Jak używać Monitora procesów do śledzenia zmian w rejestrze i systemie plików?

RóżneDec 20, 2021
click fraud protection

Process Monitor to doskonałe narzędzie do rozwiązywania problemów z systemu Windows Sysinternals, które wyświetla pliki i klucze rejestru, do których aplikacje uzyskują dostęp w czasie rzeczywistym. Wyniki można zapisać w pliku dziennika, który można wysłać do eksperta w celu przeanalizowania problemu i rozwiązania go.

Oto przewodnik dotyczący przechwytywania dostępu do rejestru i systemu plików przez aplikacje oraz generowania pliku dziennika za pomocą Monitora procesów do dalszej analizy.

Użyj Monitora procesów do śledzenia zmian w rejestrze i systemie plików

Scenariusz: Załóżmy, że nie możesz pisać do ZASTĘPY NIEBIESKIE plik pomyślnie w systemie Windows i chcesz wiedzieć, co dzieje się pod maską. Każdy krok w poniższym artykule dotyczy tego przykładowego scenariusza.

Krok 1: Uruchamianie Monitora procesów i konfigurowanie filtrów

  1. Ściągnij Monitor procesu z Systemy wewnętrzne systemu Windows Strona.
  2. Wypakuj zawartość pliku zip do wybranego folderu.
  3. Uruchom aplikację Process Monitor
  4. Uwzględnij procesy, na których chcesz śledzić aktywność. W tym przykładzie chcesz uwzględnić
    Notepad.exe w filtrach (uwzględnij).
  5. Kliknij Dodaći kliknij ok.

    Wskazówka: Możesz również dodać wiele wpisów, jeśli chcesz śledzić kilka innych procesów wraz z Notepad.exe. Aby uprościć ten przykład, śledźmy tylko Notepad.exe.

  6. Od Opcje menu, kliknij Wybierz kolumny.
  7. W sekcji „Szczegóły wydarzenia” włącz Numer sekwencjii kliknij ok.

Krok 2: Przechwytywanie zdarzeń

  1. Otwórz Notatnik.
  2. Przejdź do okna Monitora procesu.
  3. Włącz tryb „Przechwytywanie” (jeśli nie jest jeszcze WŁĄCZONY). Status trybu „Capture” można zobaczyć na pasku narzędzi Process Monitor.

    Podświetlony przycisk powyżej to przycisk „Przechwyć”, który jest obecnie wyłączony. Musisz kliknąć ten przycisk (lub użyć klawisz kontrolny + mi sekwencja klawiszy), aby umożliwić przechwytywanie zdarzeń.

    (Zobaczysz teraz główne okno Process Monitor przechwytujące zdarzenia rejestru i plików według procesów w czasie rzeczywistym, kiedy i kiedy występują).

  4. Wyczyść istniejącą listę wydarzeń za pomocą klawisz kontrolny + x sekwencja klawiszy (Ważny) i zacznij od nowa
  5. Teraz przełącz się na Notatnik i spróbuj odtworzyć problem.

    Aby odtworzyć problem (w tym przykładzie), spróbuj napisać do pliku HOSTS (C:\Windows\System32\Drivers\Etc\HOSTS) i zapisz go. System Windows oferuje zapisanie pliku (pokazując okno dialogowe Zapisz jako) pod inną nazwą lub w innej lokalizacji.

    Co więc dzieje się pod maską, gdy zapisujesz do pliku HOSTS? Process Monitor dokładnie to pokazuje.

  6. Przejdź do okna Process Monitor i wyłącz Przechwytywanie (klawisz kontrolny + mi) zaraz po odtworzeniu problemu.

    Ważny: Nie zabieraj dużo czasu na odtworzenie problemu po włączeniu przechwytywania. Podobnie wyłącz przechwytywanie, gdy tylko zakończysz odtwarzanie problemu. Ma to na celu uniemożliwienie Monitorowi Procesu rejestrowania innych niepotrzebnych danych (co utrudnia analizę). Musisz to wszystko zrobić jak najszybciej.

    Rozwiązanie: Powyższy plik dziennika informuje nas, że Notatnik napotkał BRAK DOSTĘPU błąd podczas pisania do ZASTĘPY NIEBIESKIE plik. Rozwiązaniem byłoby po prostu uruchomienie Notatnika z podwyższonym poziomem uprawnień (kliknij prawym przyciskiem myszy i wybierz „Uruchom jako administrator”), aby móc pisać do ZASTĘPY NIEBIESKIE plik pomyślnie.

Krok 3: Zapisywanie danych wyjściowych

  1. W oknie Process Monitor wybierz Plik menu i kliknij Zapisać
  2. Wybierać Natywny format monitora procesu (PML), podaj nazwę pliku wyjściowego i ścieżkę, zapisz plik.
  3. Kliknij prawym przyciskiem myszy Plik dziennika. PML plik, kliknij Wyślij do i wybierz Skompresowany (zip) folder. To skompresuje plik przez ~90%. Spójrz na grafikę poniżej. Na pewno chcesz spakować plik dziennika przed wysłaniem go do kogoś.

Od redakcji: Zwykle sugeruję moim klientom zapisanie dziennika za pomocą Wszystkie zdarzenia opcja, aby diagnoza była dokładniejsza. Jeśli zamierzasz wysłać mi dziennik Monitora procesów, upewnij się, że włączyłeś Wszystkie zdarzenia opcja podczas zapisywania pliku dziennika. Nie zapomnij też najpierw skompresować (.zip) pliku dziennika.

To wszystko, czytelnicy. Aby dokumentacja była prosta, użyłem najprostszego przykładu, aby użytkownik końcowy zrozumiał jasno, jak skutecznie śledzić zdarzenia rejestru i systemu plików za pomocą Monitora procesów i generować plik dziennika.

Jedna mała prośba: Jeśli podobał Ci się ten post, udostępnij go?

Jeden „mały” udział od ciebie bardzo pomógłby w rozwoju tego bloga. Kilka świetnych sugestii:
  • Przypiąć!
  • Udostępnij to na swoim ulubionym blogu + Facebooku, Reddit
  • Tweetuj to!
Więc bardzo dziękuję za wsparcie, mój czytelniku. To nie zajmie więcej niż 10 sekund twojego czasu. Przyciski udostępniania znajdują się tuż poniżej. :)