Cum să utilizați Process Monitor pentru a urmări modificările din registru și din sistemul de fișiere

MiscellaneaDec 20, 2021

Process Monitor este un instrument excelent de depanare de la Windows Sysinternals care afișează fișierele și cheile de registry pe care aplicațiile le accesează în timp real. Rezultatele pot fi salvate într-un fișier jurnal, pe care îl puteți trimite unui expert pentru a analiza o problemă și a o depana.

Iată un ghid despre cum să capturați accesul la registru și la sistemul de fișiere de către aplicații și să generați un fișier jurnal utilizând Process Monitor pentru analize ulterioare.

Utilizați Process Monitor pentru a urmări modificările din registru și din sistemul de fișiere

Scenariu: Să presupunem că nu puteți scrie la GAZDE fișier cu succes în Windows și doriți să știți ce se întâmplă sub capotă. Fiecare pas din articolul următor se învârte în jurul acestui exemplu de scenariu.

Pasul 1: rularea procesului de monitorizare și configurarea filtrelor

  1. Descarca Monitor de proces din Windows Sysinternals site-ul.
  2. Extrageți conținutul fișierului zip într-un folder la alegere.
  3. Rulați aplicația Process Monitor
  4. Includeți procesele pe care doriți să urmăriți activitatea. Pentru acest exemplu, doriți să includeți Notepad.exe în Filtrele (Includeți).
  5. Clic Adăuga, și faceți clic O.K.

    Bacsis: Puteți adăuga, de asemenea, mai multe intrări, în cazul în care doriți să urmăriți mai multe procese împreună Notepad.exe. Pentru a face acest exemplu mai simplu, să urmărim doar Notepad.exe.

  6. De la Opțiuni meniu, faceți clic Selectați Coloane.
  7. Sub „Detalii eveniment”, activați Număr de secvență, și faceți clic O.K.

Pasul 2: Capturarea evenimentelor

  1. Deschide Notepad.
  2. Comutați la fereastra Process Monitor.
  3. Activați modul „Captură” (dacă nu este deja ACTIVAT). Puteți vedea starea modului „Captură” prin intermediul barei de instrumente Process Monitor.

    Butonul evidențiat mai sus este butonul „Captură”, care este în prezent dezactivat. Trebuie să faceți clic pe acel buton (sau să utilizați Ctrl + E secvență de taste) pentru a permite capturarea evenimentelor.

    (Veți vedea acum fereastra principală Process Monitor care captează evenimentele din registru și fișiere în funcție de procese în timp real, pe măsură ce apar.)

  4. Curățați lista de evenimente existente folosind Ctrl + X secvență de taste (Important) și începeți din nou
  5. Acum treceți la Notepad și încercați reproduce problema.

    Pentru a reproduce problema (pentru acest exemplu), încercați să scrieți în fișierul HOSTS (C:\Windows\System32\Drivers\Etc\HOSTS) și salvându-l. Windows oferă să salveze fișierul (prin afișarea casetei de dialog Salvare ca) cu un nume diferit sau într-o locație diferită.

    Deci, ce se întâmplă sub capotă când salvați în fișierul HOSTS? Process Monitor arată exact asta.

  6. Comutați la fereastra Process Monitor și dezactivați Capturarea (Ctrl + E) imediat ce reproduci problema.

    Important: Nu vă ia mult timp pentru a reproduce problema după ce ați activat capturarea. În mod similar, dezactivați capturarea imediat ce ați terminat de reprodus problema. Acest lucru este pentru a preveni Process Monitor să înregistreze alte date care nu sunt necesare (ceea ce face partea de analiză mai dificilă). Trebuie să faci toate acestea cât de repede poți.

    Soluţie: Fișierul jurnal de mai sus ne spune că Notepad a întâlnit un ACCES INTERZIS eroare la scrierea la GAZDE fişier. Soluția ar fi pur și simplu să rulați Notepad elevat (dați clic dreapta și alegeți „Run as Administrator”) pentru a putea scrie în GAZDE fișier cu succes.

Pasul 3: Salvarea rezultatului

  1. În fereastra Process Monitor, selectați Fişier meniu și faceți clic salva
  2. Selectați Format nativ de monitorizare a proceselor (PML), menționați numele fișierului de ieșire și Calea, salvați fișierul.
  3. Faceți clic dreapta pe Fișier jurnal. PML fișier, faceți clic pe Trimiteți către și alegeți Dosar comprimat (arhivat).. Aceasta comprimă fișierul cu ~90%. Uită-te la graficul de mai jos. Cu siguranță doriți să arhivați fișierul jurnal înainte de a-l trimite cuiva.

Nota editorului: De obicei, le sugerez clienților mei să salveze jurnalul cu Toate evenimentele opțiune pentru ca diagnosticul să fie mai precis. Dacă aveți de gând să-mi trimiteți un jurnal Process Monitor, asigurați-vă că activați Toate Evenimentele opțiunea la salvarea fișierului jurnal. De asemenea, nu uitați să comprimați (.zip) fișierul jurnal mai întâi.

Asta e, cititori. Pentru a menține documentația simplă, am folosit cel mai simplu exemplu, astfel încât un utilizator final să înțeleagă clar cum să urmăriți eficient evenimentele din registry și din sistemul de fișiere folosind Process Monitor și generați fișier jurnal.

O mică cerere: dacă ți-a plăcut această postare, te rog să distribui asta?

Un „mic” share din partea ta ar ajuta foarte mult la dezvoltarea acestui blog. Câteva sugestii grozave:
  • Fixați-l!
  • Distribuie-l pe blogul tău preferat + Facebook, Reddit
  • Trimiteți-l pe Tweet!
Așa că vă mulțumesc foarte mult pentru sprijin, cititorul meu. Nu va dura mai mult de 10 secunde din timpul dvs. Butoanele de partajare sunt chiar mai jos. :)