Domača » šoli » Razumevanje procesa Monitor

    Razumevanje procesa Monitor

    Danes v tej izdaji Geek šole vas bomo naučili, kako vam pripomoček Process Monitor omogoča, da pokukate pod pokrovom in vidite, kaj vaše najljubše aplikacije res počnejo v ozadju - katere datoteke imajo dostop, registrske ključe, uporabo in še več.

    ŠOLSKA NAVIGACIJA
    1. Kaj so orodja SysInternals in kako jih uporabljate?
    2. Razumevanje Process Explorerja
    3. Uporaba raziskovalca procesov za odpravljanje težav in diagnosticiranje
    4. Razumevanje procesa Monitor
    5. Uporaba Process Monitor za odpravljanje težav in najti registracija Hacks
    6. Uporaba Autoruns za obravnavo zagonskih procesov in Malware
    7. Uporaba BgInfo za prikaz informacij o sistemu na namizju
    8. Uporaba PsTools za nadzor drugih osebnih računalnikov iz ukazne vrstice
    9. Analiziranje in upravljanje datotek, map in pogonov
    10. Zavijanje in uporaba orodij skupaj

    Za razliko od orodja Process Explorer, ki smo ga preživeli nekaj dni, je Process Monitor namenjen pasivnemu pregledu vsega, kar se dogaja na vašem računalniku, ne pa aktivnega orodja za ubijanje procesov ali zapiranje ročajev. To je, kot da si ogledate globalno datoteko za vsak posamezen dogodek, ki se zgodi v računalniku z operacijskim sistemom Windows.

    Želite razumeti, kateri registrski ključi vaša priljubljena aplikacija dejansko shrani svoje nastavitve? Želite ugotoviti, katere datoteke se dotika storitev in kako pogosto? Želite videti, kdaj se aplikacija povezuje z omrežjem ali odpre nov proces? To je procesni nadzor za reševanje.

    Ne delamo veliko člankov o hack registru več, toda, ko smo prvič začeli, bi uporabili Process Monitor, da bi ugotovili, kateri registrski ključi so bili dostopni, in potem pojdite potegniti te registrske ključe, da bi videli, kaj se bo zgodilo. Če ste se kdaj spraševali, kako neki geek pogruntal registrski kramp, ki ga nihče ni videl, je bil verjetno skozi Process Monitor.

    Pripomoček Process Monitor je bil ustvarjen z združitvijo dveh različnih pripomočkov za stare šole skupaj, Filemon in Regmon, ki sta bila uporabljena za spremljanje datotek in dejavnosti registra, kot to pomenita njihova imena. Medtem ko so ti pripomočki še vedno na voljo tam zunaj, in čeprav bi lahko ustrezali vašim posebnim potrebam, bi bilo bolje, če bi bil program Process Monitor boljši, ker lahko bolje obvladuje velik obseg dogodkov zaradi dejstva, da je bil zasnovan tako,.

    Prav tako je treba omeniti, da Process Monitor vedno zahteva skrbniški način, ker naloži gonilnik jedra pod pokrovom, da zajame vse te dogodke. V operacijskem sistemu Windows Vista in novejših boste morali odpreti pogovorno okno UAC, vendar morate za XP ali 2003 preveriti, ali ima račun, ki ga uporabljate, pooblastila skrbnika..

    Dogodki, ki procesirajo monitor, zajame

    Process Monitor zajema tono podatkov, vendar ne zajame vsakega, kar se zgodi na vašem računalniku. Na primer, Process Monitor ne skrbi, če premaknete miško okrog, in ne ve, ali vaši vozniki delujejo optimalno. Ne bo spremljala, kateri procesi so odprti in zapravljajo CPU na vašem računalniku - to je delo Process Explorerja.

