Laman » sekolah » Memahami Proses Monitor

    Memahami Proses Monitor

    Hari ini dalam edisi Geek School ini, kami akan mengajar anda tentang bagaimana utiliti Proses Monitor membolehkan anda mengintip di bawah hud dan melihat apa aplikasi kegemaran anda benar-benar lakukan di belakang tabir - apa fail yang mereka akses, kekunci pendaftaran mereka gunakan, dan banyak lagi.

    NAVIGASI SEKOLAH
    1. Apakah Alat SysInternals dan Bagaimana Anda Menggunakannya?
    2. Memahami Proses Explorer
    3. Menggunakan Explorer Proses untuk Menyelesaikan Masalah dan Diagnosa
    4. Memahami Proses Monitor
    5. Menggunakan Monitor Proses untuk Memecahkan Masalah dan Cari Hacks Pendaftaran
    6. Menggunakan Autoruns untuk Berurusan dengan Proses Permulaan dan Malware
    7. Menggunakan BgInfo untuk Memaparkan Maklumat Sistem pada Desktop
    8. Menggunakan PsTools untuk Mengawal PC Lain dari Barisan Perintah
    9. Menganalisa dan Mengurus Fail, Folder dan Pemacu Anda
    10. Bungkus dan Menggunakan Alat Bersama

    Tidak seperti utiliti Proses Explorer yang kami habiskan selama beberapa hari, Proses Monitor dimaksudkan untuk menjadi pandangan pasif pada semua yang terjadi pada komputer anda, bukan alat aktif untuk proses pembunuhan atau penutupan pegangan. Ini seperti mengintip pada fail log global untuk setiap peristiwa yang berlaku pada PC Windows anda.

    Ingin memahami kekunci pendaftaran aplikasi kegemaran anda sebenarnya menyimpan tetapannya? Mahu mengetahui apa file perkhidmatan yang menyentuh dan berapa kerap? Mahu melihat apabila aplikasi menyambung ke rangkaian atau membuka proses baru? Ia adalah Proses Monitor untuk penyelamatan.

    Kami tidak melakukan banyak artikel hack registri lagi, tetapi apabila kita mula-mula mula, kita akan menggunakan Process Monitor untuk mengetahui apa kunci pendaftaran yang sedang diakses, dan kemudian tweak kunci pendaftaran tersebut untuk melihat apa yang akan berlaku. Sekiranya anda pernah tertanya-tanya bagaimana sesetengah geek mengesan hack pendaftaran yang tiada siapa yang pernah melihat, ia mungkin melalui Process Monitor.

    Utiliti Proses Monitor dicipta dengan menggabungkan dua utiliti sekolah lama yang berbeza bersama-sama, Filemon dan Regmon, yang digunakan untuk memantau fail dan aktiviti pendaftaran sebagai nama mereka menyiratkan. Walaupun utiliti tersebut masih tersedia di sana, dan sementara itu mungkin sesuai dengan keperluan khusus anda, anda akan menjadi lebih baik dengan Process Monitor, kerana ia dapat mengendalikan sejumlah besar peristiwa yang lebih baik disebabkan oleh fakta bahawa ia dirancang untuk melakukannya.

    Ia juga perlu diperhatikan bahawa Monitor Proses sentiasa memerlukan mod pentadbir kerana ia memuatkan pemacu kernel di bawah hud untuk menangkap semua peristiwa tersebut. Pada Windows Vista dan kemudian, anda akan diminta dengan dialog UAC, tetapi untuk XP atau 2003, anda perlu memastikan akaun yang anda gunakan mempunyai keistimewaan Pentadbir.

    Peristiwa-peristiwa yang Proses Menangkap Monitor

    Proses Monitor menangkap satu tan data, tetapi ia tidak menangkap setiap perkara yang berlaku pada PC anda. Contohnya, Proses Monitor tidak peduli jika anda menggerakkan tetikus anda, dan ia tidak tahu sama ada pemandu anda bekerja secara optimum. Ia tidak akan mengesan proses mana yang terbuka dan membazirkan CPU pada komputer anda - itulah tugas Proses Explorer, selepas semua.

