Как использовать Process Monitor для отслеживания изменений реестра и файловой системы

РазноеDec 20, 2021
click fraud protection

Process Monitor - отличный инструмент для устранения неполадок от Windows Sysinternals, который отображает файлы и ключи реестра, к которым приложения получают доступ, в режиме реального времени. Результаты можно сохранить в файл журнала, который вы можете отправить эксперту для анализа проблемы и ее устранения.

Вот руководство о том, как фиксировать доступ приложений к реестру и файловой системе и создавать файл журнала с помощью Process Monitor для дальнейшего анализа.

Используйте Process Monitor для отслеживания изменений реестра и файловой системы

Сценарий: Предположим, вы не можете написать ВЕДУЩИЕ файл успешно в Windows, и хотите знать, что происходит под капотом. Каждый шаг в следующей статье основан на этом примере сценария.

Шаг 1. Запуск монитора процессов и настройка фильтров

  1. Скачать Монитор процесса от Windows Sysinternals сайт.
  2. Распакуйте содержимое zip-файла в любую папку по вашему выбору.
  3. Запустите приложение Process Monitor
  4. Включите процессы, активность которых вы хотите отслеживать. В этом примере вы хотите включить Notepad.exe в фильтрах (Включить).
  5. Нажмите Добавлятьи щелкните В ПОРЯДКЕ.

    Подсказка: Вы также можете добавить несколько записей, если вы хотите отслеживать еще несколько процессов вместе с Notepad.exe. Чтобы упростить этот пример, давайте отслеживать только Notepad.exe.

  6. От Опции меню, щелкните Выбрать столбцы.
  7. В разделе «Сведения о мероприятии» включите Последовательность чисели щелкните В ПОРЯДКЕ.

Шаг 2: захват событий

  1. Откройте Блокнот.
  2. Перейдите в окно монитора процессов.
  3. Включите режим «Захват» (если он еще не включен). Вы можете увидеть статус режима «Захват» через панель инструментов Process Monitor.

    Выделенная кнопка выше - это кнопка «Захват», которая в настоящее время отключена. Вам нужно нажать эту кнопку (или использовать Ctrl + E последовательность клавиш), чтобы включить захват событий.

    (Теперь вы увидите главное окно Process Monitor, регистрирующее события реестра и файлов по процессам в режиме реального времени по мере их возникновения.)

  4. Очистите существующий список событий, используя Ctrl + Икс последовательность клавиш (Важный) и начать заново
  5. Теперь переключитесь в Блокнот и попробуйте воспроизвести проблему.

    Чтобы воспроизвести проблему (для этого примера), попробуйте записать в файл HOSTS (C: \ Windows \ System32 \ Драйверы \ Etc \ HOSTS) и сохраняя его. Windows предлагает сохранить файл (в диалоговом окне «Сохранить как») под другим именем или в другом месте..

    Итак, что происходит под капотом при сохранении в файл HOSTS? Process Monitor точно это показывает.

  6. Перейдите в окно Process Monitor и отключите захват (Ctrl + E), как только воспроизведете проблему.

    Важный: Не займет много времени, чтобы воспроизвести проблему после включения захвата. Точно так же выключите захват, как только закончите воспроизведение проблемы. Это сделано для того, чтобы Process Monitor не записывал другие ненужные данные (что усложняет анализ). Все это нужно делать как можно быстрее.

    Решение: Приведенный выше файл журнала сообщает нам, что Блокнот обнаружил ДОСТУП ЗАКРЫТ ошибка при записи в ВЕДУЩИЕ файл. Решением было бы просто запустить Блокнот с повышенными привилегиями (щелкните правой кнопкой мыши и выберите «Запуск от имени администратора»), чтобы иметь возможность писать в ВЕДУЩИЕ файл успешно.

Шаг 3: Сохранение вывода

  1. В окне Process Monitor выберите Файл меню и щелкните Сохранять
  2. Выбирать Собственный формат монитора процессов (PML), укажите имя выходного файла и путь, сохраните файл.
  3. Щелкните правой кнопкой мыши Журнальный файл. PML файл, щелкните Отправить и выберите Сжатая (заархивированная) папка. Это сжимает файл на ~90%. Посмотрите на рисунок ниже. Вы обязательно захотите заархивировать файл журнала, прежде чем отправлять его кому-нибудь.

Примечание редактора: Обычно я предлагаю своим клиентам сохранять журнал с Все события вариант, чтобы диагноз был более точным. Если вы собираетесь отправить мне журнал Process Monitor, убедитесь, что вы включили Все события опция при сохранении файла журнала. Кроме того, не забудьте сначала сжать (.zip) файл журнала.

Вот и все, читатели. Чтобы упростить документацию, я использовал самый простой пример, чтобы конечный пользователь понял ясно, как эффективно отслеживать события реестра и файловой системы с помощью Process Monitor и генерировать журнальный файл.

Одна небольшая просьба: если вам понравился этот пост, поделитесь, пожалуйста, этим?

Одна "крошечная" публикация от вас серьезно помогла бы росту этого блога. Несколько отличных предложений:
  • Приколи это!
  • Поделитесь этим в своем любимом блоге + Facebook, Reddit
  • Напишите об этом в Твиттере!
Так что большое спасибо за вашу поддержку, мой читатель. Это займет не более 10 секунд вашего времени. Кнопки «Поделиться» находятся прямо внизу. :)