Omówienie Monitora procesu

Dzisiaj w tym wydaniu Geek School będziemy uczyć się o tym, jak narzędzie Process Monitor pozwala podglądać pod maską i zobaczyć, jakie są twoje ulubione aplikacje za kulisami - jakie pliki mają dostęp, klucze rejestru, które oni używać i więcej.

NAWIGACJA SZKOLNA

1. Jakie są narzędzia Sysinternet i jak ich używasz?
2. Omówienie Eksploratora procesów
3. Używanie Eksploratora procesów do rozwiązywania problemów i diagnozowania
4. Omówienie Monitora procesu
5. Używanie monitora procesu do rozwiązywania problemów i znajdowania haseł do rejestru
6. Korzystanie z autouruchamiania w celu radzenia sobie z procesami uruchamiania i złośliwym oprogramowaniem
7. Używanie BgInfo do wyświetlania informacji o systemie na pulpicie
8. Używanie PsTools do sterowania innymi komputerami z poziomu wiersza poleceń
9. Analizowanie i zarządzanie plikami, folderami i dyskami
10. Pakowanie i używanie narzędzi razem

W przeciwieństwie do narzędzia Process Explorer, które poświęciliśmy na kilka dni, Monitor procesu ma być biernym spojrzeniem na wszystko, co dzieje się na komputerze, a nie aktywnym narzędziem do zabijania procesów lub zamykania uchwytów. To tak, jakby zaglądnąć do globalnego pliku dziennika dla każdego zdarzenia na komputerze z systemem Windows.

Chcesz wiedzieć, które klucze rejestru są zapisywane w Twojej ulubionej aplikacji? Chcesz dowiedzieć się, jakie pliki dotyka dana usługa i jak często? Chcesz zobaczyć, kiedy aplikacja łączy się z siecią lub otwiera nowy proces? To Process Monitor na ratunek.

Nie robimy już wiele artykułów hack rejestru, ale z powrotem, gdy po raz pierwszy uruchomiliśmy, używamy Monitora procesu, aby dowiedzieć się, jakie klucze rejestru były dostępne, a następnie idź poprawić te klucze rejestru, aby zobaczyć, co by się stało. Jeśli kiedykolwiek zastanawiałeś się, jak niektórzy geek zorientowali się w hackach rejestru, których nikt nigdy nie widział, prawdopodobnie był to proces Monitora.

Narzędzie Process Monitor zostało utworzone przez połączenie dwóch różnych narzędzi oldschoolowych, Filemon i Regmon, które były używane do monitorowania plików i aktywności rejestru, jak sugerują ich nazwy. Podczas gdy te narzędzia są nadal dostępne tam, i kiedy mogą one odpowiadać twoim konkretnym potrzebom, znacznie lepiej byłoby z Process Monitor, ponieważ może on obsłużyć dużą liczbę zdarzeń lepiej, ponieważ został zaprojektowany do tego celu .

Warto również zauważyć, że monitor procesu zawsze wymaga trybu administratora, ponieważ ładuje sterownik jądra pod maską, aby uchwycić wszystkie te zdarzenia. W systemie Windows Vista i nowszych zostanie wyświetlone okno dialogowe Kontrola konta użytkownika, ale w przypadku XP lub 2003 musisz się upewnić, że konto, z którego korzystasz, ma uprawnienia administratora.

Zdarzenia, które przechwytuje Monitor procesu

Process Monitor rejestruje masę danych, ale nie przechwytuje każdej rzeczy, która dzieje się na komputerze. Na przykład Monitor procesu nie dba o to, czy poruszasz myszą i nie wie, czy twoi kierowcy działają optymalnie. Nie będzie śledzić, które procesy są otwarte i marnuje procesor na twoim komputerze - w końcu to zadanie Process Explorer.

To, co robi, to przechwytywanie określonych typów operacji we / wy (wejścia / wyjścia), niezależnie od tego, czy dzieje się to za pośrednictwem systemu plików, rejestru, czy nawet sieci. Będzie dodatkowo śledzić kilka innych wydarzeń w ograniczonym zakresie. Ta lista obejmuje zdarzenia, które przechwytuje:

• Rejestr - może to być tworzenie kluczy, czytanie ich, usuwanie ich lub odpytywanie. Zdziwisz się, jak często to się dzieje.
• System plików - może to być tworzenie, zapisywanie, usuwanie plików itp., może to być zarówno lokalny dysk twardy, jak i dyski sieciowe.
• Sieć - pokaże źródło i miejsce docelowe ruchu TCP / UDP, ale niestety nie pokazuje danych, przez co jest nieco mniej użyteczny.
• Proces - Są to zdarzenia dla procesów i wątków, w których proces jest uruchamiany, wątek jest uruchamiany lub zamykany itp. Może to być przydatne informacje w niektórych przypadkach, ale często jest to coś, co chciałbyś zobaczyć w Process Explorer.
• Profilowy - Te zdarzenia są przechwytywane przez monitor procesu, aby sprawdzić ilość czasu procesora używanego przez każdy proces i zużycie pamięci. Ponownie, prawdopodobnie będziesz chciał używać Process Explorer do śledzenia tych rzeczy przez większość czasu, ale jest to użyteczne tutaj, jeśli potrzebujesz.

