วิธีใช้ Process Monitor เพื่อติดตามการเปลี่ยนแปลง Registry และ File System

Process Monitor เป็นเครื่องมือแก้ไขปัญหาที่ยอดเยี่ยมจาก Windows Sysinternals ที่แสดงไฟล์และรีจิสตรีคีย์ที่แอปพลิเคชันเข้าถึงได้แบบเรียลไทม์ สามารถบันทึกผลลัพธ์ลงในไฟล์บันทึก ซึ่งคุณสามารถส่งให้ผู้เชี่ยวชาญวิเคราะห์ปัญหาและแก้ไขปัญหาได้

นี่คือคำแนะนำเกี่ยวกับวิธีการบันทึกการเข้าถึงรีจิสทรีและระบบไฟล์โดยแอปพลิเคชัน และสร้างไฟล์บันทึกโดยใช้ Process Monitor สำหรับการวิเคราะห์เพิ่มเติม

ใช้ Process Monitor เพื่อติดตามการเปลี่ยนแปลง Registry และ File System

สถานการณ์: สมมติว่าคุณไม่สามารถเขียนถึง เจ้าภาพ ไฟล์ได้สำเร็จใน Windows และต้องการทราบว่าเกิดอะไรขึ้นภายใต้ประทุน ทุกขั้นตอนในบทความต่อไปนี้เกี่ยวข้องกับสถานการณ์ตัวอย่างนี้

ขั้นตอนที่ 1: เรียกใช้การตรวจสอบกระบวนการและการกำหนดค่าตัวกรอง

1. ดาวน์โหลด การตรวจสอบกระบวนการ จาก Windows Sysinternals งาน.
2. แยกเนื้อหาไฟล์ zip ไปยังโฟลเดอร์ที่คุณเลือก
3. เรียกใช้แอปพลิเคชัน Process Monitor
4. รวมกระบวนการที่คุณต้องการติดตามกิจกรรม สำหรับตัวอย่างนี้ คุณต้องการรวม Notepad.exe ในตัวกรอง (รวม)
   
5. คลิก เพิ่มและคลิก ตกลง.

   เคล็ดลับ: คุณสามารถเพิ่มหลายรายการได้เช่นกัน ในกรณีที่คุณต้องการติดตามกระบวนการเพิ่มเติมอีกสองสามรายการพร้อมกับ

   Notepad.exe. เพื่อให้ตัวอย่างนี้ง่ายขึ้น เรามาติดตามกันเท่านั้น Notepad.exe.

6. จาก ตัวเลือก เมนู คลิก เลือกคอลัมน์.
7. ภายใต้ "รายละเอียดกิจกรรม" ให้เปิดใช้งาน ลำดับหมายเลขและคลิก ตกลง.
   

ขั้นตอนที่ 2: จับภาพเหตุการณ์

1. เปิดแผ่นจดบันทึก
2. สลับไปที่หน้าต่าง Process Monitor
3. เปิดใช้งานโหมด "จับภาพ" (หากยังไม่ได้เปิด) คุณสามารถดูสถานะของโหมด "จับภาพ" ได้ผ่านแถบเครื่องมือ Process Monitor
   

   ปุ่มที่ไฮไลต์ด้านบนคือปุ่ม "จับภาพ" ซึ่งปิดใช้งานอยู่ในขณะนี้ คุณต้องคลิกปุ่มนั้น (หรือใช้ Ctrl + อี ลำดับคีย์) เพื่อเปิดใช้งานการบันทึกเหตุการณ์

   (ตอนนี้ คุณจะเห็นหน้าต่างหลักของ Process Monitor ที่จับภาพรีจิสทรีและไฟล์เหตุการณ์ตามกระบวนการในแบบเรียลไทม์ และเมื่อใด)

4. ล้างรายการเหตุการณ์ที่มีอยู่โดยใช้ Ctrl + X ลำดับคีย์ (สำคัญ) แล้วเริ่มต้นใหม่
5. ตอนนี้เปลี่ยนเป็น Notepad แล้วลอง สร้างปัญหาขึ้นมาใหม่.

