Kaip naudoti proceso monitorių registro ir failų sistemos pakeitimams sekti

ĮvairiosDec 20, 2021

Process Monitor yra puikus „Windows Sysinternals“ trikčių šalinimo įrankis, rodantis failus ir registro raktus, kuriuos programos pasiekia realiuoju laiku. Rezultatai gali būti įrašyti į žurnalo failą, kurį galite nusiųsti ekspertui, kad šis išanalizuotų problemą ir pašalintų triktis.

Čia pateikiamas vadovas, kaip užfiksuoti programų registro ir failų sistemos prieigą ir sugeneruoti žurnalo failą naudojant Process Monitor, kad būtų galima atlikti tolesnę analizę.

Norėdami stebėti registro ir failų sistemos pakeitimus, naudokite Process Monitor

Scenarijus: Tarkime, kad negalite rašyti į VEIKIAI failą sėkmingai „Windows“ sistemoje ir norite sužinoti, kas vyksta po gaubtu. Kiekvienas šio straipsnio veiksmas sukasi apie šį pavyzdinį scenarijų.

1 veiksmas: paleiskite proceso monitorių ir sukonfigūruokite filtrus

  1. parsisiųsti Proceso monitorius„Windows Sysinternals“. svetainę.
  2. Išskleiskite ZIP failo turinį į pasirinktą aplanką.
  3. Paleiskite programą Process Monitor
  4. Įtraukite procesus, kurių veiklą norite stebėti. Šiame pavyzdyje norite įtraukti Notepad.exe (Įtraukti) filtruose.
  5. Spustelėkite Papildytiir spustelėkite Gerai.

    Patarimas: Taip pat galite pridėti kelis įrašus, jei norite stebėti dar kelis procesus Notepad.exe. Kad šis pavyzdys būtų paprastesnis, stebėkime tik Notepad.exe.

  6. Nuo Galimybės meniu, spustelėkite Pasirinkite Stulpeliai.
  7. Skiltyje „Išsami įvykio informacija“ įgalinkite Eilės numerisir spustelėkite Gerai.

2 veiksmas: įvykių fiksavimas

  1. Atidarykite Notepad.
  2. Perjunkite į Process Monitor langą.
  3. Įjunkite režimą „Užfiksuoti“ (jei jis dar neįjungtas). „Capture“ režimo būseną galite pamatyti naudodami Process Monitor įrankių juostą.

    Viršuje paryškintas mygtukas yra mygtukas „Užfiksuoti“, kuris šiuo metu yra išjungtas. Turite spustelėti tą mygtuką (arba naudoti Ctrl + E klavišų seka), kad būtų galima užfiksuoti įvykius.

    (Dabar pamatysite pagrindinį proceso monitoriaus langą, kuriame registro ir failų įvykiai fiksuojami pagal procesus realiuoju laiku, kai jie įvyksta.)

  4. Išvalykite esamą įvykių sąrašą naudodami Ctrl + X klavišų seka (Svarbu) ir pradėkite iš naujo
  5. Dabar perjunkite į Notepad ir pabandykite atkurti problemą.

    Norėdami atkurti problemą (šiame pavyzdyje), pabandykite įrašyti į HOSTS failą (C:\Windows\System32\Drivers\Etc\HOSTS) ir jį išsaugoti. „Windows“ siūlo išsaugoti failą (rodomas dialogo langas Įrašyti kaip) kitu pavadinimu arba kitoje vietoje.

    Taigi, kas nutinka po gaubtu, kai įrašote HOSTS failą? Proceso monitorius tiksliai tai rodo.

  6. Perjunkite į Process Monitor langą ir išjunkite Capturing (Ctrl + E), kai tik pakartosite problemą.

    Svarbu: Įjungus fiksavimą, problemos atkūrimui nereikia daug laiko. Panašiai išjunkite fiksavimą, kai tik baigsite atkurti problemą. Tai daroma tam, kad Process Monitor neįrašytų kitų nereikalingų duomenų (dėl to analizės dalis tampa sudėtingesnė). Visa tai turite padaryti kuo greičiau.

    Sprendimas: Aukščiau pateiktame žurnalo faile nurodoma, kad „Notepad“ susidūrė su PRIEIGA ATLEISTA klaida rašant į VEIKIAI failą. Sprendimas būtų tiesiog paleisti Notepad padidintą (dešiniuoju pelės mygtuku spustelėkite ir pasirinkite „Vykdyti kaip administratoriui“), kad galėtumėte rašyti VEIKIAI failą sėkmingai.

3 veiksmas: išsaugokite išvestį

  1. Proceso monitoriaus lange pasirinkite Failas meniu ir spustelėkite Sutaupyti
  2. Pasirinkite Native Process Monitor Format (PML), nurodykite išvesties failo pavadinimą ir kelią, išsaugokite failą.
  3. Dešiniuoju pelės mygtuku spustelėkite Žurnalo failas. PML failą, spustelėkite Siųsti ir pasirinkite Suspaustas (supakuotas) aplankas. Tai suglaudina failą ~90%. Pažvelkite į žemiau esantį grafiką. Jūs tikrai norite supakuoti žurnalo failą prieš siųsdami jį kam nors.

Redaktoriaus pastaba: Paprastai savo klientams siūlau išsaugoti žurnalą su Visi įvykiai parinktis, kad diagnozė būtų tikslesnė. Jei ketinate atsiųsti man Process Monitor žurnalą, įsitikinkite, kad įgalinote Visi įvykiai parinktį išsaugant žurnalo failą. Be to, pirmiausia nepamirškite suspausti (.zip) žurnalo failo.

Tai štai, skaitytojai. Kad dokumentacija būtų paprasta, panaudojau lengviausią pavyzdį, kad galutinis vartotojas suprastų aiškiai, kaip efektyviai sekti registro ir failų sistemos įvykius naudojant Process Monitor & generuoti žurnalo failas.

Vienas mažas prašymas: jei jums patiko šis įrašas, pasidalinkite juo?

Viena „mažytė“ jūsų dalis labai padėtų šio tinklaraščio augimui. Keletas puikių pasiūlymų:
  • Prisek tai!
  • Pasidalykite juo savo mėgstamame tinklaraštyje + Facebook, Reddit
  • Paskelbkite „Twitter“!
Taigi labai ačiū už palaikymą, mano skaitytojau. Tai užtruks ne daugiau kaip 10 sekundžių jūsų laiko. Bendrinimo mygtukai yra tiesiai žemiau. :)