W związku z tym Process Monitor może przechwytywać dowolny typ operacji wejścia / wyjścia, niezależnie od tego, czy dzieje się to poprzez rejestr, system plików, czy nawet sieć - chociaż rzeczywiste zapisane dane nie są przechwytywane. Patrzymy tylko na fakt, że proces zapisuje się w jednym z tych strumieni, więc możemy później dowiedzieć się więcej o tym, co się dzieje.

Interfejs monitorowania procesu

Po pierwszym załadowaniu interfejsu Process Monitor zostanie wyświetlona ogromna liczba wierszy danych, a więcej danych szybko przelatuje i może być przytłaczająca. Kluczem jest przynajmniej mieć pojęcie o tym, na co patrzysz, a także o tym, czego szukasz. Nie jest to typ narzędzia, dzięki któremu możesz spędzić relaksujący dzień, ponieważ w bardzo krótkim czasie będziesz przeglądać miliony wierszy.

Pierwszą rzeczą, którą będziesz chciał zrobić, to odfiltrować te miliony wierszy w dół do znacznie mniejszego podzbioru danych, które chcesz zobaczyć, i nauczymy cię, jak tworzyć filtry i wpisywać dokładnie to, co chcesz znaleźć . Ale najpierw powinieneś zrozumieć interfejs i jakie dane są faktycznie dostępne.

Patrząc na domyślne kolumny

Domyślne kolumny pokazują mnóstwo użytecznych informacji, ale na pewno będziesz potrzebował jakiegoś kontekstu, aby zrozumieć, jakie dane zawiera każda z nich, ponieważ niektóre z nich mogą wyglądać jak coś złego, gdy są naprawdę niewinnymi wydarzeniami, które zdarzają się cały czas pod kaptur. Oto, do czego służy każda z domyślnych kolumn:

• Czas - ta kolumna jest dość oczywista, pokazuje dokładny czas wystąpienia zdarzenia.
• Nazwa procesu - nazwa procesu, który wygenerował zdarzenie. Domyślnie nie pokazuje to pełnej ścieżki do pliku, ale jeśli umieścisz kursor nad polem, zobaczysz dokładnie, który to był proces.
• PID - identyfikator procesu procesu, który wygenerował zdarzenie. Jest to bardzo przydatne, jeśli próbujesz zrozumieć, który proces svchost.exe wygenerował zdarzenie. Jest to także świetny sposób wyizolowania pojedynczego procesu monitorowania, zakładając, że proces ten nie zostanie ponownie uruchomiony.
• Operacja - jest to nazwa operacji, która jest rejestrowana, i jest ikona, która pasuje do jednego z typów zdarzeń (rejestr, plik, sieć, proces). Może to być trochę mylące, takie jak RegQueryKey lub WriteFile, ale spróbujemy pomóc ci przez pomyłkę.
• Ścieżka - to nie jest ścieżka procesu, to jest droga do tego, nad czym pracowało to wydarzenie. Na przykład, jeśli wystąpiło zdarzenie WriteFile, to pole wyświetli nazwę dotkniętego pliku lub folderu. Jeśli było to zdarzenie rejestru, wyświetliłby pełny klucz, do którego można uzyskać dostęp.
• Wynik - Pokazuje wynik operacji, która koduje SUCCESS lub ACCESS DENIED. Chociaż możesz ulec pokusie, aby automatycznie założyć, że BUFFER TOO SMALL oznacza, że ​​wydarzyło się coś złego, tak nie jest w większości przypadków.
• Szczegół - dodatkowe informacje, które często nie przekładają się na świat zwykłego rozwiązywania problemów z geekami.

Możesz także dodać kilka dodatkowych kolumn do domyślnego ekranu, przechodząc do Opcje -> Wybierz kolumny. Nie byłoby to naszą rekomendacją na pierwszy przystanek po rozpoczęciu testowania, ale ponieważ tłumaczymy kolumny, warto o tym wspomnieć.

