Główna » szkoła » Omówienie Monitora procesu

    Omówienie Monitora procesu

    Dziś w tym wydaniu Geek School zamierzamy Cię nauczyć o tym, jak narzędzie Process Monitor pozwala na podglądanie pod maską i zobaczenie, co naprawdę robią Twoje ulubione aplikacje - jakie pliki, do których mają dostęp, klucze rejestru używać i więcej.

    NAWIGACJA SZKOLNA
    1. Jakie są narzędzia Sysinternet i jak ich używasz?
    2. Omówienie Eksploratora procesów
    3. Używanie Eksploratora procesów do rozwiązywania problemów i diagnozowania
    4. Omówienie Monitora procesu
    5. Używanie monitora procesu do rozwiązywania problemów i znajdowania haseł rejestru
    6. Korzystanie z autouruchamiania w celu radzenia sobie z procesami uruchamiania i złośliwym oprogramowaniem
    7. Używanie BgInfo do wyświetlania informacji o systemie na pulpicie
    8. Używanie PsTools do sterowania innymi komputerami z poziomu wiersza poleceń
    9. Analizowanie i zarządzanie plikami, folderami i dyskami
    10. Pakowanie i używanie narzędzi razem

    W przeciwieństwie do narzędzia Process Explorer, które poświęciliśmy na kilka dni, Monitor procesu ma być biernym spojrzeniem na wszystko, co dzieje się na komputerze, a nie aktywnym narzędziem do zabijania procesów lub zamykania uchwytów. To tak, jakby zaglądnąć do globalnego pliku dziennika dla każdego zdarzenia na komputerze z systemem Windows.

    Chcesz wiedzieć, które klucze rejestru są zapisywane w Twojej ulubionej aplikacji? Chcesz dowiedzieć się, jakie pliki dotyka dana usługa i jak często? Chcesz zobaczyć, kiedy aplikacja łączy się z siecią lub otwiera nowy proces? To Process Monitor na ratunek.

    Nie robimy już wiele artykułów hack rejestru, ale z powrotem, kiedy po raz pierwszy uruchomiliśmy, używamy Monitora procesu, aby dowiedzieć się, jakie klucze rejestru były dostępne, a następnie idź poprawić te klucze rejestru, aby zobaczyć, co by się stało. Jeśli kiedykolwiek zastanawiałeś się, jak niektórzy geek zorientowali się w hackach rejestru, których nikt nigdy nie widział, prawdopodobnie był to proces Monitora.

    Narzędzie Process Monitor zostało utworzone przez połączenie dwóch różnych narzędzi oldschoolowych, Filemon i Regmon, które były używane do monitorowania plików i aktywności rejestru, jak sugerują ich nazwy. Podczas gdy te narzędzia są nadal dostępne i mogą być dopasowane do twoich szczególnych potrzeb, znacznie lepiej byłoby ci korzystać z Monitora procesu, ponieważ może on obsłużyć większą liczbę zdarzeń lepiej, ponieważ został zaprojektowany do tego celu..

    Warto również zauważyć, że monitor procesu zawsze wymaga trybu administratora, ponieważ ładuje sterownik jądra pod maską, aby uchwycić wszystkie te zdarzenia. W systemie Windows Vista i nowszych zostanie wyświetlone okno dialogowe Kontrola konta użytkownika, ale w przypadku XP lub 2003 musisz się upewnić, że konto, z którego korzystasz, ma uprawnienia administratora.

    Zdarzenia, które przechwytuje Monitor procesu

    Process Monitor rejestruje masę danych, ale nie przechwytuje każdej rzeczy, która dzieje się na twoim komputerze. Na przykład Monitor procesu nie dba o to, czy poruszasz myszą i nie wie, czy twoi kierowcy działają optymalnie. Nie będzie śledzić, które procesy są otwarte i marnuje procesor na komputerze - w końcu to zadanie Process Explorer.

    To, co robi, to przechwytywanie określonych typów operacji we / wy (wejścia / wyjścia), niezależnie od tego, czy dzieje się to za pośrednictwem systemu plików, rejestru, czy nawet sieci. Będzie dodatkowo śledzić kilka innych wydarzeń w ograniczonym zakresie. Ta lista obejmuje zdarzenia, które przechwytuje:

