プロセスモニターを使用してレジストリとファイルシステムの変更を追跡する方法

その他Dec 20, 2021
click fraud protection

Process Monitorは、アプリケーションがリアルタイムでアクセスするファイルとレジストリキーを表示する、WindowsSysinternalsの優れたトラブルシューティングツールです。 結果はログファイルに保存でき、問題の分析とトラブルシューティングのために専門家に送信できます。

これは、アプリケーションによるレジストリおよびファイルシステムアクセスをキャプチャし、さらに分析するためにProcessMonitorを使用してログファイルを生成する方法に関するガイドです。

プロセスモニターを使用してレジストリとファイルシステムの変更を追跡する

シナリオ: あなたがに書くことができないと仮定しましょう ホスト Windowsで正常にファイルを作成し、内部で何が起こっているのかを知りたい。 次の記事のすべてのステップは、このサンプルシナリオを中心に展開しています。

ステップ1:プロセスモニターの実行とフィルターの構成

  1. ダウンロード プロセスモニター から Windows Sysinternals サイト。
  2. zipファイルの内容を選択したフォルダーに解凍します。
  3. ProcessMonitorアプリケーションを実行します
  4. アクティビティを追跡するプロセスを含めます。 この例では、 Notepad.exe (含む)フィルターで。
  5. クリック 追加、をクリックします わかった.

    ヒント: さらにいくつかのプロセスを追跡したい場合は、複数のエントリを追加することもできます。 Notepad.exe. この例を簡単にするために、追跡のみを行います Notepad.exe.

  6. から オプション メニューをクリックします 列を選択.
  7. 「イベントの詳細」で、 シーケンス番号、をクリックします わかった.

ステップ2:イベントをキャプチャする

  1. メモ帳を開きます。
  2. プロセスモニターウィンドウに切り替えます。
  3. 「キャプチャ」モードを有効にします(まだオンになっていない場合)。 「キャプチャ」モードのステータスは、プロセスモニターツールバーで確認できます。

    上の強調表示されたボタンは、現在無効になっている「キャプチャ」ボタンです。 そのボタンをクリックする(または使用する)必要があります Ctrl + E キーシーケンス)イベントのキャプチャを有効にします。

    (これで、プロセスモニターのメインウィンドウに、プロセスごとにレジストリイベントとファイルイベントが発生したときにリアルタイムでキャプチャされます。)

  4. を使用して既存のイベントリストをクリーンアップします Ctrl + バツ キーシーケンス(重要)そして新たに開始します
  5. 今度はメモ帳に切り替えて、 問題を再現する.

    問題を再現するには(この例の場合)、HOSTSファイルに書き込んでみてください(この例では)C:\ Windows \ System32 \ Drivers \ Etc \ HOSTS)そしてそれを保存します。 Windowsは、ファイルを別の名前で、または別の場所に([名前を付けて保存]ダイアログを表示して)保存することを提案します.

    では、HOSTSファイルに保存すると、内部で何が起こりますか? プロセスモニターは、まさにそれを示しています。

  6. [プロセスモニター]ウィンドウに切り替えて、キャプチャをオフにします(Ctrl + E)問題を再現するとすぐに。

    重要: キャプチャを有効にした後は、問題を再現するのにそれほど時間はかかりません。 同様に、問題の再現が終了したらすぐにキャプチャをオフにします。 これは、Process Monitorが他の不要なデータを記録するのを防ぐためです(これにより、分析部分がより困難になります)。 あなたはできるだけ早くそれらすべてをする必要があります。

    解決: 上記のログファイルは、メモ帳が アクセスが拒否されました に書き込むときのエラー ホスト ファイル。 解決策は、メモ帳を昇格させて実行する(右クリックして[管理者として実行]を選択する)だけで、書き込みができるようになります。 ホスト 正常にファイルします。

ステップ3:出力を保存する

  1. [プロセスモニター]ウィンドウで、 ファイル メニューをクリックしてクリックします 保存する
  2. 選択する ネイティブプロセスモニターフォーマット(PML)、出力ファイル名とパスを指定し、ファイルを保存します。
  3. を右クリックします ログファイル。 PML ファイルをクリックし、[送信]をクリックして、 圧縮(zip形式)フォルダー. これにより、ファイルが次のように圧縮されます。 ~90%. 下の図を見てください。 誰かに送信する前に、ログファイルを圧縮する必要があります。

編集者のメモ: 私は通常、クライアントがログを保存することをお勧めします すべてのイベント 診断がより正確になるようにオプション。 プロセスモニターログを送信する場合は、必ず有効にしてください すべてのイベント ログファイルを保存するときのオプション。 また、最初にログファイルを圧縮(.zip)することを忘れないでください。

読者の皆さん、それだけです。 ドキュメントをシンプルにするために、エンドユーザーが理解できるように最も簡単な例を使用しました プロセスモニターを使用してレジストリとファイルシステムのイベントを効率的に追跡し、 ログファイル。

1つの小さなリクエスト:この投稿が気に入った場合は、これを共有してください。

あなたからの1つの「小さな」共有は、このブログの成長に真剣に役立つでしょう。 いくつかの素晴らしい提案:
  • ピンする!
  • お気に入りのブログ+ Facebook、Redditに共有してください
  • ツイートしてください!
読者の皆様、ご支援ありがとうございました。 それはあなたの時間の10秒以上かかることはありません。 共有ボタンはすぐ下にあります。 :)