Konfiguracja sprzętu i oprogramowania

Dom Okna
Okna

Jak zaprzyjaźnić się z Procmon

(ProcMon) firmy Sysinternals.

Ostatnio uczyłem młodego padawanę, jak korzystać z tego wspaniałego, aw niektórych przypadkach niezbędnego narzędzia. A kiedy mówiłem, przyszedł mi do głowy pomysł, aby napisać taką instrukcję wprowadzającą dla tych, którzy dopiero rozpoczynają swoją ciernistą drogę jako administrator.

Ogólnie rzecz biorąc, moim zdaniem wszystko, co związane z ProcMonem najlepiej opisuje książka od deweloperów, która nazywa się „ Narzędzia Sysinternals. Podręcznik administratora”.

Nie będę wspinał się w dzicz i postaram się przedstawić minimum teorii, maksimum praktyki na konkretnym przykładzie.

Rozpocznij ProcMon

System plików logów, rejestr, sieć,procesy, wątki i ładowanie obrazów w czasie rzeczywistym.

Cóż, jak? Jasne? ????

Jeśli po prostu uruchomisz ProcMon, okno robocze programu zostanie natychmiast wypełnione różnymi zdarzeniami, nawet jeśli nic nie zrobisz. Bardzo trudno jest zrozumieć te wydarzenia i znaleźć interesujące nawet dla doświadczonego mistrza. Tak i nie jest to konieczne, ale najpierw najważniejsze.

Najczęściej ProcMon jest uruchamiany w określonym celu, na przykład w celu ustalenia, co robi ten lub inny program, który proces zapisuje pliki do określonego katalogu lub gałęzi rejestru, gdzie trafia miejsce na dysku itp. Dlatego, jeśli po prostu uruchomisz ProcMon, będziesz musiał przestać zbierać zdarzenia ( Ctrl+e), wyczyść już zebrane zdarzenia ( Ctrl+X), skonfiguruj filtry ( Ctrl+L) i ponownie rozpocznij monitorowanie. Aby nie wykonywać tylu niepotrzebnych ruchów, dostępny jest parametr wiersza poleceń /brak połączenia:

procmon / brak połączenia

Rozpoczęcie od tej opcji uruchamia Procmon, ale nie rozpoczyna monitorowania, zamiast tego natychmiast otwiera się okno filtrów.

Ogólnie rzecz biorąc, aby uprościć uruchomienie, robię (i radzę to wszystkim), ponieważ wszystko jest opisane w tej samej książce:

Mój współpracownik Aaron zwykle tworzy folder C:\Program Files\Sysinternals i wyodrębnia do niego zawartość pakietu Sysinternals Suite. Tam narzędzi nie można zmienić bez uprawnień administratora. Następnie dodaje ten katalog do zmiennej środowiskowej Path system, co ułatwia uruchamianie narzędzi z dowolnego miejsca, w tym z menu. start | Uruchomić (Start | Uruchomić).

Filtry w ProcMon

Jak wspomniano powyżej, okno filtra otwiera się podczas uruchamiania z parametrem /brak połączenia. Jeśli przypadkowo je zamknąłeś lub potrzebujesz poprawić już skonfigurowane filtry, możesz otworzyć okno filtrów, naciskając kombinację klawiszy Ctrl+L, lub przez menu filtr | Filtr....

Więc dotarliśmy do praktyki ????

Mam już jak monitorować rejestr, więc dzisiaj dowiemy się jak monitorować system plików. Na przykład będziemy śledzić, jakie zmiany wprowadza standardowy notatnik.

Mamy więc otwarte okno filtra.

Filtry w ProcMon

Na wszelki wypadek naciśnij przycisk, aby zresetować filtry do stanu domyślnego - Resetowanie(domyślnie ProcMon jest ustawiony na kilka filtrów, nie zaleca się ich usuwania) i dodaj filtr

Nazwa procesu to notepad.exe include.

Wciskamy przycisk Dodać. Jak sama nazwa wskazuje, przechwytywane będą tylko zdarzenia związane z procesem notepad.exe, tj. zdarzenia generowane przez notatnik.

Ważny punkt: nazwa procesu musi być podana w całości - z rozszerzeniem, w przeciwnym razie ProcMon niczego nie przechwyci. Alternatywnie możesz użyć filtra

Nazwa procesu zaczyna się od notatnika obejmują

W takim przypadku przechwytywane będą zdarzenia związane z procesami rozpoczynającymi się w notatniku, może to być albo standardowy notatnik, alboNotatnik++lub jakiś inny notatnik. W ten sam sposób dodajemy filtr do zapisu plików:

Operacja to WriteFile obejmują

Kliknij Dodać oraz ok(ogólnie wystarczy kliknąć ok, w takim przypadku ProcMon powie, że takiego filtra jeszcze nie ma i zapyta, czy chcemy go dodać. Faktem jest, że naciśnięcie przycisku zamyka ok okienko filtra, jeśli to nie jedyny filtr, to lepiej wcisnąć przycisk Dodać, spowoduje to dodanie filtra i pozostawi otwarte okno filtra dla kolejnych filtrów).

Ponieważ interesuje nas tylko aktywność plików, w głównym oknie ProcMon wyłączamy ikony monitorowania rejestru, sieci i procesów - zostawiamy tylko monitorowanie systemu plików (zaznaczone na poniższym zrzucie ekranu).

Kolejny ważny punkt.

Domyślnie ProcMon rejestruje całą aktywność systemu, nawet te zdarzenia, które nie podlegają filtrom, co w niektórych przypadkach może prowadzić do spowolnień. Jeśli masz pewność, że filtry są skonfigurowane poprawnie (w tym przykładzie jesteśmy pewni) i nie potrzebujesz ukrytych przez nie zdarzeń, możesz je odrzucić za pomocą opcji filtr | Usuń filtrowane zdarzenia(Usuń filtrowane zdarzenia) w menu filtr. Parametr ten ma wpływ tylko na rejestrację bieżących zdarzeń, wcześniej zarejestrowane zdarzenia nie są usuwane z logu.

Po skonfigurowaniu filtrów zaczynamy zbierać zdarzenia (przycisk z obrazem lupy lub Ctrl+e). Uruchamiamy notatnik, piszemy tekst i zapisujemy plik. Zobaczmy co się stało:

Aktywność plików w ProcMon

Jak widać na zrzucie ekranu, ProcMon zarejestrował zdarzenie zapisu pliku przez proces notepad.exe wzdłuż ścieżki C:\temp\test.txt.

Zróbmy kolejny eksperyment.

Zatrzymaj przechwytywanie zdarzeń ( Ctrl+e), zamknij notatnik i wyczyść zebrane zdarzenia ( Ctrl+X). Wywołaj okno filtra ( Ctrl+L), zresetuj filtry (za pomocą przycisku Resetowanie) i dodaj następujący filtr:

Ścieżka zaczyna się od c:\temp\

Tym samym wskazujemy, że jesteśmy zainteresowani jakąkolwiek aktywnością po drodze c:\temp. A ponieważ wartość nie jest dokładnie określona (nie jest, a Zaczyna się z), zdarzenia będą przechwytywane nie tylko z tego katalogu, ale także ze wszystkich jego podkatalogów.

Upewnij się, że włączone jest tylko monitorowanie systemu plików (kiedy filtry są resetowane, wszystko jest resetowane do stanu domyślnego)

Filtry w ProcMon

Zacznijmy monitorowanie. Otwórzmy odkrywcę i podążajmy naszą ścieżką. Przyjrzyjmy się ProcMon.

Tak wygląda otwieranie katalogu w ProcMon

Będzie wiele wydarzeń, których nie rozumiemy, ale nie potrzebujemy ich, wystarczy spojrzeć, ile wydarzeń wydarzy się, gdy po prostu przejdziesz do katalogu.

Możesz otworzyć plik i zobaczyć, jak pomieszany jest ProcMon. Dlatego nigdy nie polecam uruchamiania ProcMon tylko po to, aby zobaczyć, co się dzieje w systemie.

Aby zobaczyć, jak plik odczytuje same zdarzenia, przestań zbierać zdarzenia, wyczyść okno wyników, dodaj filtr

Operacja to ReadFile

i ponownie otwórz plik.

Powinno to wyglądać mniej więcej tak (jak widać na zrzucie ekranu, otworzyłem plik dwoma różnymi procesami):

Podobał Ci się artykuł? Podziel się z przyjaciółmi!
Świergot
wydrukować
Czy ten artykuł był pomocny?
tak
Nie
Dziekuję za odpowiedź!
Coś poszło nie tak i Twój głos nie został policzony.
Dziękuję Ci. Twoja wiadomość została wysłana
Znalazłeś błąd w tekście?
Wybierz, kliknij Ctrl+Enter a my to naprawimy!
Powiązane wskazówki
Praca z pomocą zdalną w systemie Windows 7
Praca z pomocą zdalną w systemie Windows 7
Wyprowadzenie chłodnicy: podłączenie 3 pinów i 4 pinów wentylatora
Wyprowadzenie chłodnicy: podłączenie 3 pinów i 4 pinów wentylatora
Co to jest dysk twardy i dlaczego znajduje się w komputerze?
Co to jest dysk twardy i dlaczego znajduje się w komputerze?
Jak zaprzyjaźnić się z Procmon
Jak zaprzyjaźnić się z Procmon
Jak skonfigurować uruchamianie z dysku flash USB, napędu CD/DVD w komputerach z systemem BIOS i UEFI
Jak skonfigurować uruchamianie z dysku flash USB, napędu CD/DVD w komputerach z systemem BIOS i UEFI
Zobacz, co to jest
Zobacz, co „E-mail” znajduje się w innych słownikach: