Hjemmeside » skole » Forståelse Process Monitor

    Forståelse Process Monitor

    I dag i denne udgave af Geek School vil vi lære dig, hvordan Process Monitor-programmet giver dig mulighed for at kigge under emhætten og se, hvad dine yndlingsprogrammer virkelig gør bag kulisserne - hvilke filer de får adgang til, registernøglerne de brug og meget mere.

    SCHOOL NAVIGATION
    1. Hvad er SysInternals Tools og hvordan bruger du dem?
    2. Forstå Process Explorer
    3. Brug af Process Explorer til fejlfinding og diagnosticering
    4. Forståelse Process Monitor
    5. Brug Procesovervågning til Fejlfinding og Find Registry Hacks
    6. Brug Autoruns til at håndtere opstartsprocesser og malware
    7. Brug af BgInfo til at vise systemoplysninger på skrivebordet
    8. Brug af PsTools til at styre andre pc'er fra kommandolinjen
    9. Analysere og administrere dine filer, mapper og drev
    10. Indpakning og brug af værktøjerne sammen

    I modsætning til Process Explorer-værktøjet, som vi har brugt et par dage, er Process Monitor ment at være et passivt kig på alt, hvad der sker på din computer, ikke et aktivt redskab til dræbning af processer eller lukkehåndtag. Det er som at kigge på en global logfil for hver enkelt begivenhed, der sker på din Windows-pc.

    Vil du forstå, hvilke registreringsdatabasenøgler dit yndlingsprogram faktisk gemmer deres indstillinger i? Vil du regne ud, hvilke filer en tjeneste rører ved og hvor ofte? Vil du se, hvornår et program opretter forbindelse til netværket eller åbner en ny proces? Det er Process Monitor til undsætning.

    Vi laver ikke mange registreringsdatabaser mere, men da vi først begyndte, ville vi bruge Process Monitor til at finde ud af, hvilke registreringsdatabasenøgler der blev adgang til, og derefter gå i gang med disse registreringsnøgler for at se, hvad der ville ske. Hvis du nogensinde har spekuleret på, hvordan nogle geek regnede med et registerhack, som ingen nogensinde har set, var det nok gennem Process Monitor.

    Procesovervågningsværktøjet blev oprettet ved at kombinere to forskellige old school-værktøjer sammen, Filemon og Regmon, som blev brugt til at overvåge filer og registreringsaktivitet som deres navne indebærer. Mens disse værktøjer stadig er tilgængelige derude, og mens de passer til dine særlige behov, ville du være meget bedre med Process Monitor, fordi det kan håndtere et stort antal begivenheder bedre på grund af det faktum at det var designet til at gøre det.

    Det er også værd at bemærke, at Process Monitor altid kræver administrator tilstand, fordi den indlæser en kernel driver under hætten til at fange alle disse begivenheder. I Windows Vista og senere bliver du bedt om at have en UAC-dialog, men i XP eller 2003 skal du sikre dig, at den konto, du bruger, har administratorrettigheder.

    Arrangementerne, som Process Monitor overvåger

    Process Monitor fanger et ton af data, men det optager ikke alle ting der sker på din pc. For eksempel er Process Monitor ikke ligeglad, hvis du bevæger musen rundt, og det ved ikke, om dine chauffører arbejder optimalt. Det kommer ikke til at spore, hvilke processer der er åbne og spilder CPU på din computer - det er jo jo Process Explorer.

