Hvordan bruke prosessmonitor til å spore register- og filsystemendringer

MiscellaneaDec 20, 2021
click fraud protection

Process Monitor er et utmerket feilsøkingsverktøy fra Windows Sysinternals som viser filene og registernøklene som applikasjoner får tilgang til i sanntid. Resultatene kan lagres i en loggfil, som du kan sende til en ekspert for å analysere et problem og feilsøke det.

Her er en veiledning for hvordan du fanger opp register- og filsystemtilganger etter applikasjoner, og genererer en loggfil ved hjelp av Process Monitor for videre analyse.

Bruk Process Monitor for å spore register- og filsystemendringer

Scenario: La oss anta at du ikke kan skrive til VERTER filen vellykket i Windows, og vil vite hva som skjer under panseret. Hvert trinn i den følgende artikkelen dreier seg om dette eksempelscenariet.

Trinn 1: Kjøre prosessovervåking og konfigurere filtre

  1. nedlasting Prosessovervåker fra Windows Sysinternals nettstedet.
  2. Pakk ut zip-filens innhold til en mappe du ønsker.
  3. Kjør Process Monitor-applikasjonen
  4. Ta med prosessene du vil spore aktiviteten på. For dette eksemplet vil du inkludere Notepad.exe i (Inkluder) filtre.
  5. Klikk Legg til, og klikk OK.

    Tips: Du kan legge til flere oppføringer også, i tilfelle hvis du vil spore flere prosesser sammen med Notepad.exe. For å gjøre dette eksemplet enklere, la oss bare spore Notepad.exe.

  6. Fra Alternativer menyen, klikk Velg kolonner.
  7. Aktiver under "Hendelsesdetaljer". Sekvensnummer, og klikk OK.

Trinn 2: Ta opp hendelser

  1. Åpne Notisblokk.
  2. Bytt til Process Monitor-vinduet.
  3. Aktiver "Capture"-modus (hvis den ikke allerede er PÅ). Du kan se statusen til "Capture"-modus via Process Monitor-verktøylinjen.

    Den uthevede knappen ovenfor er "Capture"-knappen, som for øyeblikket er deaktivert. Du må klikke på den knappen (eller bruke Ctrl + E tastesekvens) for å muliggjøre fangst av hendelser.

    (Du vil nå se Process Monitor-hovedvinduet som fanger opp register- og filhendelser etter prosesser i sanntid, etter hvert som de oppstår.)

  4. Rydd opp i den eksisterende hendelseslisten ved å bruke Ctrl + X tastesekvens (Viktig) og start på nytt
  5. Bytt nå til Notisblokk og prøv å gjenskape problemet.

    For å gjenskape problemet (for dette eksempelet), prøv å skrive til HOSTS-filen (C:\Windows\System32\Drivers\Etc\HOSTS) og lagre den. Windows tilbyr å lagre filen (ved å vise dialogboksen Lagre som) med et annet navn, eller på et annet sted.

    Så, hva skjer under panseret når du lagrer til HOSTS-fil? Process Monitor viser akkurat det.

  6. Bytt til Process Monitor-vinduet, og slå av Capturing (Ctrl + E) så snart du gjenskaper problemet.

    Viktig: Ikke ta mye tid på å gjenskape problemet etter at du har aktivert fangst. På samme måte, slå av fangst så snart du er ferdig med å reprodusere problemet. Dette er for å hindre at Process Monitor registrerer andre unødvendige data (noe som gjør analysedelen vanskeligere). Du må gjøre alt det så raskt du kan.

    Løsning: Loggfilen ovenfor forteller oss at Notepad oppdaget en INGEN TILGANG feil når du skriver til VERTER fil. Løsningen ville være å ganske enkelt kjøre Notepad forhøyet (høyreklikk og velg "Kjør som administrator") for å kunne skrive til VERTER filen vellykket.

Trinn 3: Lagre utdataene

  1. I Process Monitor-vinduet velger du Fil menyen og klikk Lagre
  2. Plukke ut Native Process Monitor Format (PML), nevne utdatafilnavnet og bane, lagre filen.
  3. Høyreklikk på Loggfil. PML fil, klikk Send til og velg Komprimert (zippet) mappe. Dette komprimerer filen med ~90%. Se på grafikken nedenfor. Du vil absolutt zippe loggfilen før du sender den til noen.

Redaktørens notat: Jeg foreslår vanligvis at klientene mine lagrer loggen med Alle arrangementer alternativ slik at diagnosen kan bli mer nøyaktig. Hvis du skal sende meg en prosessovervåkingslogg, sørg for at du aktiverer Alle hendelser alternativet når du lagrer loggfilen. Ikke glem å komprimere (.zip) loggfilen først.

Det er det, lesere. For å holde dokumentasjonen enkel, har jeg brukt det enkleste eksemplet slik at en sluttbruker forstår tydelig hvordan du effektivt sporer register- og filsystemhendelser ved å bruke Process Monitor og genererer loggfil.

En liten forespørsel: Hvis du likte dette innlegget, kan du dele dette?

En "liten" andel fra deg ville virkelig hjelpe mye med veksten av denne bloggen. Noen gode forslag:
  • Fest den!
  • Del den på favorittbloggen din + Facebook, Reddit
  • Tweet det!
Så tusen takk for støtten min leser. Det vil ikke ta mer enn 10 sekunder av tiden din. Del-knappene er rett under. :)