Hur man använder Process Monitor för att spåra register- och filsystemändringar

MiscellaneaDec 20, 2021
click fraud protection

Process Monitor är ett utmärkt felsökningsverktyg från Windows Sysinternals som visar filerna och registernycklarna som applikationer kommer åt i realtid. Resultaten kan sparas i en loggfil som du kan skicka till en expert för att analysera ett problem och felsöka det.

Här är en guide för hur man fångar register- och filsystemåtkomster av applikationer och genererar en loggfil med Process Monitor för vidare analys.

Använd Process Monitor för att spåra register- och filsystemändringar

Scenario: Låt oss anta att du inte kan skriva till VÄRDAR fil framgångsrikt i Windows och vill veta vad som händer under huven. Varje steg i följande artikel kretsar kring detta exempelscenario.

Steg 1: Kör Process Monitor och konfigurera filter

  1. Ladda ner Processövervakning från Windows Sysinternals webbplats.
  2. Extrahera zip-filens innehåll till en valfri mapp.
  3. Kör programmet Process Monitor
  4. Inkludera de processer som du vill spåra aktiviteten på. För det här exemplet vill du ta med Notepad.exe i (Inkludera) filter.
  5. Klick Lägg till, och klicka OK.

    Dricks: Du kan lägga till flera poster också, om du vill spåra några fler processer tillsammans med Notepad.exe. För att göra det här exemplet enklare, låt oss bara spåra Notepad.exe.

  6. Från alternativ menyn, klicka Välj Kolumner.
  7. Aktivera under "Händelseinformation". Sekvensnummer, och klicka OK.

Steg 2: Fånga händelser

  1. Öppna Anteckningar.
  2. Växla till Process Monitor-fönstret.
  3. Aktivera "Capture"-läget (om det inte redan är PÅ). Du kan se statusen för "Capture"-läget via verktygsfältet Process Monitor.

    Den markerade knappen ovan är "Capture"-knappen, som för närvarande är inaktiverad. Du måste klicka på den knappen (eller använda Ctrl + E tangentsekvens) för att möjliggöra fånga av händelser.

    (Du kommer nu att se Process Monitors huvudfönster som fångar register- och filhändelser efter processer i realtid, när och när de inträffar.)

  4. Rensa den befintliga händelselistan med Ctrl + X tangentsekvens (Viktig) och börja om
  5. Byt nu till Anteckningar och försök reproducera problemet.

    För att återskapa problemet (för det här exemplet), försök att skriva till HOSTS-filen (C:\Windows\System32\Drivers\Etc\HOSTS) och spara den. Windows erbjuder att spara filen (genom att visa dialogrutan Spara som) med ett annat namn eller på en annan plats.

    Så, vad händer under huven när du sparar till HOSTS-fil? Process Monitor visar precis det.

  6. Växla till Process Monitor-fönstret och stäng av Capturing (Ctrl + E) så snart du återskapar problemet.

    Viktig: Ta inte lång tid att återskapa problemet efter att ha aktiverat infångning. På samma sätt, stäng av fånga så snart du är klar med att återskapa problemet. Detta för att förhindra att Process Monitor registrerar annan onödig data (vilket gör analysdelen svårare). Du måste göra allt det så snabbt du kan.

    Lösning: Loggfilen ovan berättar att Notepad stötte på en TILLTRÄDE BEVILJAS EJ fel när du skriver till VÄRDAR fil. Lösningen skulle vara att helt enkelt köra Notepad förhöjd (högerklicka och välj "Kör som administratör") för att kunna skriva till VÄRDAR filen framgångsrikt.

Steg 3: Spara utdata

  1. I fönstret Process Monitor väljer du Fil menyn och klicka Spara
  2. Välj Native Process Monitor Format (PML), nämn utdatafilens namn och sökväg, spara filen.
  3. Högerklicka på Loggfil. PML fil, klicka på Skicka till och välj Komprimerad (zippad) mapp. Detta komprimerar filen med ~90%. Titta på grafiken nedan. Du vill verkligen zippa loggfilen innan du skickar den till någon.

Redaktörens anmärkning: Jag brukar föreslå att mina kunder sparar loggen med Alla evenemang alternativ så att diagnosen kan bli mer exakt. Om du ska skicka mig en Process Monitor-logg, se till att du aktiverar Alla evenemang alternativet när du sparar loggfilen. Glöm inte heller att komprimera (.zip) loggfilen först.

Det är det, läsare. För att hålla dokumentationen enkel har jag använt det enklaste exemplet så att en slutanvändare förstår tydligt hur man effektivt spårar register- och filsystemhändelser med Process Monitor & genererar loggfil.

En liten begäran: Om du gillade det här inlägget, vänligen dela detta?

En "liten" andel från dig skulle verkligen hjälpa mycket med den här bloggens tillväxt. Några bra förslag:
  • Fäst det!
  • Dela den till din favoritblogg + Facebook, Reddit
  • Tweet det!
Så tack så mycket för ditt stöd, min läsare. Det tar inte mer än 10 sekunder av din tid. Dela-knapparna finns precis nedanför. :)