    Apa yang dilakukannya ialah menangkap operasi jenis I / O (Input / Output) tertentu, sama ada ia berlaku melalui sistem fail, pendaftaran, atau rangkaian. Ia juga akan menjejaki beberapa acara lain dengan cara yang terhad. Senarai ini merangkumi peristiwa yang ditangkapnya:

    • Pendaftaran - ini boleh mencipta kunci, membacanya, memotongnya, atau menanyakannya. Anda akan terkejut betapa kerap ini berlaku.
    • Sistem fail - ini boleh menjadi penciptaan fail, menulis, memadam, dan sebagainya, dan boleh digunakan untuk pemacu keras dan pemacu rangkaian tempatan.
    • Rangkaian - ini akan menunjukkan sumber dan destinasi trafik TCP / UDP, tetapi sayangnya ia tidak menunjukkan data, menjadikannya sedikit kurang berguna.
    • Proses - Ini adalah peristiwa-peristiwa untuk proses dan benang di mana proses bermula, benang bermula atau keluar, dan lain-lain. Ini boleh menjadi maklumat yang berguna dalam keadaan tertentu, tetapi selalunya sesuatu yang anda mahu lihat di Process Explorer bukan.
    • Profil - Acara ini ditangkap oleh Process Monitor untuk memeriksa jumlah masa pemproses yang digunakan oleh setiap proses, dan menggunakan memori. Sekali lagi, anda mungkin mahu menggunakan Process Explorer untuk menjejaki perkara-perkara ini pada kebanyakan masa, tetapi berguna di sini jika anda memerlukannya.

    Jadi Proses Monitor boleh menangkap sebarang jenis operasi I / O, sama ada yang berlaku melalui sistem pendaftaran, fail atau bahkan rangkaian - walaupun data sebenar yang ditulis tidak ditangkap. Kami hanya melihat fakta bahawa proses menulis kepada salah satu daripada aliran ini, jadi kita kemudian dapat mengetahui lebih lanjut tentang apa yang sedang berlaku.

    Antaramuka Proses Monitor

    Apabila pertama kali memuatkan antara muka Proses Monitor, anda akan dibentangkan dengan sejumlah besar data, dengan lebih banyak data terbang dengan cepat, dan ia boleh menjadi sangat menggembirakan. Kuncinya adalah untuk mempunyai beberapa idea, sekurang-kurangnya, mengenai apa yang anda cari, serta apa yang anda cari. Ini bukan jenis alat yang anda habiskan untuk melayari hari santai, kerana dalam tempoh yang sangat singkat, anda akan melihat berjuta-juta baris.

    Perkara pertama yang ingin anda lakukan ialah menapis berjuta-juta baris ke subset data yang lebih kecil yang anda mahu lihat, dan kami akan mengajar anda cara membuat penapis dan sifar tepat pada apa yang anda mahu cari . Tetapi pertama, anda harus memahami antara muka dan data apa yang sebenarnya tersedia.

    Melihat Lajur Default

    Lajur lalai menunjukkan satu tan maklumat berguna, tetapi anda pasti memerlukan beberapa konteks untuk memahami apa data yang sebenarnya mengandungi, kerana sesetengah daripada mereka mungkin kelihatan seperti sesuatu yang tidak baik apabila mereka benar-benar tidak bersalah yang berlaku sepanjang masa di bawah penutup. Berikut ialah setiap lajur lalai yang digunakan untuk:

    • Masa - lajur ini cukup jelas, ia menunjukkan masa yang tepat bahawa kejadian berlaku.
    • Nama Proses - nama proses yang menjana peristiwa itu. Ini tidak menunjukkan laluan penuh ke fail secara lalai, tetapi jika anda melayang di atas padang, anda dapat melihat dengan tepat prosesnya.
    • PID - ID proses proses yang menjana peristiwa tersebut. Ini sangat berguna jika anda cuba memahami proses svchost.exe yang dihasilkan oleh acara tersebut. Ia juga cara yang baik untuk mengasingkan satu proses untuk pemantauan, dengan mengambil kira proses itu tidak melancarkan semula dirinya sendiri.
    • Operasi - ini adalah nama operasi yang sedang log, dan ada ikon yang sepadan dengan salah satu jenis peristiwa (pendaftaran, fail, rangkaian, proses). Ini boleh menjadi sedikit mengelirukan, seperti RegQueryKey atau WriteFile, tetapi kami akan cuba dan membantu anda melalui kekeliruan.
    • Jalan - ini bukan jalan proses, ia adalah laluan kepada apa sahaja yang sedang dilakukan oleh acara ini. Sebagai contoh, jika terdapat acara WriteFile, medan ini akan menunjukkan nama fail atau folder yang disentuh. Jika ini merupakan acara pendaftaran, ia akan menunjukkan kunci penuh yang diakses.
    • Keputusan - Ini menunjukkan hasil operasi, yang mana kod seperti SUCCESS atau ACCESS DENIED. Walaupun anda mungkin tergoda untuk secara automatik menganggap bahawa BUFFER TOO SMALL bermakna sesuatu yang benar-benar buruk berlaku, yang sebenarnya bukan kes kebanyakan masa.
    • Terperinci - maklumat tambahan yang sering tidak diterjemahkan ke dalam dunia penyelesaian masalah geek biasa.

