Koduleht » koolis » Protsessimonitori mõistmine

    Protsessimonitori mõistmine

    Täna selles Geek School'i väljaandes õpetame teile, kuidas protsessimonitori utiliit võimaldab teil pilkada kapoti alla ja näha, mida teie lemmikrakendused kulisside taga tegelikult teevad - milliseid faile nad kasutavad, registrivõtmed kasutamist ja palju muud.

    KOOLI NAVIGATSIOON
    1. Millised on SysInternals'i tööriistad ja kuidas neid kasutate?
    2. Protsessi Exploreri mõistmine
    3. Protsessi Exploreri kasutamine tõrkeotsinguks ja diagnoosimiseks
    4. Protsessimonitori mõistmine
    5. Process Monitori kasutamine registrihäirete tõrkeotsinguks ja leidmiseks
    6. Autorunsi kasutamine käivitusprotsesside ja pahavara käitlemiseks
    7. BgInfo kasutamine süsteemi teabe kuvamiseks töölaual
    8. PsTools kasutamine muude arvutite juhtimiseks käsurealt
    9. Failide, kaustade ja draivide analüüsimine ja haldamine
    10. Tööriistade kokkuklapitamine ja kasutamine koos

    Erinevalt protsessi Exploreri utiliidist, mida oleme veetnud paar päeva, on Process Monitor mõeldud passiivseks vaatamiseks, mis juhtub teie arvutis, mitte aktiivne vahend protsesside või käepidemete sulgemiseks. See on nagu pilguheitmine iga Windowsi PC-s toimuva iga sündmuse kohta, mis toimub globaalses logifailis.

    Kas soovite mõista, milliseid registrivõtmeid teie lemmikrakenduses tegelikult salvestatakse? Tahad välja selgitada, milliseid faile teenus puudutab ja kui tihti? Kas soovite näha, millal rakendus ühendub võrguga või avab uue protsessi? See on protsessi jälgimine päästmiseks.

    Me ei tee enam registri hack artikleid enam, kuid tagasi, kui me esimest korda alustasime, kasutaksime protsessimonitori, et selgitada välja, milliseid registrivõtmeid pääsesid, ja seejärel minge nende registrivõtmete nägemiseks, et näha, mis juhtub. Kui olete kunagi mõelnud, kuidas mõned geekid arvasid registri häkkimise, mida keegi pole kunagi näinud, oli see ilmselt protsessi jälgimise kaudu.

    Protsessimonitori utiliit loodi ühendades kaks erinevat vana kooli kommunaalteenust koos, Filemon ja Regmon, mida kasutati failide ja registritoimingute jälgimiseks, nagu nende nimed viitavad. Kuigi need kommunaalteenused on seal veel olemas ja kuigi need sobivad teie konkreetsete vajadustega, oleksite protsessimonitoriga palju paremad, sest see suudab paremini toime tulla suure hulga sündmustega, kuna see oli mõeldud selleks, et seda teha.

    Samuti väärib märkimist, et protsessimonitor vajab alati administraatori režiimi, sest see laadib kerneli alla draiveri, et jäädvustada kõik need sündmused. Windows Vista ja hilisemate versioonide puhul palutakse teil avada UAC dialoog, kuid XP või 2003 puhul peate veenduma, et kasutataval kontol on administraatori õigused.

    Sündmused, mis jälgivad monitori võtteid

    Protsessimonitor salvestab tonni andmeid, kuid see ei lüüa kõiki teie arvutis toimuvaid asju. Näiteks, Process Monitor ei hooli, kui liigutad hiirt ja see ei tea, kas teie draiverid töötavad optimaalselt. See ei jälgi, millised protsessid on teie arvutis avatud ja raiskavad CPU-d.

