Comment utiliser Process Monitor pour suivre les modifications apportées au registre et au système de fichiers

DiversDec 20, 2021
click fraud protection

Process Monitor est un excellent outil de dépannage de Windows Sysinternals qui affiche les fichiers et les clés de registre auxquels les applications accèdent en temps réel. Les résultats peuvent être enregistrés dans un fichier journal, que vous pouvez envoyer à un expert pour analyser un problème et le résoudre.

Voici un guide sur la façon de capturer les accès au registre et au système de fichiers par les applications, et de générer un fichier journal à l'aide de Process Monitor pour une analyse plus approfondie.

Utilisez Process Monitor pour suivre les modifications apportées au registre et au système de fichiers

Scénario: Supposons que vous ne pouvez pas écrire au HTES fichier avec succès dans Windows, et que vous voulez savoir ce qui se passe sous le capot. Chaque étape de l'article suivant tourne autour de cet exemple de scénario.

Étape 1: Exécution de Process Monitor et configuration des filtres

  1. Télécharger Moniteur de processus à partir de Systèmes internes de Windows site.
  2. Extrayez le contenu du fichier zip dans un dossier de votre choix.
  3. Exécutez l'application Process Monitor
  4. Incluez les processus sur lesquels vous souhaitez suivre l'activité. Pour cet exemple, vous souhaitez inclure Bloc-notes.exe dans les (Inclure) Filtres.
  5. Cliquez sur Ajouter, et cliquez d'accord.

    Pointe: Vous pouvez également ajouter plusieurs entrées, au cas où vous souhaiteriez suivre quelques autres processus avec Bloc-notes.exe. Pour simplifier cet exemple, ne suivons que Bloc-notes.exe.

  6. Du Options menu, cliquez sur Sélectionner des colonnes.
  7. Sous "Détails de l'événement", activez Numéro de séquence, et cliquez d'accord.

Étape 2: Capturer des événements

  1. Ouvrez le Bloc-notes.
  2. Basculez vers la fenêtre Process Monitor.
  3. Activez le mode « Capture » ​​(s'il n'est pas déjà activé). Vous pouvez voir l'état du mode « Capture » ​​via la barre d'outils du moniteur de processus.

    Le bouton en surbrillance ci-dessus est le bouton « Capturer », qui est actuellement désactivé. Vous devez cliquer sur ce bouton (ou utiliser Ctrl + E séquence de touches) pour permettre la capture d'événements.

    (Vous verrez maintenant la fenêtre principale de Process Monitor capturer les événements de registre et de fichier par processus en temps réel, au fur et à mesure qu'ils se produisent.)

  4. Nettoyer la liste d'événements existante à l'aide Ctrl + X séquence de touches (Important) et recommencer
  5. Passez maintenant au Bloc-notes et essayez de reproduire le problème.

    Pour reproduire le problème (pour cet exemple), essayez d'écrire dans le fichier HOSTS (C:\Windows\System32\Drivers\Etc\HOSTS) et l'enregistrer. Windows propose d'enregistrer le fichier (en affichant la boîte de dialogue Enregistrer sous) avec un nom différent ou dans un emplacement différent.

    Alors, que se passe-t-il sous le capot lorsque vous enregistrez dans le fichier HOSTS? Process Monitor le montre exactement.

  6. Basculez vers la fenêtre Process Monitor et désactivez la capture (Ctrl + E) dès que vous reproduisez le problème.

    Important: Ne prenez pas beaucoup de temps pour reproduire le problème après avoir activé la capture. De même, désactivez la capture dès que vous avez fini de reproduire le problème. Cela empêche Process Monitor d'enregistrer d'autres données inutiles (ce qui rend la partie analyse plus difficile). Vous devez faire tout cela le plus rapidement possible.

    Solution: Le fichier journal ci-dessus nous indique que le Bloc-notes a rencontré un ACCÈS REFUSÉ erreur lors de l'écriture sur le HTES déposer. La solution serait simplement d'exécuter le Bloc-notes surélevé (clic droit et choisissez "Exécuter en tant qu'administrateur") pour pouvoir écrire sur HTES fichier avec succès.

Étape 3: Enregistrement de la sortie

  1. Dans la fenêtre Process Monitor, sélectionnez le Déposer menu et cliquez Sauvegarder
  2. Sélectionner Format natif du moniteur de processus (PML), mentionnez le nom et le chemin du fichier de sortie, enregistrez le fichier.
  3. Faites un clic droit sur le Fichier journal. LMP fichier, cliquez sur Envoyer vers et choisissez Dossier compressé (zippé). Cela compresse le fichier en ~90%. Regardez le graphique ci-dessous. Vous voulez certainement compresser le fichier journal avant de l'envoyer à quelqu'un.

Note de l'éditeur: Je suggère généralement à mes clients d'enregistrer le journal avec le Tous les évènements option afin que le diagnostic puisse être plus précis. Si vous allez m'envoyer un journal de Process Monitor, assurez-vous d'activer le Tous les évènements option lors de l'enregistrement du fichier journal. N'oubliez pas non plus de compresser (.zip) le fichier journal en premier.

C'est tout, lecteurs. Pour garder la documentation simple, j'ai utilisé l'exemple le plus simple pour qu'un utilisateur final comprenne clairement comment suivre efficacement les événements du registre et du système de fichiers à l'aide de Process Monitor et générer le fichier journal.

Une petite demande: si vous avez aimé ce post, merci de le partager ?

Un "minuscule" partage de votre part aiderait beaucoup à la croissance de ce blog. Quelques bonnes suggestions :
  • Épinglez-le !
  • Partagez-le sur votre blog préféré + Facebook, Reddit
  • Tweetez-le !
Alors merci beaucoup pour votre soutien, mon lecteur. Cela ne prendra pas plus de 10 secondes de votre temps. Les boutons de partage sont juste en dessous. :)