    Hvad det gør er at fange bestemte typer af I / O (Input / Output) operationer, uanset om de sker via filsystemet, registreringsdatabasen eller endda netværket. Det vil desuden spore et par andre begivenheder på en begrænset måde. Denne liste dækker de hændelser, den opfanger:

    • Registry - Dette kunne skabe nøgler, læse dem, slette dem eller spørge dem. Du bliver overrasket, hvor ofte det sker.
    • Filsystem - Dette kan være fil oprettelse, skrive, slette osv., og det kan være både for lokale harddiske og netværksdrev.
    • Netværk - Dette vil vise kilden og destinationen for TCP / UDP-trafik, men desværre viser den ikke dataene, hvilket gør det lidt mindre nyttigt.
    • Behandle - Dette er begivenheder for processer og tråde, hvor en proces startes, en tråd starter eller udgang osv. Dette kan være nyttig information i visse tilfælde, men er ofte noget, du vil se på i Process Explorer istedet.
    • Profilering - Disse begivenheder fanges af Process Monitor for at kontrollere mængden af ​​processor tid, der bruges af hver proces, og hukommelsesbrugen. Igen vil du nok bruge Process Explorer til at spore disse ting mesteparten af ​​tiden, men det er nyttigt her, hvis du har brug for det.

    Så Process Monitor kan indfange enhver form for I / O-operation, uanset om det sker via registreringsdatabasen, filsystemet eller endda netværket - selv om de faktiske data, der skrives, ikke er taget. Vi kigger bare på, at en proces skriver til en af ​​disse vandløb, så vi kan senere finde ud af mere om, hvad der sker.

    Process Monitor Interface

    Når du først læser grænsefladen Process Monitor, bliver du præsenteret med et enormt antal rækker af data, med flere data, der flyver hurtigt ind, og det kan være overvældende. Nøglen er at have en ide om, i det mindste om, hvad du ser på, såvel som hvad du leder efter. Dette er ikke den type værktøj, du bruger en afslappende dag på at gennemse, fordi du inden for meget kort tid ser på millioner af rækker.

    Det første du vil gøre, er at filtrere de millioner af rækker ned til den meget mindre delmængde af data, du vil se, og vi skal lære dig, hvordan du opretter filtre og nul ind på, hvad du vil finde . Men først skal du forstå interface og hvilke data der rent faktisk er tilgængelige.

    Ser på standard kolonner

    Standard kolonner viser et væld af nyttige oplysninger, men du vil helt sikkert have brug for en kontekst for at forstå, hvilke data hver enkelt indeholder, for nogle af dem kan se ud som noget dårligt skete, når de virkelig er uskyldige hændelser, der sker hele tiden under hætte. Her er hvad hver af standardkolonnerne bruges til:

    • Tid - Denne kolonne er ret selvforklarende, det viser den nøjagtige tid, der opstod en begivenhed.
    • Procesnavn - navnet på den proces, der genererede begivenheden. Dette viser ikke den fulde sti til filen som standard, men hvis du svæver over feltet, kan du se præcis hvilken proces det var.
    • PID - proces-id'et af processen, der genererede begivenheden. Dette er meget nyttigt, hvis du forsøger at forstå, hvilken svchost.exe-proces der genererede begivenheden. Det er også en god måde at isolere en enkelt proces til overvågning, forudsat at processen ikke genstarter sig selv.
    • Operation - Dette er navnet på den operation, der logges, og der er et ikon, der svarer til en af ​​arrangementstypene (registreringsdatabase, fil, netværk, proces). Disse kan være lidt forvirrende, som RegQueryKey eller WriteFile, men vi vil forsøge at hjælpe dig gennem forvirringen.
    • Sti - dette er ikke vejen for processen, det er vejen til det, der blev arbejdet på af denne begivenhed. For eksempel, hvis der var en WriteFile-hændelse, vil dette felt vise navnet på filen eller mappen, der røres. Hvis dette var en registreringshændelse, ville det vise fuld nøgle adgang til.
    • Resultat - Dette viser resultatet af operationen, som koder som SUCCESS eller ACCESS DENIED. Mens du måske er fristet til automatisk at antage, at en BUFFER TOO SMALL betyder noget, der virkelig er sket, er det faktisk ikke tilfældet det meste af tiden.
    • Detalje - Yderligere oplysninger, der ofte ikke oversætter til den ordinære geek fejlfinding verden.

