Como usar o Process Monitor para rastrear mudanças no registro e no sistema de arquivos

MiscelâneaDec 20, 2021

O Process Monitor é uma excelente ferramenta de solução de problemas do Windows Sysinternals que exibe os arquivos e as chaves do Registro que os aplicativos acessam em tempo real. Os resultados podem ser salvos em um arquivo de log, que você pode enviar a um especialista para analisar um problema e solucioná-lo.

Aqui está um guia sobre como capturar os acessos ao registro e ao sistema de arquivos por aplicativos e gerar um arquivo de log usando o Process Monitor para análise posterior.

Use o Process Monitor para rastrear mudanças no registro e no sistema de arquivos

Cenário: Suponhamos que você não consiga escrever para o HOSTS arquivo com sucesso no Windows e deseja saber o que está acontecendo nos bastidores. Cada etapa no seguinte artigo gira em torno deste cenário de exemplo.

Etapa 1: Executando o Monitor de Processo e Configurando Filtros

  1. Download Monitor de Processo a partir de Windows Sysinternals local.
  2. Extraia o conteúdo do arquivo zip para uma pasta de sua escolha.
  3. Execute o aplicativo Process Monitor
  4. Inclua os processos nos quais você deseja rastrear a atividade. Para este exemplo, você deseja incluir Notepad.exe nos Filtros (Incluir).
  5. Clique Adicionare clique OK.

    Dica: Você também pode adicionar várias entradas, caso queira acompanhar mais alguns processos junto com Notepad.exe. Para manter este exemplo mais simples, vamos rastrear apenas Notepad.exe.

  6. De Opções menu, clique Selecione as colunas.
  7. Em “Detalhes do evento”, ative Número sequenciale clique OK.

Etapa 2: Captura de eventos

  1. Abra o bloco de notas.
  2. Alterne para a janela Process Monitor.
  3. Ative o modo “Capturar” (se ainda não estiver LIGADO). Você pode ver o status do modo “Captura” por meio da barra de ferramentas do Process Monitor.

    O botão destacado acima é o botão “Capturar”, que está desativado no momento. Você precisa clicar nesse botão (ou usar Ctrl + E seqüência de teclas) para permitir a captura de eventos.

    (Agora você verá a janela principal do Process Monitor capturando eventos de registro e arquivo por processos em tempo real, como e quando eles ocorrem.)

  4. Limpe a lista de eventos existentes usando Ctrl + X sequência chave (Importante) e começar de novo
  5. Agora mude para o bloco de notas e tente reproduzir o problema.

    Para reproduzir o problema (neste exemplo), tente gravar no arquivo HOSTS (C: \ Windows \ System32 \ Drivers \ Etc \ HOSTS) e salvá-lo. O Windows se oferece para salvar o arquivo (exibindo a caixa de diálogo Salvar como) com um nome diferente ou em um local diferente.

    Então, o que acontece nos bastidores quando você salva no arquivo HOSTS? O Process Monitor mostra isso exatamente.

  6. Mude para a janela Process Monitor e desligue a captura (Ctrl + E) assim que reproduzir o problema.

    Importante: Não demore muito para reproduzir o problema depois de habilitar a captura. Da mesma forma, desative a captura assim que terminar de reproduzir o problema. Isso evita que o Process Monitor registre outros dados desnecessários (o que torna a parte da análise mais difícil). Você precisa fazer tudo isso o mais rápido possível.

    Solução: O arquivo de log acima nos diz que o Notepad encontrou um ACESSO NEGADO erro ao escrever para o HOSTS Arquivo. A solução seria simplesmente executar o Notepad elevado (clique com o botão direito e escolha “Executar como Administrador”) para poder escrever para HOSTS arquivo com sucesso.

Etapa 3: salvando o resultado

  1. Na janela Process Monitor, selecione o Arquivo menu e clique Salve 
  2. Selecione Formato Native Process Monitor (PML), mencione o nome do arquivo de saída e o caminho, salve o arquivo.
  3. Clique com o botão direito no Arquivo de log. PML arquivo, clique em Enviar para e escolha Pasta compactada (zipada). Isso compacta o arquivo por ~90%. Veja o gráfico abaixo. Você certamente deseja compactar o arquivo de log antes de enviá-lo para alguém.

Nota do editor: Eu geralmente sugiro que meus clientes salvem o log com o Todos os eventos opção para que o diagnóstico seja mais preciso. Se você vai me enviar um registro do Process Monitor, certifique-se de habilitar o Todos os eventos opção ao salvar o arquivo de log. Além disso, não se esqueça de compactar (.zip) o arquivo de log primeiro.

É isso, leitores. Para manter a documentação simples, usei o exemplo mais fácil para que um usuário final entenda claramente como rastrear eventos de registro e sistema de arquivos de forma eficiente usando o Process Monitor e gerar o arquivo de log.

Um pequeno pedido: Se você gostou deste post, por favor, compartilhe?

Um "pequeno" compartilhamento seu ajudaria seriamente no crescimento deste blog. Algumas ótimas sugestões:
  • Fixá-lo!
  • Compartilhe com seu blog favorito + Facebook, Reddit
  • Tweet isso!
Muito obrigado pelo seu apoio, meu leitor. Não vai demorar mais de 10 segundos do seu tempo. Os botões de compartilhamento estão logo abaixo. :)