslēgt visus Microsoft notikumus ātri un sašaurināt savu uzraudzību visam pārējam, kas nav Windows daļa. (Jūs vēlaties pārliecināties, ka jums nav neiedomājamu procesa rundll32.exe, kas darbojas, izmantojot Process Explorer, lai gan tie var slēpt ļaunprātīgu programmatūru).
• Vecāku PID - tas var būt ļoti noderīgs, ja tiek traucējummeklēšana procesā, kurā ir daudzi bērna procesi, piemēram, tīmekļa pārlūkprogramma vai programma, kas turpina sākt sketru lietu kā citu procesu. Tad jūs varat filtrēt pēc vecāku PID, lai pārliecinātos, ka jūs visu uztverat.

Ir vērts atzīmēt, ka jūs varat filtrēt pēc kolonnu datiem, pat ja sleja netiek rādīta, bet ir daudz vieglāk ar peles labo pogu noklikšķināt un filtrēt, nekā to izdarīt manuāli. Un jā, mēs minējām filtrus vēlreiz, lai gan mēs vēl neesam to izskaidrojuši.

Viena pasākuma pārbaudīšana

Lietu skatīšana sarakstā ir lielisks veids, kā vienlaikus ātri skatīt dažādus datu punktus, taču noteikti tas nav vienkāršākais veids, kā pārbaudīt atsevišķu datu daļu, un tajā ir tik daudz informācijas, kuru jūs varat redzēt sarakstu. Par laimi, varat dubultklikšķi uz jebkura notikuma, lai piekļūtu papildu informācijas dārgumiem.

Noklusējuma cilnē Pasākumi tiek sniegta informācija, kas lielā mērā ir līdzīga tai, kuru redzējāt sarakstā, bet pusei pievienosit mazliet vairāk informācijas. Ja skatāties par failu sistēmas notikumu, varēsit redzēt noteiktu informāciju, piemēram, atribūtus, datnes izveides laiku, piekļuvi, kas tika mēģināts rakstīšanas operācijas laikā, rakstīto baitu skaitu un ilgumu.

Pārslēdzot cilni Process, tiek parādīta lieliska informācija par notikuma radīto procesu. Kamēr jūs parasti vēlaties izmantot Process Explorer, lai risinātu procesus, ir ļoti noderīgi iegūt daudz informācijas par konkrēto procesu, kas radījis konkrētu notikumu, it īpaši, ja tas ir kaut kas, kas notika ļoti ātri un pēc tam pazuda no procesu saraksts. Tādā veidā tiek iegūti dati.

Cilne Skavā ir kaut kas, kas dažreiz būs ļoti noderīgs, taču bieži vien reizes nebūs noderīgi. Iemesls, kādēļ jūs vēlaties skatīties uz kaudzēm, ir tāds, ka varat novērst problēmas, pārbaudot kolonnu moduli par visu, kas neizskatās diezgan pareizi.

Piemēram, iedomājieties, ka process pastāvīgi mēģināja pieprasīt vai piekļūt failam, kas neeksistē, taču neesat pārliecināts, kāpēc. Jūs varētu izskatīt skapa cilni un redzēt, vai ir kādi moduļi, kas neizskatījās pareizi, un pēc tam tos izpētīt. Jūs varat atrast novecojušo komponentu vai pat ļaunprātīgu programmatūru, kas rada problēmu.

Vai arī jūs, iespējams, atklāsit, ka tev nav nekā lietderīga, un tas ir arī labi. Ir daudz citu datu, lai apskatītu.

Piezīmes par buferšķērsošanas pārplūdi

Pirms mēs turpināsim turpināt, mēs vēlamies atzīmēt rezultātu kodu, ar kuru jūs sāksit daudz redzēt sarakstā, un, pamatojoties uz visām jūsu līdz šim gaidītajām zināšanām, jūs varētu mazliet izbēgt. Tātad, ja jūs sākat redzēt BUFFER OVERFLOW sarakstā, lūdzu, neuztveri, ka kāds mēģina uzlauzt datoru.

Nākamā lapa: filtrē datus, kurus apstrādā monitora ieraksti