   ในการทำให้เกิดปัญหาซ้ำ (สำหรับตัวอย่างนี้) ให้ลองเขียนไปยังไฟล์ HOSTS (C:\Windows\System32\Drivers\Etc\HOSTS) และบันทึก Windows เสนอให้บันทึกไฟล์ (โดยแสดงกล่องโต้ตอบบันทึกเป็น) ด้วยชื่ออื่นหรือในตำแหน่งอื่น.

   ดังนั้นจะเกิดอะไรขึ้นภายใต้ประทุนเมื่อคุณบันทึกเป็นไฟล์ HOSTS? Process Monitor แสดงให้เห็นว่า

   
6. สลับไปที่หน้าต่าง Process Monitor และปิดการจับภาพ (Ctrl + อี) ทันทีที่คุณสร้างปัญหาซ้ำ

   สำคัญ: อย่าใช้เวลามากในการสร้างปัญหาขึ้นมาใหม่หลังจากเปิดใช้งานการจับภาพ ในทำนองเดียวกัน ปิดการจับภาพทันทีที่คุณสร้างปัญหาซ้ำอีกครั้ง เพื่อป้องกันไม่ให้ Process Monitor บันทึกข้อมูลอื่นๆ ที่ไม่จำเป็น (ซึ่งทำให้ส่วนการวิเคราะห์ยากขึ้น) คุณต้องทำทุกอย่างให้เร็วที่สุด

   สารละลาย: ไฟล์บันทึกด้านบนบอกเราว่า Notepad พบ an ปฏิเสธการเข้าใช้ ข้อผิดพลาดเมื่อเขียนถึง เจ้าภาพ ไฟล์. วิธีแก้ไขคือเรียกใช้ Notepad ที่ยกระดับ (คลิกขวาและเลือก "เรียกใช้ในฐานะผู้ดูแลระบบ") เพื่อให้สามารถเขียนถึง เจ้าภาพ ไฟล์ได้สำเร็จ

ขั้นตอนที่ 3: การบันทึกผลลัพธ์

1. ในหน้าต่าง Process Monitor เลือก ไฟล์ เมนูและคลิก บันทึก
2. เลือก รูปแบบการตรวจสอบกระบวนการดั้งเดิม (PML)ระบุชื่อไฟล์เอาต์พุตและเส้นทาง บันทึกไฟล์
   
3. คลิกขวาที่ ไฟล์บันทึก PML ไฟล์ คลิกส่งไปที่ แล้วเลือก โฟลเดอร์บีบอัด (ซิป). สิ่งนี้บีบอัดไฟล์โดย ~90%. ดูที่กราฟิกด้านล่าง คุณต้องการซิปไฟล์บันทึกก่อนส่งให้ใครซักคนอย่างแน่นอน
   

หมายเหตุบรรณาธิการ: ฉันมักจะแนะนำให้ลูกค้าของฉันบันทึกบันทึกด้วย งานกิจกรรมทั้งหมด ทางเลือกเพื่อให้การวินิจฉัยแม่นยำยิ่งขึ้น หากคุณกำลังจะส่งบันทึกการตรวจสอบกระบวนการให้ฉัน ตรวจสอบให้แน่ใจว่าคุณได้เปิดใช้งาน เหตุการณ์ทั้งหมด ตัวเลือกเมื่อบันทึกไฟล์บันทึก นอกจากนี้ อย่าลืมบีบอัดไฟล์บันทึก (.zip) ก่อน

แค่นั้นแหละผู้อ่าน เพื่อให้เอกสารง่ายขึ้น ฉันได้ใช้ตัวอย่างที่ง่ายที่สุดเพื่อให้ผู้ใช้ปลายทางเข้าใจ อย่างชัดเจนถึงวิธีการติดตามการลงทะเบียนและเหตุการณ์ของระบบไฟล์อย่างมีประสิทธิภาพโดยใช้ Process Monitor & สร้าง ล็อกไฟล์