    To počne, je zajemanje posebnih vrst vhodno / izhodnih (Input / Output) operacij, ne glede na to, ali se dogajajo prek datotečnega sistema, registra ali celo omrežja. Dodatno bo omejeno spremljal še nekaj drugih dogodkov. Ta seznam zajema dogodke, ki jih zajema:

    • Register - to je lahko ustvarjanje ključev, njihovo branje, brisanje ali iskanje po njih. Presenečeni boste, kako pogosto se to zgodi.
    • Datotečni sistem - to bi lahko bilo ustvarjanje datotek, pisanje, brisanje itd., in to lahko za lokalne trde diske in omrežne pogone.
    • Omrežje - to bo prikazalo izvor in cilj prometa TCP / UDP, žal pa podatkov ne prikazuje, zaradi česar je nekoliko manj uporaben.
    • Proces - To so dogodki za procese in niti, kjer se proces zažene, nit se začne ali zapušča itd. To so lahko koristne informacije v nekaterih primerih, vendar je pogosto nekaj, kar bi si želeli pogledati v programu Process Explorer,.
    • Profiliranje - Ti dogodki se zajamejo z orodjem Process Monitor, da preverijo količino procesorskega časa, ki ga uporablja vsak proces, in uporabo pomnilnika. Še enkrat bi verjetno želeli uporabiti Process Explorer za sledenje teh stvari večino časa, vendar je tukaj koristno, če ga potrebujete.

    Torej Process Monitor lahko zajame vsako vrsto V / I operacije, ne glede na to, ali se to zgodi prek registra, datotečnega sistema ali celo omrežja - čeprav dejanski podatki, ki se zapisujejo, niso zajeti. Samo gledamo na dejstvo, da proces piše v enega od teh tokov, da bomo lahko kasneje ugotovili več o tem, kaj se dogaja.

    Vmesnik procesnega monitorja

    Ko boste prvič naložili vmesnik Process Monitor, vam bo predstavljeno ogromno število vrst podatkov, pri čemer bo več podatkov preletelo hitro in bo lahko preobremenjeno. Ključno je, da imate vsaj kakšno idejo o tem, kaj gledate, in kaj iščete. To ni orodje, s katerim preživite sproščujoče dnevno brskanje, saj boste v zelo kratkem času gledali na milijone vrstic.

    Prva stvar, ki jo želite storiti, je, da filtrirate te milijone vrstic na veliko manjši del podatkov, ki si ga želite ogledati, in naučili vas bomo, kako ustvariti filtre in določiti, kaj želite najti. . Najprej morate razumeti vmesnik in podatke, ki so dejansko na voljo.

    Če pogledamo privzete stolpce

    Privzeti stolpci prikazujejo tono koristnih informacij, vendar boste zagotovo potrebovali nekaj konteksta, da boste lahko razumeli, kateri podatki dejansko vsebujejo, saj bi nekateri morda izgledali kot nekaj slabega, kar se je zgodilo, ko so resnično nedolžni dogodki, ki se zgodijo ves čas kapuco. Za vsako od privzetih stolpcev uporabljamo:

    • Čas - ta stolpec je precej samoumeven, prikazuje točen čas, ko se je dogodek zgodil.
    • Ime procesa - ime procesa, ki je ustvaril dogodek. To privzeto ne prikaže celotne poti do datoteke, če pa se pomaknete na polje, lahko vidite, kateri proces je bil.
    • PID - ID procesa procesa, ki je ustvaril dogodek. To je zelo uporabno, če želite razumeti, kateri proces svchost.exe je ustvaril dogodek. Prav tako je odličen način, da izolirate en sam proces za spremljanje, ob predpostavki, da se postopek ne zažene ponovno.
    • Operacija - to je ime operacije, ki se beleži, in obstaja ikona, ki se ujema z eno od vrst dogodkov (registracija, datoteka, omrežje, proces). To je lahko malo zmedeno, na primer RegQueryKey ali WriteFile, vendar vam bomo pomagali pri zamenjavi.
    • Pot - to ni pot procesa, temveč pot do vsega, na kar se je dogajal ta dogodek. Na primer, če je bil dogodek WriteFile, bo to polje prikazalo ime datoteke ali mape, ki jo dotaknete. Če je bil to registrski dogodek, bi prikazal celoten dostopni ključ.
    • Rezultat - To kaže rezultat operacije, katere kode kot so USPEH ali DOSTOP, zavrnjene. Čeprav vas bo morda skušalo avtomatično domnevati, da se BUFFER TOO SMALL zdi, da se je zgodilo nekaj zelo slabega, kar v večini primerov ni tako..
    • Podrobnosti - dodatne informacije, ki se pogosto ne prevajajo v redni svet za odpravljanje napak.

    Dodate lahko tudi nekaj dodatnih stolpcev na privzeti zaslon tako, da odprete Možnosti -> Izberi stolpce. To ne bi bilo naše priporočilo za prvo zaustavitev, ko začnete testiranje, vendar, ker razlagamo stolpce, je že treba omeniti.

