Kā izmantot Process Monitor, lai izsekotu reģistra un failu sistēmas izmaiņas

MiscellaneaDec 20, 2021

Process Monitor ir lielisks Windows Sysinternals problēmu novēršanas rīks, kas reāllaikā parāda failus un reģistra atslēgas, kurām lietojumprogrammas piekļūst. Rezultātus var saglabāt žurnālfailā, ko varat nosūtīt ekspertam, lai tas analizētu problēmu un novērstu to.

Šeit ir ceļvedis par to, kā tvert lietojumprogrammu piekļuvi reģistram un failu sistēmai, un ģenerēt žurnāla failu, izmantojot Process Monitor turpmākai analīzei.

Izmantojiet Process Monitor, lai izsekotu reģistra un failu sistēmas izmaiņas

Scenārijs: Pieņemsim, ka nevarat rakstīt uz SAIMNIEKI failu veiksmīgi operētājsistēmā Windows, un vēlaties uzzināt, kas notiek zem pārsega. Katrs solis šajā rakstā ir saistīts ar šo scenārija paraugu.

1. darbība. Procesa monitora palaišana un filtru konfigurēšana

  1. Lejupielādēt Procesu monitors no Windows Sysinternals vietne.
  2. Izvelciet zip faila saturu jūsu izvēlētā mapē.
  3. Palaidiet lietojumprogrammu Process Monitor
  4. Iekļaujiet procesus, kuros vēlaties izsekot darbībām. Šajā piemērā vēlaties iekļaut Notepad.exe (Iekļauts) filtros.
  5. Klikšķis Pievienotun noklikšķiniet uz labi.

    Padoms: Varat pievienot arī vairākus ierakstus, ja vēlaties izsekot vēl dažus procesus Notepad.exe. Lai šis piemērs būtu vienkāršāks, izsekosim tikai to Notepad.exe.

  6. No Iespējas izvēlnē noklikšķiniet Atlasiet Kolonnas.
  7. Sadaļā “Notikuma informācija” iespējojiet Secības numursun noklikšķiniet uz labi.

2. darbība: notikumu tveršana

  1. Atveriet Notepad.
  2. Pārslēdzieties uz Process Monitor logu.
  3. Iespējojiet režīmu “Tveršana” (ja tas vēl nav IESLĒGTS). Režīma “Capture” statusu var redzēt, izmantojot Process Monitor rīkjoslu.

    Iepriekš iezīmētā poga ir poga “Uzņemt”, kas pašlaik ir atspējota. Jums jānoklikšķina uz šīs pogas (vai jāizmanto Ctrl + E taustiņu secība), lai iespējotu notikumu tveršanu.

    (Tagad jūs redzēsit Process Monitor galveno logu, kas reāllaikā tver reģistra un failu notikumus pa procesiem, kad un kad tie notiek.)

  4. Iztīriet esošo notikumu sarakstu, izmantojot Ctrl + X taustiņu secība (Svarīgs) un sāciet no jauna
  5. Tagad pārslēdzieties uz Notepad un mēģiniet atveidot problēmu.

    Lai atkārtotu problēmu (šajā piemērā), mēģiniet rakstīt HOSTS failā (C:\Windows\System32\Drivers\Etc\HOSTS) un saglabājot to. Windows piedāvā saglabāt failu (parādot dialoglodziņu Saglabāt kā) ar citu nosaukumu vai citā vietā.

    Tātad, kas notiek zem pārsega, kad saglabājat HOSTS failā? Process Monitor parāda tieši to.

  6. Pārslēdzieties uz Process Monitor logu un izslēdziet Capturing (Ctrl + E), tiklīdz jūs atkārtojat problēmu.

    Svarīgs: Nevelciet daudz laika, lai atjaunotu problēmu pēc tveršanas iespējošanas. Tāpat izslēdziet tveršanu, tiklīdz esat pabeidzis problēmas reproducēšanu. Tas ir paredzēts, lai neļautu Process Monitor reģistrēt citus nevajadzīgus datus (kas apgrūtina analīzes daļu). Jums tas viss jādara pēc iespējas ātrāk.

    Risinājums: Iepriekš esošais žurnālfails norāda, ka Notepad ir radusies PIEEJA NOLIEGTA kļūda, rakstot uz SAIMNIEKI failu. Risinājums būtu vienkārši palaist Notepad paaugstinātā režīmā (ar peles labo pogu noklikšķiniet un izvēlieties “Palaist kā administratoram”), lai varētu rakstīt uz SAIMNIEKI failu veiksmīgi.

3. darbība: izvades saglabāšana

  1. Logā Process Monitor atlasiet Fails izvēlni un noklikšķiniet uz Saglabāt
  2. Izvēlieties Native Process Monitor Format (PML), nosauciet izvades faila nosaukumu un ceļu, saglabājiet failu.
  3. Ar peles labo pogu noklikšķiniet uz Žurnāla fails. PML failu, noklikšķiniet uz Sūtīt un izvēlieties Saspiesta (zip) mape. Tas saspiež failu ar ~90%. Apskatiet zemāk esošo grafiku. Jūs noteikti vēlaties zip žurnāla failu pirms to nosūtīšanas kādam.

Redaktora piezīme: Es parasti saviem klientiem iesaku saglabāt žurnālu ar Visi notikumi iespēju, lai diagnoze būtu precīzāka. Ja grasāties man sūtīt Process Monitor žurnālu, noteikti iespējojiet šo Visi notikumi opcija, saglabājot žurnāla failu. Tāpat neaizmirstiet vispirms saspiest (.zip) žurnālfailu.

Tā tas ir, lasītāji. Lai dokumentācija būtu vienkārša, es izmantoju vienkāršāko piemēru, lai tiešais lietotājs to saprastu skaidri, kā efektīvi izsekot reģistra un failu sistēmas notikumiem, izmantojot Process Monitor un ģenerēt žurnāla fails.

Viens neliels lūgums: ja jums patika šis ieraksts, lūdzu, kopīgojiet to?

Viena "niecīga" daļa no jums nopietni palīdzētu šī emuāra izaugsmei. Daži lieliski ieteikumi:
  • Piespraud to!
  • Kopīgojiet to savā iecienītākajā emuārā + Facebook, Reddit
  • Tvīto to!
Tāpēc liels paldies par atbalstu, mans lasītāj. Tas neaizņems vairāk par 10 sekundēm jūsu laika. Kopīgošanas pogas atrodas tieši zemāk. :)