If-Koubou

Izmantojot procesa monitoru, lai novērstu un atrastu reģistra hacks

Izmantojot procesa monitoru, lai novērstu un atrastu reģistra hacks (Kā)

Šodienas Geek skolu izdevumā mēs iemācīsimies, kā lietot Process Monitor, lai faktiski veiktu traucējummeklēšanu un noteiktu reģistra hacks, par kurām jūs nezinātos citādi.

SKOLAS NAVIGĀCIJA
  1. Kādi ir SysInternals rīki un kā jūs tos izmantot?
  2. Izpratne par Process Explorer
  3. Problēmu novēršana, lai novērstu traucējumus un diagnosticētu
  4. Izpratne par procesa monitoru
  5. Izmantojot procesa monitoru, lai novērstu un atrastu reģistra hacks
  6. Autoruns izmantošana, lai veiktu starta procesus un ļaunprogrammatūru
  7. Izmantojot BgInfo, lai parādītu sistēmas informāciju darbvirsmā
  8. Izmantojot PsTools, lai kontrolētu citus datorus no komandrindas
  9. Failu, mapju un disku analīze un pārvaldīšana
  10. Iesaiņošana un instrumentu lietošana kopā

Process Monitor ir viens no iespaidīgākajiem instrumentiem, kas jums var būt jūsu rīkkopa, jo gandrīz nav cita veida, kā noskaidrot, ko lietojumprogramma patiešām dara zem pārsega. Tas ir vienīgais veids, kā uzzināt, kādi faili tiek rakstīti, ar kuru procesu un kur lietas tiek saglabātas reģistrā un kuri faili tiem piekļūst.

Sāksim ar šodienas nodarbību, noskaidrojot, kā atrast reģistru atslēgas, izmantojot Windows iestatījumu dialogus un Procesa monitoru, un tad mēs veiksim reālu problēmu novēršanas scenāriju, ar kuru mēs saskārāmies vienā no mūsu laboratorijas datoriem, un to var viegli atrisināt. izmantojot procesa monitoru.

Izmantojot Procesoru, lai atrastu koplietojamo iestatījumu reģistra atslēgas

Katrs lietotājs ir noklikšķinājis uz izvēles rūtiņas vai mainījis nolaižamā lodziņa vērtību kādā brīdī, bet vai jūs kādreiz esat domājis, kur šīs vērtības tiek faktiski saglabātas? Daudzi lietojumprogrammas un praktiski viss sistēmā Windows tiek glabāti reģistrā ... kaut kur.

Šodienas piemērā mēs izmantosim pirmo opciju uzdevumjoslas pirmajā rūtī un navigācijas rekvizītos, kas ir dialogs, kas būtu jāuzstāda visās Windows versijās. Tāpēc mūsu uzdevums ir noskaidrot, kur šis iestatījums faktiski tiek saglabāts reģistrā. Jūs varat sekot līdzi šim konkrētajam iestatījumam, vai arī varat izmēģināt vienu no citiem iestatījumiem tajā pašā dialoglodziņā - vai citur, kur vēlaties atrast slēpto iestatījumu atrašanās vietu.

Pirmā lieta, ko vēlaties darīt, mēģinot uzņemt datu kopumu, ir palaist procesa monitoru un pēc tam mainīt iestatījumu. Tajā brīdī jūs varat pārtraukt procesa monitoru, lai turpinātu uzņemt notikumus, tādēļ šis saraksts nezaudē kontroli. (Padoms: izvēlnē Fails ir opcija, vai tā ir trešā ikona no kreisās puses).

Tagad, kad sarakstā ir izveidota ton datu, ir pienācis laiks filtrēt sarakstu, lai samazinātu to rindu skaitu, kuras mums būs jāpārskata. Tā kā mēs skatāmies uz reģistra vērtību, kas tiek mainīta, mums būs jāfiltrē pēc "RegSetValue", ko Windows izmanto, lai faktiski iestatītu reģistra atslēgu jaunam iestatījumam. Izmantojiet opciju "Iekļaut", lai parādītutikai šie notikumi.

Jūsu saraksts tagad ir jāierobežo tikai ar mainītajiem reģistra taustiņiem, tāpēc ir pienācis laiks apskatīt notikumus un mēģināt noskaidrot, kuru reģistra atslēgu tas varētu būt. Tā kā mēs pārbaudām iestatījumu "Aizslēgt uzdevumjoslu" un vienam no iestatītajiem reģistra taustiņiem ir ietverts vārds "uzdevumjosla", tas ir laba vieta, kur sākt. Ar peles labo pogu noklikšķiniet uz ceļa un izvēlieties Pārlēkt uz atrašanās vietu.

Process Monitor atvērs reģistra redaktoru un iezīmē atslēgu sarakstā. Tagad mums ir jāpārliecinās, ka tas ir patiešām pareizā atslēga, kas ir viegli noskaidrot. Apskatiet iestatījumu un pēc tam ieskatieties atslēgu. Pašlaik iestatījums ir ieslēgts un taustiņš ir iestatīts uz 0.

Tāpēc mainiet iestatījumu, dialoglodziņā nospiediet Apply un pēc tam izmantojiet taustiņu F5, lai atjauninātu reģistra redaktora logu. Mūsu gadījumā mēs noteikti izvēlējāmies pareizo iestatījumu, tāpēc tagad jūs varat redzēt, ka uzdevumjoslasSizeMove vērtība ir iestatīta uz 1.

Ja neesat izvēlējies pareizo vērtību, jūs neredzēsiet izmaiņas, ja atkal veicat iestatīšanas pārbaudi. Tātad ej un atrodiet nākamo loģisko vienu un sāktu no jauna.

Problēmu novēršana ar procesa monitoru

Vienā rakstā nav īsti iespējams ilustrēt, kā novērst jebkādas problēmas ar procesa monitoru vai kādu citu šī jautājuma rīku. Ir tikai pārāk daudz problēmu kombināciju, kas, iespējams, varētu kļūt nepareizi.

Tomēr mēs varam parādīt, kā mēs faktiski izmantojām procesa monitoru, lai novērstu īstu problēmu, kas patiešām notika ar kādu no mūsu pārbaudes datoriem. Mums bija instalēt dažas crapware, un pēc tam nolēma mēģināt un tīrīt datoru uz augšu. Problēma bija ieraksts paneļa "Atinstalēt programmas", kas vienkārši nenokļūtu.

Nākamā lapa: problēmu novēršana ar procesa monitoru