Аппараттық және бағдарламалық қамтамасыз етуді орнату

үй Windows
Windows

Procmon-пен қалай достасуға болады

(ProcMon) Sysinternals.

Жақында мен жас Падаванға осы тамаша және кейбір жағдайларда таптырмас құралды қалай пайдалану керектігін үйреттім. Әңгімелесіп отырғанда, администратор ретінде тікенді жолын енді бастап жатқан жандарға осындай кіріспе нұсқау жазу идеясы келді.

Жалпы, менің ойымша, ProcMon-ға қатысты барлық нәрсе әзірлеушілердің кітабында жақсы сипатталған, ол « Sysinternals утилиталары. Әкімші анықтамалығы”.

Мен жабайы табиғатқа шықпаймын және нақты мысалды қолдана отырып, ең аз теориямен және максимум тәжірибемен көрсетуге тырысамын.

ProcMon іске қосыңыз

Журналдар файлдық жүйесі, тізілім, желі,процестер, ағындар және нақты уақыттағы кескінді жүктеу.

Қалай? Таза? ??????

Егер сіз ProcMon-ды жаңадан бастасаңыз, бағдарламаның жұмыс терезесі ештеңе жасамасаңыз да, әр түрлі оқиғаларға бірден толтырылады. Бұл оқиғаларды түсіну және тіпті тәжірибелі шебер үшін қызықты табу өте қиын. Ия, бұл қажет емес, бірақ бірінші кезекте.

Көбінесе ProcMon белгілі бір мақсатта іске қосылады, мысалы, осы немесе басқа бағдарлама не істеп жатқанын анықтау үшін, процесс файлдарды белгілі бір каталогқа немесе тізілім тармағына жазады, дискілік кеңістік қайда кететінін және т.б. Сондықтан, егер сіз ProcMon іске қоссаңыз, оқиғаларды жинауды тоқтатуға тура келеді ( ctrl+e), бұрыннан жиналған оқиғаларды өшіру ( Ctrl+X), сүзгілерді конфигурациялау ( Ctrl+L) және бақылауды қайта бастаңыз. Көптеген қажетсіз қозғалыстарды жасамау үшін пәрмен жолы параметрі берілген /қосылу жоқ:

procmon / noconnect

Осы опциядан бастап Procmon іске қосылады, бірақ бақылауды бастамайды, оның орнына сүзгілер терезесі бірден ашылады.

Жалпы, ұшыруды жеңілдету үшін мен (және барлығына мұны істеуге кеңес беремін), өйткені бәрі бір кітапта сипатталған:

Менің серіктесім Аарон әдетте C:\Program Files\Sysinternals қалтасын жасайды және оған Sysinternals Suite мазмұнын шығарады. Онда утилиталарды әкімші құқықтарынсыз өзгерту мүмкін емес. Содан кейін ол осы каталогты Path жүйесінің ортасының айнымалы мәніне қосады, бұл утилиталарды кез келген жерден, соның ішінде мәзір арқылы іске қосуды жеңілдетеді. бастау | Жүгіру (Бастау | Жүгіру).

ProcMon ішіндегі сүзгілер

Жоғарыда айтылғандай, сүзгі терезесі параметрмен іске қосылғанда ашылады /қосылу жоқ. Егер сіз оны байқаусызда жапсаңыз немесе бұрыннан конфигурацияланған сүзгілерді түзету қажет болса, пернелер тіркесімін басу арқылы сүзгі терезесін ашуға болады. Ctrl+L, немесе мәзір арқылы сүзгі | Сүзгі....

Сонымен жаттығуға келдік????

Менде тізілімді бақылау жолы бар, сондықтан бүгін біз файлдық жүйені бақылауды үйренеміз. Мысалы, біз стандартты блокнот қандай өзгерістер жасайтынын бақылаймыз.

Сонымен, бізде сүзгі терезесі ашық.

ProcMon ішіндегі сүзгілер

Кез келген жағдайда, сүзгілерді әдепкі күйге қайтару үшін түймені басыңыз - қалпына келтіру(әдепкі бойынша ProcMon сүзгілер тобына орнатылған, оларды жою ұсынылмайды) және сүзгіні қосыңыз

Процесс атауы notepad.exe кіреді.

Біз түймені басамыз қосу. Атауынан көрініп тұрғандай, notepad.exe процесімен байланысты оқиғалар ғана түсіріледі, яғни. блокнот жасайтын оқиғалар.

Маңызды нүкте:процесс атауы толық көрсетілуі керек - кеңейтіммен, әйтпесе ProcMon ештеңе түсірмейді. Немесе сүзгіні пайдалануға болады

Процесс атауы блокнот қосудан басталады

Бұл жағдайда блокнотта басталатын процестерге қатысты оқиғалар түсіріледі, ол стандартты блокнот немесеБлокнот++, немесе басқа блокнот. Дәл осылай файлдарды жазу үшін сүзгіні қосамыз:

Әрекет WriteFile кіреді

басыңыз қосужәне ЖАРАЙДЫ МА(жалпы, сіз жай ғана басуға болады ЖАРАЙДЫ МА, бұл жағдайда ProcMon мұндай сүзгі әлі жоқ екенін айтып, оны қосқымыз келе ме деп сұрайды. Факт мынада, түймені басу жабылады ЖАРАЙДЫ МАсүзгі терезесі, егер бұл жалғыз сүзгі болмаса, түймені басқан дұрыс қосу, бұл сүзгіні қосады және келесі сүзгілер үшін сүзгі терезесін ашық қалдырады).