    Du kan også tilføje nogle ekstra kolonner til standardvisningen ved at gå til Valg -> Vælg kolonner. Dette ville ikke være vores anbefaling til dit første stop, når du begynder at teste, men da vi forklarer kolonner, er det værd at nævne allerede.

    En af grundene til at tilføje flere kolonner til skærmen er, så du kan meget hurtigt filtrere efter disse begivenheder uden at blive overvældet med data. Her er nogle af de ekstra kolonner, vi bruger, men du kan finde brug for nogle andre i listen afhængigt af situationen.

    • Kommandolinje - mens du kan dobbeltklikke på en begivenhed for at se kommandolinjens argumenter for den proces, der genererede hver begivenhed, kan det være nyttigt at se på alle mulighederne hurtigt.
    • firmanavn - Hovedårsagen til, at denne kolonne er nyttig, er at du kan udelukke alle Microsoft-begivenheder hurtigt og indsnævre din overvågning til alt andet, der ikke er en del af Windows. (Du vil gerne sikre dig, at du ikke har nogen underlige rundll32.exe-processer, der kører ved hjælp af Process Explorer, da de kunne skjule skadelig software).
    • Forældre PID - Dette kan være meget nyttigt, når du fejler en proces, der indeholder mange børneprocesser, som en webbrowser eller et program, der holder lanceringen af ​​skitserede ting som en anden proces. Du kan derefter filtrere ved forældrenes PID for at sikre, at du fanger alt.

    Det er værd at bemærke, at du kan filtrere efter kolonnedata, selvom kolonnen ikke vises, men det er meget nemmere at højreklikke og filtrere end manuelt at gøre det. Og ja, vi nævnte filtre igen, selv om vi ikke har forklaret dem endnu.

    Undersøgelse af en enkelt begivenhed

    At se ting på en liste er en fantastisk måde at hurtigt se mange forskellige datapunkter på, men det er bestemt ikke den nemmeste måde at undersøge et enkelt data på, og der er kun så mange oplysninger, du kan se i liste. Heldigvis kan du dobbeltklikke på enhver begivenhed for at få adgang til en skattekiste af ekstra information.

    Fanen Standardhændelse giver dig oplysninger, der stort set ligner det, du så i listen, men vil tilføje lidt mere information til festen. Hvis du kigger på en filsystemhændelse, kan du se visse oplysninger som attributterne, filen skabe tid, den adgang, der blev forsøgt under en skriveoperation, antallet af byte, der blev skrevet og varigheden.

    Skift til procesfanen giver dig masser af gode oplysninger om den proces, der genererede begivenheden. Mens du generelt vil bruge Process Explorer til at håndtere processer, kan det være meget nyttigt at have mange oplysninger om den specifikke proces, der genererede en bestemt begivenhed, især hvis det er noget der skete meget hurtigt og derefter forsvundet fra procesliste. På denne måde er dataene indfanget.

    Tabellen Stak er noget, der nogle gange kan være yderst nyttigt, men ofte vil det ikke være nyttigt overhovedet. Grunden til at du vil se på stakken er, så du kan fejle ved at undersøge modulets kolonne for noget, der ikke ser helt rigtigt ud.

    For eksempel forestille du, at en proces hele tiden forsøger at søge eller få adgang til en fil, der ikke eksisterer, men du var ikke sikker på hvorfor. Du kunne se gennem fanen Stak og se om der var nogen moduler, der ikke så rigtige ud, og derefter undersøge dem. Du kan finde en forældet komponent, eller endda malware, forårsager problemet.

    Eller du kan måske finde ud af, at der ikke er noget nyttigt her for dig, og det er bare fint også. Der er mange andre data at se på.

    Noter om bufferoverløb

    Før vi endda går videre, vil vi gerne notere en resultatkode, som du vil begynde at se meget på listen, og på baggrund af al din geek viden hidtil, kan du freak out lidt om. Så hvis du begynder at se BUFFER OVERFLOW i listen, må du ikke gå ud fra, at nogen forsøger at hacke din computer.

    Næste side: Filtrering af dataene, som Process Monitor overvåger