Cómo utilizar Process Monitor para realizar un seguimiento de los cambios en el registro y el sistema de archivos

MisceláneaDec 20, 2021
click fraud protection

Process Monitor es una excelente herramienta de resolución de problemas de Windows Sysinternals que muestra los archivos y claves de registro a los que acceden las aplicaciones en tiempo real. Los resultados se pueden guardar en un archivo de registro, que puede enviar a un experto para analizar un problema y solucionarlo.

Aquí hay una guía sobre cómo capturar el registro y los accesos al sistema de archivos por parte de las aplicaciones, y generar un archivo de registro utilizando Process Monitor para un análisis más detallado.

Utilice Process Monitor para realizar un seguimiento de los cambios en el registro y el sistema de archivos

Guión: Supongamos que no puede escribir al HOSPEDADORES archivo correctamente en Windows y desea saber qué está sucediendo bajo el capó. Cada paso del siguiente artículo gira en torno a este escenario de muestra.

Paso 1: Ejecución de Process Monitor y configuración de filtros

  1. Descargar Monitor de proceso desde Windows Sysinternals sitio.
  2. Extraiga el contenido del archivo zip en una carpeta de su elección.
  3. Ejecute la aplicación Process Monitor
  4. Incluya los procesos en los que desea realizar un seguimiento de la actividad. Para este ejemplo, desea incluir Notepad.exe en los filtros (Incluir).
  5. Hacer clic Agregary haga clic en OK.

    Propina: También puede agregar varias entradas, en caso de que desee realizar un seguimiento de algunos procesos más junto con Notepad.exe. Para que este ejemplo sea más sencillo, solo realicemos un seguimiento Notepad.exe.

  6. Desde el Opciones menú, haga clic en Seleccionar columnas.
  7. En "Detalles del evento", habilite Secuencia de númerosy haga clic en OK.

Paso 2: captura de eventos

  1. Abra el Bloc de notas.
  2. Cambie a la ventana Monitor de procesos.
  3. Habilite el modo "Capturar" (si aún no está ENCENDIDO). Puede ver el estado del modo "Captura" a través de la barra de herramientas Process Monitor.

    El botón resaltado arriba es el botón "Capturar", que actualmente está deshabilitado. Debe hacer clic en ese botón (o usar control + mi secuencia de teclas) para permitir la captura de eventos.

    (Ahora verá la ventana principal de Process Monitor capturando registros y eventos de archivos por procesos en tiempo real, a medida que ocurren).

  4. Limpiar la lista de eventos existente usando control + X secuencia de teclasImportante) y empezar de nuevo
  5. Ahora cambie al Bloc de notas e intente reproducir el problema.

    Para reproducir el problema (para este ejemplo), intente escribir en el archivo HOSTS (C: \ Windows \ System32 \ Drivers \ Etc \ HOSTS) y guardarlo. Windows ofrece guardar el archivo (mostrando el cuadro de diálogo Guardar como) con un nombre diferente o en una ubicación diferente.

    Entonces, ¿qué sucede debajo del capó cuando guarda en un archivo HOSTS? Process Monitor lo muestra, exactamente.

  6. Cambie a la ventana Monitor de proceso y desactive la captura (control + mi) tan pronto como reproduzca el problema.

    Importante: No tardes mucho en reproducir el problema después de habilitar la captura. Del mismo modo, desactive la captura tan pronto como termine de reproducir el problema. Esto es para evitar que Process Monitor registre otros datos innecesarios (lo que dificulta la parte del análisis). Tienes que hacer todo eso lo más rápido que puedas.

    Solución: El archivo de registro anterior nos dice que el Bloc de notas encontró un ACCESO DENEGADO error al escribir en el HOSPEDADORES Archivo. La solución sería simplemente ejecutar el Bloc de notas elevado (haga clic con el botón derecho y elija "Ejecutar como administrador") para poder escribir en HOSPEDADORES archivo correctamente.

Paso 3: guardar la salida

  1. En la ventana Process Monitor, seleccione el Archivo menú y haga clic en Ahorrar
  2. Seleccione Formato de monitor de proceso nativo (PML), mencione el nombre del archivo de salida y la ruta, guarde el archivo.
  3. Haga clic derecho en el Archivo de registro. PML archivo, haga clic en Enviar a y elija Carpeta comprimida (en zip). Esto comprime el archivo por ~90%. Mire el gráfico a continuación. Sin duda, desea comprimir el archivo de registro antes de enviárselo a alguien.

Nota del editor: Por lo general, sugiero a mis clientes que guarden el registro con el Todos los eventos opción para que el diagnóstico sea más preciso. Si me va a enviar un registro de Process Monitor, asegúrese de habilitar el Todos los eventos opción al guardar el archivo de registro. Además, no olvide comprimir (.zip) el archivo de registro primero.

Eso es todo, lectores. Para simplificar la documentación, he utilizado el ejemplo más sencillo para que el usuario final comprenda claramente cómo realizar un seguimiento eficiente de los eventos del sistema de archivos y del registro utilizando Process Monitor y generar el archivo de registro.

Una pequeña solicitud: si le gustó esta publicación, por favor comparta esto.

Una "pequeña" parte tuya seriamente ayudaría mucho con el crecimiento de este blog. Algunas buenas sugerencias:
  • Pin it!
  • Compártelo en tu blog favorito + Facebook, Reddit
  • ¡Tuitealo!
Así que muchas gracias por su apoyo, mi lector. No tomará más de 10 segundos de su tiempo. Los botones para compartir están justo debajo. :)