Бізді тек файл белсенділігі қызықтыратындықтан, негізгі ProcMon терезесінде тізілімді, желіні және процесті бақылау белгішелерін өшіреміз - біз тек файлдық жүйенің мониторингін қалдырамыз (төмендегі скриншотта бөлектелген).

Тағы бір маңызды сәт.

Әдепкі бойынша, ProcMon жүйенің барлық әрекетін, тіпті кейбір жағдайларда баяулауға әкелетін сүзгілердің астына түспейтін оқиғаларды тіркейді. Сүзгілердің дұрыс конфигурацияланғанына сенімді болсаңыз (бұл мысалда біз сенімдіміз) және олар жасырған оқиғаларды қажет етпесеңіз, опцияны пайдаланып оларды жоюға болады. сүзгі | Сүзілген оқиғаларды тастаңыз(Сүзгіленген оқиғаларды жою) мәзірінде сүзгі. Бұл параметр тек ағымдағы оқиғаларды тіркеуге әсер етеді, бұрын жазылған оқиғалар журналдан жойылмайды.

Сүзгілер конфигурацияланғаннан кейін біз оқиғаларды жинауды бастаймыз (үлкейткіш әйнек кескіні бар түйме немесе ctrl+e). Біз блокнотты іске қосамыз, мәтін жазып, файлды сақтаймыз. Не болғанын көрейік:

ProcMon ішіндегі файл әрекеті

Скриншоттан көріп отырғаныңыздай, ProcMon жол бойымен notepad.exe процесі арқылы файлды жазу оқиғасын жазды. C:\temp\test.txt.

Тағы бір эксперимент жасайық.

Оқиғаларды түсіруді тоқтату ( ctrl+e), блокнотты жауып, жиналған оқиғаларды өшіріңіз ( Ctrl+X). Сүзгі терезесіне қоңырау шалыңыз ( Ctrl+L), сүзгілерді қалпына келтіріңіз (түйменің көмегімен қалпына келтіру) және келесі сүзгіні қосыңыз:

Жол c:\temp\ арқылы басталады

Осы арқылы біз кез келген әрекетке қызығушылық танытатынымызды көрсетеміз c:\тем. Ал мән нақты көрсетілмегендіктен (жоқ болып табылады, а -ден басталады), содан кейін оқиғалар тек осы каталогтан ғана емес, сонымен қатар оның барлық ішкі каталогтарынан да түсіріледі.

Тек файлдық жүйені бақылау қосылғанына көз жеткізіңіз (сүзгілер қалпына келтірілгенде, барлығы әдепкі күйге қайтарылады)

ProcMon ішіндегі сүзгілер

Бақылауды бастайық. Зерттеушіні ашып, жолымызды ұстанайық. ProcMon-ды қарастырайық.

ProcMon-да каталогты ашу осылай көрінеді

Біз түсінбейтін көптеген оқиғалар болады, бірақ бізге олар қажет емес, жай ғана каталогқа кірген кезде қанша оқиға болатынын қараңыз.

Сіз файлды ашып, ProcMon-ның қаншалықты шатасқанын көре аласыз. Сондықтан мен ешқашан жүйеде не болып жатқанын көру үшін ProcMon іске қосуды ұсынбаймын.

Файлды оқу оқиғаларының өзін көру үшін оқиғаларды жинауды тоқтатыңыз, нәтижелер терезесін тазалаңыз, сүзгіні қосыңыз

Операция - ReadFile

және файлды қайта ашыңыз.

Ол келесідей болуы керек (скриншоттан көріп отырғаныңыздай, мен файлды екі түрлі процесспен аштым):

Мақала ұнады ма? Достарыңызбен бөлісіңіз!
Twitter
басып шығару
Бұл мақала пайдалы болды ма?
Иә
Жоқ
Пікіріңізге рахмет!
Бірдеңе дұрыс болмады және сіздің дауысыңыз есептелмеді.
Рақмет сізге. Сіздің хабарламаңыз жіберілді
Мәтіннен қате таптыңыз ба?
Оны таңдаңыз, басыңыз Ctrl+Enterжәне біз оны түзетеміз!
Қатысты кеңестер
Windows 7 жүйесінде қашықтан көмекпен жұмыс істеу
Windows 7 жүйесінде қашықтан көмекпен жұмыс істеу
Салқындатқыш түйреуіш: 3 істікшелі және 4 істікшелі желдеткішті қосу
Салқындатқыш түйреуіш: 3 істікшелі және 4 істікшелі желдеткішті қосу
Қатты диск дегеніміз не және ол неліктен компьютерде?
Қатты диск дегеніміз не және ол неліктен компьютерде?
Procmon-пен қалай достасуға болады
Procmon-пен қалай достасуға болады
BIOS және UEFI бар компьютерлерде USB флэш-дискісінен, CD / DVD дискісінен жүктеуді қалай орнатуға болады
BIOS және UEFI бар компьютерлерде USB флэш-дискісінен, CD / DVD дискісінен жүктеуді қалай орнатуға болады
Не екенін қараңыз
Басқа сөздіктерде «Электрондық пошта» деген не екенін қараңыз: