프로세스 모니터를 사용하여 레지스트리 및 파일 시스템 변경 사항을 추적하는 방법

잡집Dec 20, 2021

프로세스 모니터는 응용 프로그램이 실시간으로 액세스하는 파일 및 레지스트리 키를 표시하는 Windows Sysinternals의 우수한 문제 해결 도구입니다. 결과는 문제를 분석하고 문제를 해결하기 위해 전문가에게 보낼 수 있는 로그 파일에 저장할 수 있습니다.

다음은 응용 프로그램의 레지스트리 및 파일 시스템 액세스를 캡처하고 추가 분석을 위해 Process Monitor를 사용하여 로그 파일을 생성하는 방법에 대한 안내입니다.

프로세스 모니터를 사용하여 레지스트리 및 파일 시스템 변경 사항 추적

대본: 에 쓸 수 없다고 가정해 봅시다. 호스트 Windows에서 성공적으로 파일을 만들고 내부에서 무슨 일이 일어나고 있는지 알고 싶습니다. 다음 문서의 모든 단계는 이 샘플 시나리오를 중심으로 진행됩니다.

1단계: 프로세스 모니터 실행 및 필터 구성

  1. 다운로드 프로세스 모니터 ~에서 Windows 시스템 내부 대지.
  2. zip 파일 내용을 원하는 폴더에 추출합니다.
  3. 프로세스 모니터 애플리케이션 실행
  4. 활동을 추적하려는 프로세스를 포함합니다. 이 예에서는 다음을 포함하려고 합니다. 메모장.exe (포함) 필터에서.
  5. 딸깍 하는 소리 추가하다, 클릭 확인.

    팁: 몇 가지 추가 프로세스를 추적하려는 경우에 대비하여 여러 항목을 추가할 수도 있습니다. 메모장.exe. 이 예를 더 간단하게 유지하기 위해 메모장.exe.

  6. 로부터 옵션 메뉴, 클릭 열 선택.
  7. "이벤트 세부 정보"에서 활성화 시퀀스 번호, 클릭 확인.

2단계: 이벤트 캡처

  1. 메모장을 엽니다.
  2. 프로세스 모니터 창으로 전환합니다.
  3. "캡처" 모드를 활성화합니다(아직 켜져 있지 않은 경우). 프로세스 모니터 도구 모음을 통해 "캡처" 모드의 상태를 볼 수 있습니다.

    위의 강조 표시된 버튼은 현재 비활성화된 "캡처" 버튼입니다. 해당 버튼을 클릭해야 합니다(또는 Ctrl 키 + 이자형 키 시퀀스)를 사용하여 이벤트를 캡처할 수 있습니다.

    (이제 프로세스별로 레지스트리 및 파일 이벤트를 실시간으로 캡처하는 프로세스 모니터 기본 창이 표시됩니다.

  4. 다음을 사용하여 기존 이벤트 목록 정리 Ctrl 키 + 엑스 키 시퀀스(중요한) 그리고 새롭게 시작
  5. 이제 메모장으로 전환하고 문제를 재현하다.

    문제를 재현하려면(이 예의 경우) HOSTS 파일(C:\Windows\System32\Drivers\Etc\HOSTS) 저장합니다. Windows에서 다른 이름으로 또는 다른 위치에 파일을 저장할 것을 제안합니다(다른 이름으로 저장 대화 상자 표시)..

    그렇다면 HOSTS 파일에 저장할 때 내부적으로 어떤 일이 발생합니까? 프로세스 모니터는 정확히 그것을 보여줍니다.

  6. 프로세스 모니터 창으로 전환하고 캡처(Ctrl 키 + 이자형) 문제를 재현하는 즉시.

    중요한: 캡처를 활성화한 후 문제를 재현하는 데 많은 시간을 들이지 마십시오. 마찬가지로 문제 재현이 완료되는 즉시 캡처를 끄십시오. 이는 Process Monitor가 다른 불필요한 데이터를 기록하는 것을 방지하기 위한 것입니다(분석 부분이 더 어려워짐). 가능한 한 빨리 모든 작업을 수행해야 합니다.

    해결책: 위의 로그 파일은 메모장에서 접근 불가 에 쓸 때 오류 호스트 파일. 해결책은 단순히 메모장을 상승된 상태로 실행하는 것입니다(오른쪽 클릭하고 "관리자 권한으로 실행" 선택). 호스트 파일을 성공적으로

3단계: 출력 저장

  1. 프로세스 모니터 창에서 파일 메뉴를 클릭하고 구하다
  2. 선택하다 네이티브 프로세스 모니터 형식(PML), 출력 파일 이름과 경로를 언급하고 파일을 저장합니다.
  3. 마우스 오른쪽 버튼으로 클릭 로그 파일. PML 파일, 보내기를 클릭하고 선택 압축(압축) 폴더. 이렇게 하면 파일이 압축됩니다. ~90%. 아래 그래픽을 보십시오. 누군가에게 보내기 전에 로그 파일을 압축하고 싶을 것입니다.

편집자 주: 나는 일반적으로 고객에게 다음과 같이 로그를 저장하도록 제안합니다. 모든 이벤트 진단이 더 정확할 수 있도록 옵션. 나에게 프로세스 모니터 로그를 보내려면 모든 이벤트 로그 파일을 저장할 때 옵션. 또한 로그 파일을 먼저 압축(.zip)하는 것을 잊지 마십시오.

그게 다야, 독자들. 문서를 단순하게 유지하기 위해 최종 사용자가 이해할 수 있도록 가장 쉬운 예를 사용했습니다. 프로세스 모니터를 사용하여 레지스트리 및 파일 시스템 이벤트를 효율적으로 추적하고 로그 파일.

작은 요청 하나: 이 게시물이 마음에 들면 공유해 주세요.

귀하의 "작은" 공유 하나가 이 블로그의 성장에 많은 도움이 될 것입니다. 몇 가지 훌륭한 제안:
  • 그것을 핀!
  • 좋아하는 블로그 + Facebook, Reddit에 공유
  • 트윗해!
독자 여러분의 많은 지원 부탁드립니다. 시간은 10초 이상 걸리지 않습니다. 공유 버튼은 바로 아래에 있습니다. :)