    Anda juga boleh menambah beberapa lajur tambahan pada paparan lalai dengan pergi ke Pilihan -> Pilih Lajur. Ini tidak akan menjadi cadangan kami untuk menghentikan pertama anda apabila anda mula menguji, tetapi kerana kami menerangkan lajur, ia perlu disebutkan sudah.

    Salah satu sebab untuk menambah lajur tambahan pada paparan adalah supaya anda dapat dengan cepat menapis oleh peristiwa tersebut tanpa dibebani data. Berikut adalah beberapa lajur tambahan yang kami gunakan, tetapi anda mungkin dapat digunakan untuk sesetengah orang lain dalam senarai bergantung kepada keadaan.

    • Barisan Perintah - semasa anda boleh mengklik dua kali pada sebarang peristiwa untuk melihat hujah baris arahan untuk proses yang dihasilkan setiap peristiwa, dapat berguna untuk melihat sekilas semua pilihan.
    • nama syarikat - sebab utama lajur ini berguna adalah supaya anda hanya boleh mengecualikan semua peristiwa Microsoft dengan cepat dan sempit pemantauan anda ke semua yang lain yang bukan sebahagian daripada Windows. (Anda pasti akan memastikan bahawa anda tidak mempunyai proses rundll32.exe yang pelik berjalan menggunakan Process Explorer walaupun, kerana mereka mungkin bersembunyi malware).
    • PID ibu bapa - ini boleh menjadi sangat berguna apabila anda mengatasi masalah proses yang mengandungi banyak proses kanak-kanak, seperti pelayar web atau aplikasi yang terus melancarkan perkara-perkara yang samar sebagai proses lain. Anda kemudian boleh ditapis oleh PID Ibu Bapa untuk memastikan bahawa anda menangkap segala-galanya.

    Perlu diingat bahawa anda boleh menapis mengikut data lajur walaupun lajur tidak dipaparkan, tetapi lebih mudah untuk mengklik kanan dan menyaring daripada melakukannya secara manual. Dan ya, kami menyebut penapis semula walaupun kami belum menjelaskannya lagi.

    Memeriksa satu Acara

    Melihat perkara dalam senarai adalah cara yang baik untuk melihat banyak mata data yang berbeza sekaligus, tetapi ini bukan cara paling mudah untuk memeriksa sekeping data, dan hanya terdapat banyak maklumat yang dapat dilihat di dalam senarai. Syukurlah anda boleh mengklik dua kali pada sebarang acara untuk mengakses maklumat tambahan.

    Tab Peristiwa lalai memberi anda maklumat yang sebahagian besarnya sama dengan apa yang anda lihat dalam senarai, tetapi akan menambahkan sedikit lagi maklumat kepada pihak. Jika anda melihat peristiwa sistem fail, anda akan dapat melihat maklumat tertentu seperti atribut, masa membuat fail, akses yang dicuba semasa operasi tulis, bilangan bait yang ditulis, dan tempoh.

    Beralih ke tab Proses memberikan banyak maklumat hebat tentang proses yang menjana acara tersebut. Walaupun anda biasanya mahu menggunakan Process Explorer untuk menangani proses, dapat sangat berguna untuk memiliki banyak informasi tentang proses tertentu yang menghasilkan peristiwa khusus, terutama jika hal itu terjadi dengan sangat cepat dan kemudian hilang dari senarai proses. Dengan cara ini data ditangkap.

    Tab Stack adalah sesuatu yang kadang-kadang menjadi sangat berguna, tetapi sering kali tidak berguna sama sekali. Sebab mengapa anda ingin melihat timbunan supaya anda boleh menyelesaikan masalah dengan memeriksa lajur Modul untuk apa-apa yang tidak kelihatan agak betul.

    Sebagai contoh, bayangkan bahawa proses sentiasa cuba membuat pertanyaan atau mengakses fail yang tidak wujud, tetapi anda tidak pasti mengapa. Anda boleh melihat melalui tab Stack dan melihat sama ada terdapat sebarang modul yang tidak kelihatan betul, dan kemudian mereka meneliti. Anda mungkin mendapati komponen dari tarikh, atau juga perisian hasad, menyebabkan masalah ini.

    Atau, anda mungkin mendapati bahawa tidak ada apa-apa yang berguna di sini untuk anda, dan itu juga baik. Terdapat banyak data lain untuk dilihat.

    Nota mengenai Limpahan Buffer

    Sebelum kita meneruskan lagi, kita akan ingin melihat kod hasil yang anda akan mula melihat banyak dalam senarai, dan berdasarkan semua pengetahuan geek anda setakat ini, anda mungkin akan mengenali sedikit tentang. Jadi, jika anda mula melihat BUFFER OVERFLOW dalam senarai, jangan mengandaikan bahawa seseorang sedang mencuba untuk menggodam komputer anda.

    Halaman seterusnya: Penapisan Data yang Memproses Menangkap Monitor