    Mida ta teeb, on lüüa teatud tüüpi I / O (sisend / väljund) toimingud, olgu need siis kas failisüsteemi, registri või isegi võrgu kaudu. Lisaks jälgib see mõningaid muid sündmusi piiratud moel. See nimekiri hõlmab sündmusi, mida ta tabab:

    • Register - see võib olla võtmete loomine, nende lugemine, kustutamine või nende küsimine. Sul on üllatunud, kui tihti see juhtub.
    • Failisüsteem - see võib olla failide loomine, kirjutamine, kustutamine jne ning see võib olla nii kohalike kõvakettade kui ka võrgudraivide puhul.
    • Võrk - see näitab TCP / UDP liikluse allikat ja sihtpunkti, kuid kahjuks ei näita see andmeid, muutes selle veidi vähem kasulikuks.
    • Protsess - Need on sündmused protsesside ja niidide jaoks, kus protsess käivitatakse, lõime algab või väljub jne. See võib olla teatud juhtudel kasulik teave, kuid sageli on see asi, mida soovite protsessi Exploreris vaadata.
    • Profiilimine - Protsessimonitor salvestab need sündmused, et kontrollida igas protsessis kasutatud protsessori aega ja mälu kasutamist. Jällegi tahaksite ilmselt kasutada protsessi Explorerit nende asjade jälgimiseks enamasti, kuid see on kasulik siin, kui seda vajate.

    Nii võib Process Monitor lüüa igat tüüpi I / O operatsioone, olgu see siis registris, failisüsteemis või isegi võrgus - kuigi tegelikke andmeid ei kirjuta. Me vaatame ainult seda, et protsess kirjutab ühte nendest voogudest, nii et saame hiljem rohkem teada saada, mis toimub.

    Protsessi jälgimise liides

    Protsessimonitori liidese esmakordsel laadimisel esitatakse teile tohutu hulk andmeliine ja rohkem andmeid lendatakse kiiresti ning see võib olla valdav. Oluline on, et vähemalt mõte, mida te vaatate, samuti seda, mida te otsite. See ei ole tüüpi tööriist, mida veedate lõõgastaval päeval sirvimise läbi, sest väga lühikese aja jooksul vaatate miljoneid ridu.

    Esimene asi, mida sa tahad teha, on nende miljonite ridade filtreerimine alla palju väiksema alamhulka, mida soovite näha, ja me õpetame teile, kuidas luua filtreid ja nullida täpselt seda, mida soovite leida . Kuid kõigepealt peaksite mõistma liidest ja milliseid andmeid on tegelikult olemas.

    Vaikimisi veerud

    Vaikimisi veerud näitavad palju kasulikku teavet, kuid kindlasti on vaja mingit konteksti, et mõista, mida igaüks tegelikult sisaldab, sest mõned neist võivad tunduda midagi halba juhtunud, kui need on tõesti süütud sündmused, mis juhtuvad kogu aeg kapuuts. Alljärgnevalt on ära toodud iga vaikimisi veerg:

    • Aeg - see veerg on üsna iseenesestmõistetav, see näitab sündmuse toimumise täpset aega.
    • Protsessi nimi - sündmust genereeriva protsessi nimi. See ei näita vaikimisi faili täielikku teed, kuid kui te põllule liigute, näete täpselt, milline protsess oli.
    • PID - protsessi genereerinud protsessi ID. See on väga kasulik, kui üritate mõista, milline svchost.exe protsess sündmust genereeris. See on ka suurepärane viis ühe protsessi jälgimiseks, eeldades, et protsess ise ei käivitu.
    • Toimimine - see on logitava toimingu nimi ja ikoon, mis sobib ühe sündmuse tüübiga (register, fail, võrk, protsess). Need võivad olla veidi segadust tekitavad, nagu RegQueryKey või WriteFile, kuid me püüame teid segaduses aidata.
    • Tee - see ei ole protsessi tee, see on tee igale, mida selle sündmuse juures töötati. Näiteks juhul, kui sündmus on WriteFile, näitab see väli puudutatava faili või kausta nime. Kui see oli registri sündmus, siis näidatakse kogu võtit.
    • Tulemus - See näitab operatsiooni tulemust, mis tähistab SUCCESS või ACCESS DENIED. Kuigi teil võib tekkida kiusatus automaatselt eeldada, et BUFFER TOO SMALL tähendab, et juhtus midagi väga halba, ei ole see enamasti enamasti.
    • Detail - lisateavet, mis sageli ei muuda tavalisse geeki tõrkeotsingu maailma.

    Samuti saate vaikekuvale lisada mõningaid täiendavaid veerge, valides suvandid Valikud -> Vali veerud. See ei oleks meie soovitus teie esimese peatuse jaoks, kui te alustate testimist, kuid kuna me selgitame veerge, on see juba väärt.

