Homepage » iskola » A Process Monitor megértése

    A Process Monitor megértése

    Ma a Geek Iskola ebben a kiadásában megtanuljuk, hogy a Process Monitor segédprogram lehetővé teszi, hogy megnézhessük a motorháztető alatt, és lássuk, mit csinálnak kedvenc alkalmazásai a színfalak mögött - milyen fájlokat érnek el, a rendszerleíró kulcsokat használatát, és így tovább.

    SCHOOL NAVIGÁCIÓ
    1. Mik a SysInternals eszközök és hogyan használják őket??
    2. A Process Explorer megértése
    3. A Process Explorer használata a hibaelhárításhoz és a diagnózishoz
    4. A Process Monitor megértése
    5. A Process Monitor használata a rendszerleíró adatbázisok hibaelhárításához és kereséséhez
    6. Az Autoruns használata az indítási folyamatokkal és a rosszindulatú programokkal
    7. A BgInfo használata a rendszerinformációk megjelenítése az asztalon
    8. A PsTools használata más PC-k vezérlésére a parancssorból
    9. Fájlok, mappák és meghajtók elemzése és kezelése
    10. Az Eszközök együttes csomagolása és használata

    Ellentétben a Process Explorer segédprogrammal, amelyet néhány napot lefedtünk, a Process Monitor célja, hogy passzívan nézzen meg mindent, ami a számítógépen történik, nem pedig a folyamatok vagy a zárókupak meggyilkolására szolgáló aktív eszköz. Ez olyan, mintha egy globális logfile-t keresnénk minden egyes eseményen, amely a Windows PC-n történik.

    Szeretné megérteni, hogy a kedvenc alkalmazás mely rendszerleíró kulcsok tárolják a beállításaikat? Szeretné kitalálni, hogy milyen fájlokat érint a szolgáltatás és milyen gyakran? Látni szeretné, hogy egy alkalmazás hogyan csatlakozik a hálózathoz vagy új folyamatot nyit? Ez a folyamatfigyelő a mentéshez.

    Már nem csinálunk sok nyilvántartási hack cikket, de amikor elkezdtük az első lépést, a Process Monitor segítségével kiderítjük, hogy milyen rendszerleíró kulcsokat értek el, majd csörögni a rendszerleíró kulcsokat, hogy lássuk, mi történik. Ha valaha is azon tűnődtél, hogy vajon a geek rájött-e egy nyilvántartási hackre, amit senki sem látott, valószínűleg a Process Monitoron keresztül volt.

    A Process Monitor segédprogramot két különböző régi iskolai segédprogram, a Filemon és a Regmon kombinálásával hozták létre, amelyeket a fájlok és a rendszerleíró tevékenység nyomon követésére használtak. Miközben ezek a segédprogramok még mindig rendelkezésre állnak, és bár az Ön igényeihez igazodnak, sokkal jobb lenne a Process Monitor használatával, mert nagy mennyiségű eseményt képes kezelni jobban, mivel erre tervezték..

    Érdemes megjegyezni, hogy a Process Monitor mindig adminisztrátori módot igényel, mivel a rendszermag-meghajtót a motorháztető alatt tölti be, hogy az összes ilyen eseményt rögzítse. Windows Vista és későbbi UAC párbeszédpanel jelenik meg, de XP vagy 2003 esetén meg kell győződnie arról, hogy a fiókod adminisztrátori jogosultságokkal rendelkezik..

    Az események, amelyek feldolgozzák a monitort

    A Process Monitor rögzít egy csomó adatot, de nem rögzít minden olyan dolgot, ami a számítógépen történik. Például a Process Monitor nem érdekli, hogy az egeret mozgatja-e, és nem tudja, hogy az illesztőprogramok optimálisan működnek-e. Nem fogja nyomon követni, hogy mely folyamatok vannak nyitva és pazarolják a CPU-t a számítógépén - ez a Process Explorer feladata.

    Ez az, ami az I / O (Input / Output) műveletek bizonyos típusainak rögzítését jelenti, függetlenül attól, hogy a fájlrendszeren, a rendszerleíró adatbázison vagy akár a hálózaton keresztül történik-e. Ezenkívül korlátozott módon követni fog néhány más eseményt is. Ez a lista tartalmazza azokat az eseményeket, amelyeket az elfogadott:

