Korištenje procesa Monitor za rješavanje problema i pronaći Registry Hacks

U današnjem izdanju Geek School-a ćemo vas naučiti kako koristiti Process Monitor kako biste zapravo ostvarili otklanjanje poteškoća i otkrili hakiranje registra koje ne biste znali o drugačijem.

1. Što su SysInternals alati i kako ih koristite?
2. Razumijevanje procesa Explorer
3. Korištenje Process Explorer za rješavanje problema i dijagnosticiranje
4. Razumijevanje procesa Monitor
5. Korištenje procesa Monitor za rješavanje problema i pronaći Registry Hacks
6. Korištenje Autoruns se nositi s pokretanja procesa i zlonamjernih programa
7. Koristeći BgInfo za prikaz informacija o sustavu na radnoj površini
8. Korištenje PsTools za kontrolu drugih računala iz naredbenog retka
9. Analiziranje i upravljanje vašim datotekama, mapama i pogonima
10. Zamatanje i korištenje alata zajedno

Procesni monitor je jedan od najimpresivnijih alata koje možete imati u svom alatu, jer ne postoji drugi način da se vidi što aplikacija zapravo radi ispod haube. To je jedini način da saznate na koje se datoteke pišu prema kojem procesu i gdje se stvari pohranjuju u registru i koje datoteke im pristupaju.

Započet ćemo s današnjom lekcijom gledajući kako pronaći ključeve registra pomoću dijaloga s postavkama sustava Windows i Process Monitor, a zatim ćemo proći kroz stvarni scenarij rješavanja problema s kojim smo se susreli na jednom od naših računala u laboratoriju i lako riješili pomoću programa Process Monitor.

Korištenje Process Explorer pronaći Registry Tipke za zajedničke postavke

Svi su kliknuli potvrdni okvir ili promijenili vrijednost padajućeg okvira u nekom trenutku, ali jeste li se ikada zapitali gdje su te vrijednosti zapravo pohranjene? Mnoge aplikacije i gotovo sve što je u sustavu Windows pohranjeno je u Registru ... negdje.

Za današnji primjer koristit ćemo prvu opciju na prvom oknu programske trake i svojstva navigacije, što je dijalog koji bi trebao postojati u svim verzijama sustava Windows. Sada je naša misija otkriti gdje je ta postavka zapravo pohranjena u registru. Možete pratiti ovu određenu postavku ili možete isprobati neku od drugih postavki u istom dijaloškom okviru - ili bilo gdje drugdje gdje želite pronaći skriveno mjesto za postavljanje.

Prva stvar koju ćete htjeti učiniti kada pokušavate uhvatiti skup podataka jest pokrenuti Process Monitor, a zatim promijeniti postavku. U tom trenutku možete zaustaviti procesni monitor da nastavi snimati događaje, tako da popis ne prelazi kontrolu. (Savjet: izbornik Datoteka ima tu opciju ili je treća ikona s lijeve strane).

Sada kada imamo tonu podataka na popisu, vrijeme je da filtriramo popis kako bismo smanjili broj redaka kroz koje ćemo morati pregledati. Budući da promatramo vrijednost registra koji se mijenja, morat ćemo filtrirati prema "RegSetValue", što Windows koristi da zapravo postavi ključ registra na novu postavku. Koristite opciju "Uključi" za prikaz samo tih događaja.

Vaš bi popis sada trebao biti ograničen samo na ključeve registra koji su promijenjeni, pa je vrijeme da pogledate događaje i pokušate shvatiti koji ključ registra može biti. Budući da provjeravamo postavku "Zaključaj traku zadataka", a jedan od ključeva registra koji se postavlja uključuje riječ "Taskbar" u imenu, to je dobro mjesto za početak. Desnom tipkom miša kliknite putanju i odaberite skočiti na lokaciju.

Process Monitor će otvoriti Registry Editor i označiti ključ u popisu. Sada moramo biti sigurni da je to uistinu pravi ključ, što je prilično lako shvatiti. Pogledajte postavku, a zatim pogledajte ključ. Trenutno je postavka uključena, a tipka je postavljena na 0.

Promijenite postavku, pritisnite Apply na dijaloški okvir, a zatim pomoću tipke F5 osvježite prozor Registry Editor. U našem slučaju definitivno smo odabrali pravu postavku, tako da sada možete vidjeti da je vrijednost TaskbarSizeMove postavljena na 1.

Ako niste odabrali pravu vrijednost, nećete vidjeti promjenu kada ponovno izvršite test postavljanja. Zato idite i pronađite sljedeću logičnu i započnite ispočetka.

Rješavanje problema s nadzornikom procesa

Nije moguće prikazati u jednom članku kako riješiti bilo koji problem s programom Process Monitor ili bilo kojim drugim alatom za tu svrhu. Postoji samo način previše kombinacija pitanja koja bi mogla pogriješiti.

Međutim, ono što možemo učiniti je pokazati kako smo zapravo koristili Process Monitor za rješavanje stvarnog problema koji se zapravo dogodio jednom od naših testnih računala. Instalirali smo neki crapware, a zatim odlučili pokušati očistiti računalo. Problem je bio unos na ploči Deinstaliraj programe koji jednostavno ne bi nestala.

Sljedeća stranica: Rješavanje problema s nadzornikom procesa