    Üks põhjus, miks ekraani juurde lisada veerge, on see, et neid sündmusi on võimalik kiiresti filtreerida, ilma et need oleksid andmete ülekoormatud. Siin on mõned meie kasutatavad täiendavad veerud, kuid mõnede teiste nimekirjas olevate kasutajate jaoks võib olukord sõltuvalt leida.

    • Käsurida - kui saate iga sündmuse jaoks näha iga sündmuse jaoks topeltklõpsu, võib iga sündmust genereeriva protsessi käsurea argumentide nägemiseks olla kasulik näha kõiki võimalusi.
    • Ettevõtte nimi - Peamine põhjus, miks see veerg on kasulik, on see, et saate lihtsalt kõik Microsofti sündmused kiiresti ja kitsalt piirata, et kõik muud, mis ei ole Windowsi osa. (Sa tahad veenduda, et teil ei ole mingeid imelik rundll32.exe protsesse, mis töötaksid protsessori Exploreriga, kuna need võivad olla pahavara varjamine).
    • Vanem PID - see võib olla väga kasulik, kui tõrkeotsing protsessis, mis sisaldab paljusid lapse protsesse, nagu veebibrauser või rakendus, mis jätkab visandlike asjade käivitamist teise protsessina. Seejärel saate Parent PID filtreerida, et veenduda, et kõik jäädvustate.

    Väärib märkimist, et saate veerude andmete alusel filtreerida isegi siis, kui veerg ei kuvata, kuid see on palju lihtsam parema hiireklõpsuga ja filtreerida kui käsitsi teha. Ja jah, me mainisime uuesti filtreid, kuigi me pole neid veel selgitanud.

    Ühe sündmuse uurimine

    Loendis olevate asjade vaatamine on suurepärane võimalus kiiresti näha palju erinevaid andmepunkte, kuid see ei ole kindlasti kõige lihtsam viis ühe andmestiku uurimiseks ja seal on ainult nii palju teavet, mida näete nimekirja. Õnneks võite topeltklõpsata mis tahes sündmusel, et saada lisateabe aardet.

    Vaikimisi toimuv vahekaart annab teile teavet, mis on suures osas sarnane loendist nähtavaga, kuid lisab parteile veidi rohkem teavet. Kui vaatate failisüsteemi sündmust, näete teatud teavet, nagu atribuudid, failide loomise aeg, kirjutusoperatsiooni käigus püütud juurdepääs, kirjutatud baitide arv ja kestus.

    Vahetamine vahekaardile Protsess annab teile palju teavet sündmust genereeriva protsessi kohta. Kuigi te tavaliselt tahate protsessidega tegelemiseks kasutada protsessi Explorerit, võib olla väga kasulik omada palju teavet konkreetse sündmuse tekitanud konkreetse protsessi kohta, eriti kui see on midagi, mis juhtus väga kiiresti ja seejärel kadus protsessi loend. Nii salvestatakse andmed.

    Vahekaart Stack on mõnikord äärmiselt kasulik, kuid sageli ei ole ajad üldse kasulikud. Põhjus, miks soovite stacki vaadata, on nii, et saate tõrkeotsingut uurida mooduli veerus, mis ei ole päris õige.

    Kujutlege näiteks, et protsess püüdis pidevalt pärida või avada fail, mis ei ole olemas, aga te ei olnud kindel, miks. Sa võid vaadata vahekaarti Stack ja vaadata, kas seal olid kõik moodulid, mis ei näinud paremale, ja uurige neid. Probleemi võib põhjustada aegunud komponent või isegi pahavara.

    Või võite leida, et siin pole midagi kasulikku ja see on ka tore. Vaadata on palju teisi andmeid.

    Märkused puhvri ülevoolu kohta

    Enne kui me isegi edasi liigume, tahame me tähele panna tulemuse koodi, mida sa hakkad loendis palju nägema ja mis kõik teie geeki teadmised seni on, võib-olla mõnevõrra ebamugav. Seega, kui hakkate loendis BUFFER OVERFLOWi nägema, siis ärge eeldage, et keegi üritab teie arvutit häkkida.

    Järgmine lehekülg: Monitori salvestamise andmete filtreerimine