Razumijevanje procesa Monitor
Danas u ovom izdanju Geek škole naučit ćemo vas o tome kako vam program Process Monitor omogućuje da zavirite ispod haube i vidite što vaše omiljene aplikacije zaista rade iza kulisa - koje datoteke pristupaju, ključevi registra koristiti i više.
ŠKOLSKA NAVIGACIJA- Što su SysInternals alati i kako ih koristite?
- Razumijevanje procesa Explorer
- Korištenje Process Explorer za rješavanje problema i dijagnosticiranje
- Razumijevanje procesa Monitor
- Korištenje procesa Monitor za rješavanje problema i pronaći Registry Hacks
- Korištenje Autoruns se nositi s pokretanja procesa i zlonamjernih programa
- Koristeći BgInfo za prikaz informacija o sustavu na radnoj površini
- Korištenje PsTools za kontrolu drugih računala iz naredbenog retka
- Analiziranje i upravljanje vašim datotekama, mapama i pogonima
- Zamatanje i korištenje alata zajedno
Za razliku od uslužnog programa Process Explorer koji smo proveli nekoliko dana u pokrivanju, Process Monitor bi trebao biti pasivan pogled na sve što se događa na vašem računalu, a ne kao aktivni alat za ubijanje procesa ili zatvaranje ručica. To je kao da zavirite u globalni logfile za svaki događaj koji se dogodi na vašem Windows računalu.
Želite li razumjeti u kojim ključevima registra vaša omiljena aplikacija zapravo pohranjuje svoje postavke? Želite li shvatiti koje datoteke dotiče usluga i koliko često? Želite li vidjeti kada se aplikacija povezuje s mrežom ili otvara novi proces? To je proces Monitor za spašavanje.
Više ne radimo mnogo članaka o hack registru, ali kad smo prvi put počeli, koristili bismo Process Monitor kako bismo otkrili koji se ključevi registra pristupaju, a zatim idemo podešavati te ključeve registra da bismo vidjeli što će se dogoditi. Ako ste se ikada zapitali kako neki geek shvatio registar hack koji nitko nikada nije vidio, to je vjerojatno kroz Process Monitor.
Uslužni program Process Monitor kreiran je kombiniranjem dvaju različitih komunalnih programa stare škole zajedno, Filemon i Regmon, koji su korišteni za praćenje datoteka i aktivnosti registra kako njihova imena impliciraju. Iako su ti alati i dalje dostupni, a iako bi mogli odgovarati vašim specifičnim potrebama, bolje bi vam bilo da radite s programom Process Monitor, jer se može bolje nositi s velikim brojem događaja zbog činjenice da je dizajniran za to.
Također je važno napomenuti da Process Monitor uvijek zahtijeva administratorski način rada jer učitava upravljački program jezgre ispod haube kako bi zabilježio sve te događaje. U sustavu Windows Vista i novijima pojavit će se upit za UAC dijalog, ali za XP ili 2003 morat ćete se uvjeriti da račun koji koristite ima administratorske povlastice.
Događaji koji obrađuju monitor bilježe
Process Monitor bilježi tonu podataka, ali ne obuhvaća svaku stvar koja se događa na vašem računalu. Na primjer, Process Monitor ne mari ako pomičete miša okolo, a ne zna li vaši vozači rade optimalno. Neće pratiti koji su procesi otvoreni i troše CPU na vašem računalu - to je ipak posao Process Explorera.
Ono što on radi je hvatanje određenih vrsta I / O (Input / Output) operacija, bilo da se događaju putem datotečnog sustava, registra ili čak mreže. To će dodatno pratiti nekoliko drugih događaja na ograničen način. Ovaj popis obuhvaća događaje koje obuhvaća:
- Registar - to može biti izrada ključeva, njihovo čitanje, njihovo brisanje ili upit. Iznenadit ćete se koliko često se to događa.
- Sustav datoteka - to može biti stvaranje datoteka, pisanje, brisanje itd., a može biti i za lokalne tvrde diskove i za mrežne pogone.