    • Rejestr - może to być tworzenie kluczy, czytanie ich, usuwanie ich lub odpytywanie. Zdziwisz się, jak często to się dzieje.
    • System plików - może to być tworzenie, zapisywanie, usuwanie plików itp. Może to być zarówno lokalne dyski twarde, jak i dyski sieciowe.
    • Sieć - to pokaże źródło i miejsce docelowe ruchu TCP / UDP, ale niestety nie pokazuje danych, co czyni go nieco mniej użytecznym.
    • Proces - Są to zdarzenia dla procesów i wątków, w których proces jest uruchamiany, wątek jest uruchamiany lub zamykany itd. Może to być przydatne informacje w niektórych przypadkach, ale często jest to coś, co chciałbyś obejrzeć w Process Explorer.
    • Profilowy - Zdarzenia te są przechwytywane przez Monitor procesu w celu sprawdzenia czasu procesora używanego przez każdy proces i użycia pamięci. Ponownie, prawdopodobnie będziesz chciał używać Eksploratora procesów do śledzenia tych rzeczy przez większość czasu, ale jest to przydatne, jeśli jest to potrzebne.

    W związku z tym Process Monitor może przechwytywać dowolny typ operacji we / wy, niezależnie od tego, czy dzieje się to poprzez rejestr, system plików, czy nawet sieć - chociaż rzeczywiste zapisywane dane nie są przechwytywane. Patrzymy tylko na fakt, że proces zapisuje się do jednego z tych strumieni, więc możemy później dowiedzieć się więcej o tym, co się dzieje.

    Interfejs monitorowania procesu

    Po pierwszym załadowaniu interfejsu Process Monitor zostanie wyświetlona ogromna liczba wierszy danych, a więcej danych szybko przelatuje i może być przytłaczająca. Kluczem jest przynajmniej mieć pojęcie o tym, na co patrzysz, a także o tym, czego szukasz. Nie jest to rodzaj narzędzia, które można spędzić relaksując się w czasie przeglądania, ponieważ w bardzo krótkim czasie będziesz przeglądać miliony wierszy.

    Pierwszą rzeczą, którą będziesz chciał zrobić, to odfiltrować te miliony wierszy w dół do znacznie mniejszego podzbioru danych, które chcesz zobaczyć, a my nauczymy cię, jak tworzyć filtry i wpisywać dokładnie to, co chcesz znaleźć . Ale najpierw powinieneś zrozumieć interfejs i jakie dane są faktycznie dostępne.

    Patrząc na domyślne kolumny

    Domyślne kolumny pokazują mnóstwo użytecznych informacji, ale na pewno będziesz potrzebował jakiegoś kontekstu, aby zrozumieć, jakie dane zawiera każda z nich, ponieważ niektóre z nich mogą wyglądać jak coś złego, kiedy są naprawdę niewinnymi wydarzeniami, które zdarzają się cały czas pod kaptur. Oto, do czego służy każda z domyślnych kolumn:

    • Czas - ta kolumna jest dość zrozumiała, pokazuje dokładny czas wystąpienia zdarzenia.
    • Nazwa procesu - nazwa procesu, który wygenerował zdarzenie. Domyślnie nie pokazuje to pełnej ścieżki do pliku, ale jeśli umieścisz kursor nad polem, zobaczysz dokładnie, który to był proces.
    • PID - identyfikator procesu procesu, który wygenerował zdarzenie. Jest to bardzo przydatne, jeśli próbujesz zrozumieć, który proces svchost.exe wygenerował zdarzenie. Jest to również świetny sposób odizolowania pojedynczego procesu monitorowania, zakładając, że proces ten nie zostanie ponownie uruchomiony.
    • Operacja - jest to nazwa operacji, która jest rejestrowana, i jest ikona, która pasuje do jednego z typów zdarzeń (rejestr, plik, sieć, proces). Może to być trochę mylące, takie jak RegQueryKey lub WriteFile, ale spróbujemy ci pomóc przez pomyłkę.
    • Ścieżka - to nie jest ścieżka procesu, to jest droga do tego, nad czym było realizowane przez to wydarzenie. Na przykład, jeśli wystąpiło zdarzenie WriteFile, to pole wyświetli nazwę dotkniętego pliku lub folderu. Jeśli było to zdarzenie rejestru, wyświetliłby pełny klucz, do którego można uzyskać dostęp.
    • Wynik - To pokazuje wynik operacji, która koduje SUKCES lub ODRZUĆ DOSTĘP. Chociaż możesz ulec pokusie, aby automatycznie założyć, że BUFFER TOO SMALL oznacza, że ​​wydarzyło się coś złego, to nie jest tak naprawdę w większości przypadków.
    • Szczegół - dodatkowe informacje, które często nie przekładają się na świat zwykłego rozwiązywania problemów z geekami.

    Możesz także dodać kilka dodatkowych kolumn do domyślnego ekranu, przechodząc do Opcje -> Wybierz kolumny. Nie byłoby to naszą rekomendacją na pierwszy przystanek po rozpoczęciu testowania, ale ponieważ tłumaczymy kolumny, warto o tym wspomnieć.

    Jednym z powodów dodawania dodatkowych kolumn do ekranu jest to, że możesz bardzo szybko filtrować według tych zdarzeń bez przytłaczania danymi. Oto kilka dodatkowych kolumn, których używamy, ale możesz znaleźć zastosowanie dla niektórych osób na liście w zależności od sytuacji.

    • Wiersz poleceń - można dwukrotnie kliknąć dowolne zdarzenie, aby wyświetlić argumenty wiersza polecenia dla procesu, który wygenerował każde zdarzenie, przydać się może szybkie sprawdzenie wszystkich opcji.
    • Nazwa firmy - Głównym powodem, dla którego ta kolumna jest przydatna, jest możliwość szybkiego wykluczenia wszystkich zdarzeń Microsoft i zawężenia monitorowania do wszystkich innych elementów systemu Windows. (Będziesz chciał się upewnić, że nie masz żadnych dziwnych procesów rundll32.exe działających przy użyciu Process Explorer, ponieważ mogą one ukrywać złośliwe oprogramowanie).
    • Rodzic PID - może to być bardzo przydatne w przypadku rozwiązywania problemów związanych z procesem, który zawiera wiele procesów podrzędnych, takich jak przeglądarka internetowa lub aplikacja, która powoduje uruchamianie szkicowych rzeczy jako innego procesu. Możesz następnie filtrować za pomocą rodzica PID, aby upewnić się, że przechwytujesz wszystko.

    Warto zauważyć, że możesz filtrować dane według kolumn, nawet jeśli kolumna się nie wyświetla, ale kliknięcie prawym przyciskiem myszy i filtrowanie jest łatwiejsze niż ręczne. I tak, wspomnieliśmy o filtrach, chociaż ich jeszcze nie wyjaśniliśmy.

    Badanie pojedynczego zdarzenia

    Przeglądanie rzeczy na liście jest świetnym sposobem, aby szybko zobaczyć wiele różnych punktów danych jednocześnie, ale zdecydowanie nie jest to najłatwiejszy sposób sprawdzenia pojedynczego elementu danych, a jest tylko tyle informacji, które można zobaczyć w lista. Na szczęście możesz kliknąć dwukrotnie dowolne wydarzenie, aby uzyskać dostęp do skarbca dodatkowych informacji.

    Domyślna zakładka Wydarzenie dostarcza informacji, które są w dużym stopniu podobne do tego, co widzieliśmy na liście, ale dodadzą nieco więcej informacji stronie. Jeśli patrzysz na wydarzenie systemu plików, będziesz mógł zobaczyć pewne informacje, takie jak atrybuty, czas utworzenia pliku, dostęp, który został podjęty podczas operacji zapisu, liczba zapisanych bajtów i czas trwania.

    Przejście do zakładki Proces daje wiele świetnych informacji o procesie, który wygenerował zdarzenie. Podczas gdy będziesz generalnie chciał używać Process Explorer do obsługi procesów, bardzo przydatne może być posiadanie wielu informacji o konkretnym procesie, który wygenerował określone wydarzenie, szczególnie jeśli jest to coś, co zdarzyło się bardzo szybko, a następnie zniknęło z niego. Lista procesów. W ten sposób dane są przechwytywane.

    Zakładka Stos jest czasem bardzo przydatna, ale często nie będzie w ogóle użyteczna. Powodem, dla którego chcesz spojrzeć na stos, jest to, że możesz rozwiązywać problemy, sprawdzając kolumnę Module pod kątem wszystkiego, co nie wygląda dobrze.

    Jako przykład wyobraź sobie, że proces nieustannie próbował wysłać zapytanie lub uzyskać dostęp do pliku, który nie istnieje, ale nie byłeś pewien dlaczego. Możesz przejrzeć kartę Stos i sprawdzić, czy są jakieś moduły, które nie wyglądają dobrze, a następnie je zbadać. Przyczyną problemu może być nieaktualny składnik, a nawet złośliwe oprogramowanie.

    Lub może się okazać, że nie ma tu nic przydatnego, i to też jest w porządku. Istnieje wiele innych danych do obejrzenia.

    Uwagi dotyczące przepełnień bufora

    Zanim przejdziemy dalej, będziemy chcieli zanotować kod wynikowy, który zacznie być wyświetlany na liście i na podstawie całej dotychczasowej wiedzy maniaka, możesz trochę wkurzyć. Więc jeśli zaczynasz widzieć BUFOR OVERFLOW na liście, nie zakładaj, że ktoś próbuje zhakować twój komputer.

    Następna strona: Filtrowanie danych, które przechwytuje monitor procesu