Jednym z powodów dodania dodatkowych kolumn do ekranu jest to, że możesz bardzo szybko filtrować według tych zdarzeń bez przytłaczania danymi. Oto kilka dodatkowych kolumn, których używamy, ale możesz znaleźć zastosowanie dla niektórych innych na liście w zależności od sytuacji.

• Wiersz poleceń - podczas gdy można dwukrotnie kliknąć dowolne zdarzenie, aby wyświetlić argumenty wiersza polecenia dla procesu, który wygenerował każde zdarzenie, może być przydatne szybkie sprawdzenie wszystkich opcji.
• Nazwa firmy - główny powód, dla którego ta kolumna jest przydatna, pozwala szybko wykluczyć wszystkie zdarzenia firmy Microsoft i ograniczyć monitorowanie do wszystkich innych elementów systemu Windows. (Będziesz chciał się upewnić, że nie masz żadnych dziwnych procesów rundll32.exe działających przy użyciu Process Explorer, ponieważ mogą one ukrywać złośliwe oprogramowanie).
• Rodzic PID - może to być bardzo przydatne w przypadku rozwiązywania problemów związanych z procesem, który zawiera wiele procesów podrzędnych, takich jak przeglądarka internetowa lub aplikacja, która uruchamia szkicowe rzeczy jako inny proces. Możesz następnie filtrować za pomocą rodzica PID, aby upewnić się, że przechwytujesz wszystko.

Warto zauważyć, że możesz filtrować dane według kolumn, nawet jeśli kolumna nie jest wyświetlana, ale kliknięcie prawym przyciskiem myszy i filtrowanie jest łatwiejsze niż ręczne. I tak, wspomnieliśmy o filtrach, chociaż ich jeszcze nie wyjaśniliśmy.

Badanie pojedynczego zdarzenia

Wyświetlanie rzeczy na liście jest świetnym sposobem, aby szybko zobaczyć wiele różnych punktów danych jednocześnie, ale zdecydowanie nie jest to najłatwiejszy sposób na zbadanie pojedynczego elementu danych, a jest tylko tyle informacji, które można zobaczyć w lista. Na szczęście możesz kliknąć dwukrotnie dowolne wydarzenie, aby uzyskać dostęp do skarbca dodatkowych informacji.

Domyślna zakładka Wydarzenie zawiera informacje, które są w dużej mierze podobne do tego, co widzieliśmy na liście, ale dodadzą nieco więcej informacji stronom. Jeśli patrzysz na wydarzenie systemu plików, będziesz mógł zobaczyć pewne informacje, takie jak atrybuty, czas utworzenia pliku, dostęp, który został podjęty podczas operacji zapisu, liczba zapisanych bajtów i czas trwania.

Przejście do zakładki Proces dostarcza wielu wspaniałych informacji na temat procesu, który wygenerował zdarzenie. Podczas gdy będziesz generalnie chciał używać Process Explorer do obsługi procesów, bardzo przydatne może być posiadanie wielu informacji o konkretnym procesie, który wygenerował określone wydarzenie, szczególnie jeśli jest to coś, co zdarzyło się bardzo szybko, a następnie zniknęło z niego. Lista procesów. W ten sposób dane są przechwytywane.

Zakładka Stos jest czasem bardzo przydatna, ale często czasy nie będą w ogóle przydatne. Powodem, dla którego warto przyjrzeć się stosowi, można rozwiązać, sprawdzając kolumnę modułu pod kątem wszystkiego, co nie wygląda dobrze.

Na przykład wyobraź sobie, że proces nieustannie próbował wysłać zapytanie lub uzyskać dostęp do pliku, który nie istnieje, ale nie wiesz, dlaczego. Możesz przejrzeć zakładkę Stos i sprawdzić, czy są jakieś moduły, które nie wyglądają dobrze, a następnie je zbadać. Problem może dotyczyć nieaktualnego składnika lub nawet szkodliwego oprogramowania.

Albo może się okazać, że nie ma tu nic przydatnego, i to też jest w porządku. Istnieje wiele innych danych do obejrzenia.

Uwagi dotyczące przepełnień bufora

Zanim przejdziemy dalej, będziemy chcieli zanotować kod wynikowy, który zaczniecie widzieć dużo na liście i na podstawie całej dotychczasowej wiedzy maniaka, możecie trochę wkurzyć. Więc jeśli zaczynasz widzieć BUFOR OVERFLOW na liście, nie zakładaj, że ktoś próbuje włamać się do twojego komputera.

Następna strona: Filtrowanie danych, które przechwytuje monitor procesu