- Mreža - to će pokazati izvor i odredište TCP / UDP prometa, ali nažalost ne prikazuje podatke, što ga čini malo manje korisnim.
- Postupak - To su događaji za procese i niti u kojima je proces pokrenut, nit počinje ili izlazi, itd. To može biti korisna informacija u određenim slučajevima, ali često je nešto što biste željeli pogledati u Process Explorer umjesto.
- profiliranje - Ovi događaji su zabilježeni pomoću programa Process Monitor kako bi provjerili količinu procesorskog vremena koje koristi svaki proces i korištenje memorije. Opet, vjerojatno biste željeli koristiti Process Explorer za praćenje tih stvari većinu vremena, ali ovdje je korisno ako vam je potrebna.
Tako Process Monitor može uhvatiti bilo koju vrstu I / O operacije, bez obzira da li se to događa preko registra, datotečnog sustava ili čak mreže - iako stvarni podaci koji se pišu nisu zarobljeni. Samo gledamo na činjenicu da proces piše na jedan od ovih tokova, tako da kasnije možemo saznati više o tome što se događa.
Sučelje procesnog monitora
Prilikom prvog učitavanja sučelja Process Monitor bit će vam predstavljen ogroman broj redaka podataka, s više podataka koji će brzo letjeti, a može biti i zapanjujuće. Ključ je imati barem neku ideju o tome što gledate, kao i ono što tražite. To nije vrsta alata koju provodite opuštajućim dnevnim pregledavanjem, jer ćete u vrlo kratkom vremenskom razdoblju pregledati milijune redaka.
Prvo što želite učiniti jest filtrirati te milijune redova do mnogo manjeg podskupa podataka koje želite vidjeti, a mi ćemo vas naučiti kako stvoriti filtre i uvesti nulu u točno ono što želite pronaći , Ali prvo, trebali biste razumjeti sučelje i koji su podaci zapravo dostupni.
Gledajući zadane stupce
Zadani stupci prikazuju tonu korisnih informacija, ali svakako trebate neki kontekst da biste razumjeli koje podatke zapravo sadrži, jer bi neki od njih mogli izgledati kao nešto loše što se dogodilo kada su stvarno nevini događaji koji se događaju cijelo vrijeme napa. Evo što se koristi za svaki od zadanih stupaca:
- Vrijeme - ovaj je stupac prilično razumljiv, on pokazuje točno vrijeme kada se događaj dogodio.
- Naziv procesa - naziv procesa koji je generirao događaj. To ne prikazuje punu putanju do datoteke prema zadanim postavkama, ali ako prelazite preko polja možete vidjeti koji je to proces bio.
- PID - ID procesa procesa koji je generirao događaj. Ovo je vrlo korisno ako pokušavate shvatiti koji je proces svchost.exe generirao događaj. To je također odličan način da se izolira jedan proces praćenja, pod pretpostavkom da se sam proces ne pokrene.
- operacija - to je naziv operacije koja se bilježi, a postoji ikona koja se podudara s jednom od vrsta događaja (registar, datoteka, mreža, proces). To može biti malo zbunjujuće, poput RegQueryKey ili WriteFile, ali pokušat ćemo vam pomoći u konfuziji.
- Staza - to nije put procesa, to je put do svega na čemu je ovaj događaj radio. Na primjer, ako je došlo do događaja WriteFile, ovo će polje prikazati ime datoteke ili mape koju se dotakne. Ako se radi o događaju u registru, prikazat će se puni ključ kojem se pristupa.
- Proizlaziti - To pokazuje rezultat operacije, koji su kodovi poput USPJEHA ili ODOBRENJA PRISTUPA. Dok ste možda u iskušenju da automatski pretpostavite da je BUFFER TOO SMALL znači nešto stvarno loše dogodilo, to zapravo nije slučaj većinu vremena.
- Detalj - dodatne informacije koje se često ne pretvaraju u redoviti svijet rješavanja problema.
Možete dodati i neke dodatne stupce na zadani zaslon tako da odete na Opcije -> Odaberi stupce. To ne bi bila naša preporuka za prvo zaustavljanje kada počnete testirati, ali budući da objašnjavamo stupce, vrijedi spomenuti već.