    • Iktató hivatal - ez lehet kulcsok létrehozása, olvasása, törlése vagy lekérdezése. Meg fog lepődni, hogy milyen gyakran ez történik.
    • Fájlrendszer - ez lehet a fájl létrehozása, írása, törlése stb., és mind a helyi merevlemezek, mind a hálózati meghajtók esetében lehet.
    • Hálózat - ez megmutatja a TCP / UDP forgalom forrását és célállomását, de sajnos nem jeleníti meg az adatokat, így egy kicsit kevésbé hasznos.
    • Folyamat - Ezek olyan folyamatok és szálak eseményei, ahol a folyamat elindul, egy szál elindul vagy kilép, stb. Ez bizonyos esetekben hasznos információ lehet, de gyakran valami, amit a Process Explorer helyett szeretne megnézni.
    • profilalkotás - Ezeket az eseményeket a Process Monitor rögzíti az egyes folyamatok által használt processzoridő és a memóriahasználat ellenőrzéséhez. Ismét azt szeretné, ha a Process Explorer-t használná ezeknek a dolgoknak a nyomon követésére, de itt hasznos, ha szüksége van rá.

    Tehát a Process Monitor képes bármilyen típusú I / O műveletet rögzíteni, függetlenül attól, hogy ez történik-e a rendszerleíró adatbázisban, a fájlrendszeren vagy akár a hálózaton keresztül - bár a tényleges adatok nem kerülnek rögzítésre. Csak azt a tényt vizsgáljuk, hogy egy folyamat az egyik ilyen folyamra ír, így később megtudhatjuk, mi történik.

    A Process Monitor interfész

    Amikor először tölti fel a Process Monitor felületet, hatalmas számú adatsort fog megjeleníteni, és több adat fog gyorsabban bejutni, és ez hatalmas lehet. A legfontosabb az, hogy legalább ötlet legyen arról, hogy mit nézel, és mit keres. Ez nem az a fajta eszköz, amelyet egy pihentető napot tölthetsz böngészés közben, mert nagyon rövid időn belül több millió sort fogsz nézni.

    Az első dolog, amit megtehetsz, az a több millió sor szűrése, amennyi a látni kívánt sokkal kisebb részhalmazig terjed, és megtanítjuk, hogyan hozhatunk létre szűrőket és nullát pontosan arra, amit keresni akarsz . Először is, meg kell értenie a felületet, és hogy milyen adatok állnak rendelkezésre.

    Az alapértelmezett oszlopok megtekintése

    Az alapértelmezett oszlopok egy csomó hasznos információt mutatnak, de biztosan szükségünk lesz egy összefüggésre, hogy megértsük, milyen adatokat tartalmaz mindegyik, mivel egyesek úgy tűnhetnek, mintha valami rossz lenne, amikor tényleg ártatlan események történnek, amelyek az egész idő alatt megtörténnek. kapucni. Az alábbiakban az alapértelmezett oszlopokat használjuk:

    • Idő - ez az oszlop meglehetősen önmagától értetődő, azt mutatja, hogy az esemény melyik időpontban volt pontos.
    • Folyamat neve - az eseményt létrehozó folyamat neve. Ez nem mutatja a fájl teljes elérési útját alapértelmezés szerint, de ha a mező fölé hover, akkor pontosan láthatja, hogy melyik folyamat volt.
    • PID - a folyamatot létrehozó folyamat azonosítója. Ez nagyon hasznos, ha megpróbálja megérteni, hogy melyik svchost.exe folyamat generálta az eseményt. Ez is egy nagyszerű módja annak, hogy el lehessen különíteni egy nyomon követési folyamatot, feltéve, hogy a folyamat nem indítja újra magát.
    • Művelet - ez a naplózott művelet neve, és van egy ikon, amely megfelel az egyik eseménytípusnak (regiszter, fájl, hálózat, folyamat). Ezek kissé zavaróak lehetnek, mint például a RegQueryKey vagy a WriteFile, de megpróbáljuk segíteni a zavartól.
    • Pálya - ez nem a folyamat útja, hanem az út, amellyel az eseményen dolgoztunk. Például, ha van egy WriteFile esemény, akkor ez a mező mutatja a megérintett fájl vagy mappa nevét. Ha ez egy rendszerleíró esemény, akkor a teljes kulcsot elérné.
    • Eredmény - Ez mutatja a művelet eredményét, amely a SUCCESS vagy a ACCESS DENIED. Bár lehet, hogy kísértésnek tűnik, hogy automatikusan feltételezzük, hogy egy BUFFER TOO SMALL azt jelenti, hogy valami igazán rossz történt, ez valójában nem a legtöbb esetben.
    • Részlet - további információk, amelyek gyakran nem fordulnak át a rendszeres geek hibaelhárítási világba.

