Как да използвате Process Monitor за проследяване на промените в системния регистър и файловата система

MiscellaneaDec 20, 2021

Process Monitor е отличен инструмент за отстраняване на неизправности от Windows Sysinternals, който показва файловете и ключовете на системния регистър, до които приложенията имат достъп в реално време. Резултатите могат да бъдат запазени в регистрационен файл, който можете да изпратите на експерт за анализиране на проблем и отстраняването му.

Ето ръководство как да улавяте достъпа до регистъра и файловата система от приложения и да генерирате регистрационен файл с помощта на Process Monitor за по-нататъшен анализ.

Използвайте Process Monitor за проследяване на промените в системния регистър и файловата система

Сценарий: Да предположим, че не можете да пишете на ДОМАКНИ файл успешно в Windows и искате да знаете какво се случва под капака. Всяка стъпка в следващата статия се върти около този примерен сценарий.

Стъпка 1: Стартиране на мониторинг на процеса и конфигуриране на филтри

  1. Изтегли Монитор на процеса от Windows Sysinternals сайт.
  2. Извлечете съдържанието на zip файла в папка по ваш избор.
  3. Стартирайте приложението Process Monitor
  4. Включете процесите, на които искате да проследявате дейността. За този пример искате да включите Notepad.exe във филтрите (Включване).
  5. Щракнете върху Добаветеи щракнете Добре.

    Бакшиш: Можете също да добавите няколко записа, в случай че искате да проследите още няколко процеса заедно с Notepad.exe. За да направим този пример по-опростен, нека проследим само Notepad.exe.

  6. От Настроики меню, щракнете Изберете колони.
  7. Под „Подробности за събитието“ активирайте Пореден номери щракнете Добре.

Стъпка 2: Заснемане на събития

  1. Отворете Notepad.
  2. Превключете към прозореца Process Monitor.
  3. Активирайте режима „Заснемане“ (ако вече не е ВКЛЮЧЕН). Можете да видите състоянието на режима “Capture” чрез лентата с инструменти Process Monitor.

    Маркираният бутон по-горе е бутонът „Заснемане“, който в момента е деактивиран. Трябва да щракнете върху този бутон (или да използвате Ctrl + Е клавишна последователност), за да позволите заснемане на събития.

    (Сега ще видите главния прозорец на Process Monitor, който улавя събитията в регистъра и файловете по процеси в реално време, когато и когато се появят.)

  4. Почистете съществуващия списък със събития с помощта на Ctrl + х последователност от ключове (Важно) и започнете отначало
  5. Сега преминете към Notepad и опитайте възпроизведе проблема.

    За да възпроизведете проблема (за този пример), опитайте да пишете във файла HOSTS (C:\Windows\System32\Drivers\Etc\HOSTS) и го запазвате. Windows предлага да запишете файла (чрез показване на диалоговия прозорец Запиши като) с различно име или на друго място.

    И така, какво се случва под капака, когато запишете във файл HOSTS? Process Monitor показва точно това.

  6. Превключете към прозореца Process Monitor и изключете Capturing (Ctrl + Е) веднага щом възпроизведете проблема.

    Важно: Не отнемайте много време, за да възпроизвеждате проблема, след като активирате заснемането. По същия начин изключете заснемането веднага щом приключите с възпроизвеждането на проблема. Това е, за да попречи на Process Monitor да записва други ненужни данни (което прави частта за анализ по-трудна). Трябва да направите всичко това възможно най-бързо.

    Решение: Регистрационният файл по-горе ни казва, че Notepad е срещнал ОТКАЗАН ДОСТЪП грешка при писане в ДОМАКНИ файл. Решението би било просто да стартирате Notepad с повишено ниво (щракнете с десния бутон и изберете „Изпълни като администратор“), за да можете да пишете на ДОМАКНИ файл успешно.

Стъпка 3: Записване на изхода

  1. В прозореца Process Monitor изберете Файл меню и щракнете Запазете
  2. Изберете Вроден формат за монитор на процесите (PML), споменете името на изходния файл и пътя, запазете файла.
  3. Щракнете с десния бутон върху Logfile. PML файл, щракнете върху Изпрати до и изберете Компресирана (компресирана) папка. Това компресира файла чрез ~90%. Вижте графиката по-долу. Със сигурност искате да архивирате регистрационния файл, преди да го изпратите на някого.

Бележка на редактора: Обикновено предлагам на моите клиенти да запазят дневника с Всички събития опция, за да може диагнозата да бъде по-точна. Ако ще ми изпратите дневник на Process Monitor, уверете се, че сте активирали Всички събития опция при запазване на регистрационния файл. Също така, не забравяйте първо да компресирате (.zip) регистрационния файл.

Това е, читатели. За да опростя документацията, използвах най-лесния пример, така че крайният потребител да разбере ясно как да проследявате ефективно събитията в регистъра и файловата система с помощта на Process Monitor и генерирате лог файл.

Една малка молба: Ако тази публикация ви е харесала, моля, споделете я?

Едно "малко" споделяне от вас сериозно би помогнало много за развитието на този блог. Някои страхотни предложения:
  • Закачете го!
  • Споделете го с любимия си блог + Facebook, Reddit
  • Twitter го!
Така че много ви благодаря за подкрепата, мой читателю. Това няма да отнеме повече от 10 секунди от времето ви. Бутоните за споделяне са точно отдолу. :)