    Eden od razlogov za dodajanje dodatnih stolpcev na zaslon je tako, da lahko zelo hitro filtrirate te dogodke, ne da bi bili preobremenjeni s podatki. Tukaj je nekaj dodatnih stolpcev, ki jih uporabljamo, vendar jih lahko uporabite za nekatere druge na seznamu, odvisno od situacije.

    • Ukazna vrstica - medtem ko lahko dvakrat kliknete na kateri koli dogodek, da vidite argumente ukazne vrstice za proces, ki je ustvaril vsak dogodek, je lahko koristno, da na hitro pogledate vse možnosti.
    • ime podjetja - Glavni razlog, da je ta stolpec uporaben, je, da lahko vse Microsoftove dogodke preprosto izključite in omejite nadzor na vse ostalo, ki ni del sistema Windows. (Poskrbite, da ne boste imeli nobenih čudnih procesov rundll32.exe, ki se izvajajo s programom Process Explorer, saj se ti lahko skrivajo pred zlonamerno programsko opremo).
    • Nadrejeni PID - to je lahko zelo uporabno, če odpravljate težave s procesom, ki vsebuje veliko otroških procesov, kot je spletni brskalnik ali aplikacija, ki neprestano lansira stvari kot drug proces. Nato lahko filtrirate po nadrejenem PID-u, da se prepričate, da ste zajeli vse.

    Omeniti je treba, da lahko filtrirate po podatkih v stolpcih, tudi če se stolpec ne prikazuje, vendar je veliko lažje desno tipko miške in filtriranje kot ročno. In da, spet smo omenili filtre, čeprav jih še nismo pojasnili.

    Preverjanje posameznega dogodka

    Pregledovanje stvari na seznamu je odličen način za hiter ogled več različnih podatkovnih točk hkrati, vendar zagotovo ni najlažji način za pregledovanje posameznega podatka. seznamu. K sreči lahko dvakrat kliknete na kateri koli dogodek, da pridete do zakladnice dodatnih informacij.

    Privzeta kartica »Dogodek« vam ponuja informacije, ki so v veliki meri podobne tistim, ki ste jih videli na seznamu, vendar bodo stranki dodali malo več informacij. Če iščete dogodek v datotečnem sistemu, boste lahko videli nekatere informacije, kot so atributi, čas izdelave datoteke, dostop, ki ste ga poskusili med operacijo pisanja, število zapisanih bajtov in trajanje.

    Če preklopite na zavihek Proces, boste dobili veliko veliko informacij o procesu, ki je ustvaril dogodek. Medtem ko boste na splošno želeli uporabiti Process Explorer za obravnavo procesov, je lahko zelo koristno imeti veliko informacij o specifičnem procesu, ki je ustvaril določen dogodek, še posebej, če je to nekaj, kar se je zgodilo zelo hitro in potem izginilo iz seznam postopkov. Na ta način se zajamejo podatki.

    Kartica Stack je nekaj, kar bo včasih izredno koristno, vendar pogosto ne bo koristno. Razlog, zakaj bi si želeli pogledati sklad, je, da lahko odpravite težave s pregledovanjem stolpca Module za vse, kar ni ravno prav..

    Na primer, zamislite si, da je proces nenehno poskušal poizvedovati ali dostopati do datoteke, ki ne obstaja, vendar niste vedeli, zakaj. Lahko pogledate skozi zavihek Stack in preverite, ali so bili moduli, ki niso videti prav, in jih nato raziskali. Težava lahko povzroči zastarela komponenta ali celo zlonamerna programska oprema.

    Lahko pa ugotovite, da za vas ni ničesar koristnega in tudi to je v redu. Na voljo je veliko drugih podatkov.

    Opombe o prelivih medpomnilnika

    Preden bomo nadaljevali naprej, bomo želeli omeniti kodo rezultatov, ki jo boste začeli videti na seznamu, in na podlagi vseh vaših dosedanjih geek znanj, boste morda začudili. Torej, če začnete videti BUFFER OVERFLOW na seznamu, ne domnevajte, da nekdo poskuša vdreti v vaš računalnik.

    Naslednja stran: Filtriranje podatkov, ki nadzorujejo procesiranje