Jedan od razloga za dodavanje dodatnih stupaca prikazu je tako da možete vrlo brzo filtrirati te događaje bez preopterećenja podacima. Evo nekoliko dodatnih stupaca koje koristimo, ali možda ćete ih koristiti za neke druge na popisu, ovisno o situaciji.
- Naredbeni redak - dok dvaput kliknete na bilo koji događaj da biste vidjeli argumente naredbenog retka za proces koji je generirao svaki događaj, može biti korisno vidjeti na brzinu sve opcije.
- Naziv tvrtke - glavni razlog zbog kojeg je ovaj stupac koristan jest da jednostavno možete brzo isključiti sve Microsoftove događaje i suziti nadzor na sve ostalo što nije dio sustava Windows. (Ipak, želite biti sigurni da nemate čudne rundll32.exe procese koji se izvode pomoću programa Process Explorer, budući da se oni mogu skrivati od zlonamjernog softvera).
- Roditeljski PID - to može biti vrlo korisno kada otklanjate poteškoće s procesom koji sadrži mnogo dječjih procesa, kao što je web-preglednik ili aplikacija koja neprestano pokreće nejasne stvari kao drugi proces. Zatim možete filtrirati pomoću PID-a roditelja kako biste bili sigurni da ste sve snimili.
Važno je napomenuti da možete filtrirati podatke po stupcima čak i ako se stupac ne prikazuje, ali je puno lakše kliknuti desnom tipkom miša i filtrirati nego ručno. I da, spomenuli smo filtre opet iako ih još nismo objasnili.
Ispitivanje jednog događaja
Pregledavanje stvari na popisu odličan je način da brzo vidite mnogo različitih točaka podataka odjednom, ali to definitivno nije najlakši način da pregledate jedan dio podataka, a postoji samo toliko informacija koje možete vidjeti u popis. Srećom, možete dvaput kliknuti na bilo koji događaj da biste pristupili riznici dodatnih informacija.
Zadana kartica Događaj daje vam informacije koje su u velikoj mjeri slične onome što ste vidjeli na popisu, ali će stranci dodati malo više informacija. Ako gledate događaj u sustavu datoteka, moći ćete vidjeti određene informacije kao što su atributi, vrijeme izrade datoteke, pristup koji je pokušan tijekom operacije pisanja, broj napisanih bajtova i trajanje.
Prebacivanjem na karticu Proces dobivate mnogo informacija o procesu koji je generirao događaj. Iako ćete općenito željeti koristiti Process Explorer za rad s procesima, može biti vrlo korisno imati puno informacija o specifičnom procesu koji je generirao određeni događaj, osobito ako se radi o nečemu što se dogodilo vrlo brzo, a zatim nestalo iz popis postupaka. Na taj način se podaci bilježe.
Kartica Stack je nešto što će ponekad biti iznimno korisno, ali često puta neće biti korisno. Razlog zašto biste htjeli pogledati stog je da biste mogli otkloniti poteškoće tako što ćete pregledati stupac Modul za sve što ne izgleda dobro.
Na primjer, zamislite da je proces stalno pokušavao upitati ili pristupiti datoteci koja ne postoji, ali niste bili sigurni zašto. Možete pogledati karticu Stack i vidjeti ima li modula koji nisu izgledali ispravno, a zatim ih istražiti. Možda ćete pronaći problem zastarjele komponente ili čak zlonamjernog softvera.
Ili možda otkrijete da za vas ne postoji ništa korisno, a to je sasvim u redu. Postoji mnogo drugih podataka koje treba pogledati.
Napomene o preljevima međuspremnika
Prije nego što nastavimo dalje, htjet ćemo primijetiti kod rezultata koji ćete početi viđati na popisu, a na temelju dosadašnjeg znanja, možda ćete se malo uplašiti. Dakle, ako počnete vidjeti BUFFER OVERFLOW na popisu, nemojte pretpostavljati da netko pokušava hakirati vaše računalo.
Sljedeća stranica: Filtriranje podataka koji procesiraju nadzor