    Az alapértelmezett megjelenítéshez további oszlopokat is hozzáadhat az Opciók -> Oszlopok kiválasztása lehetőséghez. Ez nem lenne ajánlása az első állomásra, amikor elkezdi a tesztelést, de mivel az oszlopokat elmagyarázzuk, érdemes megemlíteni.

    Az egyik ok, amiért további oszlopokat adhat a kijelzőhöz, így nagyon gyorsan kiszűrheti ezeket az eseményeket anélkül, hogy az adatok túlterheltek volna. Íme néhány az általunk használt extra oszlopok közül, de a listától függően esetleg más felhasználók számára is hasznos lehet.

    • Parancs sor - míg bármelyik eseményre duplán kattintva megtekintheti az egyes eseményeket létrehozó folyamatparanccsal kapcsolatos érveket, hasznos lehet, ha gyorsan megnézzük az összes beállítást.
    • Cégnév - a fő ok, amiért ez az oszlop hasznos, így egyszerűen kizárhatja az összes Microsoft-eseményt gyorsan és szűkítheti a megfigyelést mindazt, ami nem része a Windows-nak. (Biztosítani kell, hogy ne legyen olyan furcsa rundll32.exe folyamat, amely a Process Explorer segítségével fut, bár ezek elrejthetik a rosszindulatú programokat).
    • Szülő PID - ez nagyon hasznos lehet, ha olyan folyamatot keres, amely sok gyermekfolyamatot tartalmaz, mint például egy webböngésző vagy egy olyan alkalmazás, amely újabb folyamatként indítja el a vázlatos dolgokat. Ezután szűrheti a szülői PID-t, hogy megbizonyosodjon arról, hogy mindent rögzít.

    Érdemes megjegyezni, hogy az oszlopadatok szűrése akkor is lehetséges, ha az oszlop nem jelenik meg, de sokkal könnyebb a jobb egérgombbal és szűréssel, mint manuálisan. És igen, ismét megemlítettük a szűrőket, még akkor is, ha még nem magyarázta meg őket.

    Egy esemény vizsgálata

    A listán szereplő dolgok megtekintése nagyszerű módja annak, hogy egyszerre sok különböző adatpontot láthassunk, de ez nem feltétlenül a legegyszerűbb módja annak, hogy megvizsgálja az egyetlen adatot, és csak annyi információ látható, amit a lista. Szerencsére bármelyik eseményre duplán kattinthat, hogy hozzáférjenek a kincsek megszerzéséhez.

    Az alapértelmezett Esemény lap olyan információkat tartalmaz, amelyek nagyban hasonlítanak ahhoz, amit a listában láttál, de egy kicsit több információt ad hozzá a pártnak. Ha fájlrendszeres eseményt keres, akkor bizonyos információkat, például az attribútumokat, a fájl létrehozásának idejét, az írási művelet során megpróbált hozzáférést, az írott bájtok számát és az időtartamot láthatja..

    A Folyamat lapra történő átkapcsolás sok nagyszerű információt nyújt az eseményt generáló folyamatról. Míg általában a Process Explorer-et szeretné használni a folyamatok kezelésére, nagyon hasznos lehet, ha sok információt szeretne kapni egy adott eseményt létrehozó konkrét folyamatról, különösen akkor, ha ez nagyon gyorsan történt, majd eltűnt a folyamatlista. Ily módon az adatokat rögzítik.

    A Stack lap valami olyasmi, ami néha rendkívül hasznos, de gyakran gyakran nem lesz hasznos. Az ok, amiért meg szeretné nézni a veremet, így elháríthatja a modul oszlopának megvizsgálásával bármit, ami nem tűnik teljesen helyesnek.

    Például képzeljük el, hogy egy folyamat folyamatosan próbálkozott lekérdezni vagy elérni egy nem létező fájlt, de nem volt benne biztos, hogy miért. Megnézhetjük a Stack lapot, és megnézhetjük, hogy vannak olyan modulok, amelyek nem látszottak helyesen, majd kutatják őket. Előfordulhat, hogy a problémát elavult összetevő vagy akár rosszindulatú szoftver is okozhatja.

    Vagy talán úgy találja, hogy itt semmi sem hasznos, és ez csak rendben van. Sok más adat is megnézhető.

    Megjegyzések a puffer túlcsordulásokról

    Mielőtt még tovább haladnánk, egy olyan eredménykódot akarunk megjegyezni, amelyet sokan fognak látni a listában, és az eddigi geeki ismereteink alapján kicsit megcsókolhatsz. Tehát, ha elkezdi látni a BUFFER OVERFLOW-ot a listában, akkor ne feltételezzük, hogy valaki megpróbálja megragadni a számítógépet.

    Következő oldal: A monitorozó felvételeket feldolgozó adatok szűrése