Почетна » школе » Разумевање процеса Монитор

    Разумевање процеса Монитор

    Данас у овом издању Геек Сцхоол-а ћемо вас научити како вам програм Процесс Монитор омогућава да завирите испод хаубе и видите шта ваше омиљене апликације заиста раде иза кулиса - које датотеке приступају, кључеви регистра и више.

    СЦХООЛ НАВИГАТИОН
    1. Шта су СисИнтерналс алати и како их користите?
    2. Разумевање Процесс Екплорер-а
    3. Користећи Процесс Екплорер за решавање проблема и дијагностиковање
    4. Разумевање процеса Монитор
    5. Користећи Процесс Монитор за отклањање проблема и проналажење Регистри Хацкс
    6. Користећи Ауторунс да се баве процесима покретања и малваре
    7. Користећи БгИнфо да прикажете информације о систему на радној површини
    8. Коришћење ПсТоолс за контролу других рачунара из командне линије
    9. Анализирање и управљање вашим датотекама, фасциклама и погонима
    10. Завршавање и коришћење алата заједно

    За разлику од услужног програма Процесс Екплорер који смо провели неколико дана у покривању, Процесс Монитор треба да буде пасиван поглед на све што се дешава на вашем рачунару, а не као активни алат за убијање процеса или затварање ручица. Ово је као да завирите у глобални лог фајл за сваки догађај који се деси на вашем Виндовс ПЦ-у.

    Желите да схватите у којим кључевима регистра ваша омиљена апликација заправо складишти своја подешавања? Желите ли схватити које датотеке дотиче услуга и колико често? Желите да видите када се апликација повезује на мрежу или отвара нови процес? То је процесни монитор за спасавање.

    Више не радимо много хацк чланака, али када смо први пут почели, користили смо Процесс Монитор да бисмо открили који кључеви регистра су приступали, а затим кренули у подешавање тих кључева регистра да би видели шта ће се десити. Ако сте се икада запитали како је неки геек схватио хацк регистра који нико никада није видео, то је вероватно било кроз Процесс Монитор.

    Услужни програм Процесс Монитор је креиран комбиновањем два различита алата старе школе заједно, Филемон и Регмон, који су коришћени за надгледање датотека и активности регистра како њихова имена имплицирају. Иако су ти услужни програми и даље на располагању, и иако они могу одговарати вашим специфичним потребама, боље би вам било да радите са Процесс Монитор-ом, јер се може боље носити с великим бројем догађаја због чињенице да је дизајниран да то учини..

    Такође је важно напоменути да Процесс Монитор увек захтева администраторски режим зато што учитава управљачки програм језгре испод хаубе да би ухватио све те догађаје. У оперативном систему Виндовс Виста и новијим верзијама, од вас ће се тражити дијалог УАЦ-а, али за КСП или 2003 морате да проверите да ли рачун који користите има администраторске привилегије.

    Догађаји који процесирају монитор

    Процесс Монитор снима тону података, али не обухваћа сваку ствар која се догађа на вашем рачуналу. На пример, Процесс Монитор не мари ако померате миша около и не зна да ли ваши возачи раде оптимално. Неће пратити који су процеси отворени и троше ЦПУ на вашем рачунару - то је ипак посао Процесс Екплорера.

    Оно што он ради је хватање одређених типова И / О (Инпут / Оутпут) операција, било да се дешавају кроз систем датотека, регистар или чак и мрежу. То ће додатно пратити неколико других догађаја на ограничен начин. Ова листа покрива догађаје које је снимила:

    • Регистар - то може бити креирање кључева, њихово читање, њихово брисање или упит. Изненадићете се колико често се то догађа.
    • Систем датотека - то може бити креирање датотека, писање, брисање итд., а може бити и за локалне тврде дискове и за мрежне дискове.
    • Мрежа - ово ће показати извор и одредиште ТЦП / УДП саобраћаја, али нажалост не приказује податке, што га чини мало мање корисним.
    • Процес - То су догађаји за процесе и нити у којима је процес покренут, конац почиње или излази, итд. То може бити корисна информација у одређеним случајевима, али је често нешто што бисте желели да погледате у Процесс Екплорер-у.
    • Профилисање - Ови догађаји се снимају помоћу програма Процесс Монитор да би се проверила количина процесорског времена коју користи сваки процес, као и коришћење меморије. Опет, вероватно бисте желели да користите Процесс Екплорер за праћење ових ствари већину времена, али је овде корисно ако вам је потребно.

    Тако Процесс Монитор може ухватити било коју врсту И / О операције, без обзира да ли се то дешава преко регистра, система датотека или чак мреже - иако стварни подаци који се пишу нису заробљени. Само гледамо на чињеницу да процес пише на један од ових токова, тако да касније можемо сазнати више о томе шта се дешава.

    Интерфејс Процесс Монитор

    Приликом првог учитавања интерфејса Процесс Монитор-а, биће вам представљен огроман број редова података, са већим бројем података који ће брзо летети и може бити запањујуће. Кључно је имати барем неку идеју о томе шта гледате, као и оно што тражите. Ово није тип алата који проводите опуштајући дневни преглед, јер ћете у веома кратком временском периоду гледати на милијуне редова.

    Прва ствар коју ћете желети да урадите је да филтрирате те милионе редова до много мањег подскупа података који желите да видите, а ми ћемо вас научити како да креирате филтере и да се нулто умећете у оно што желите да пронађете . Али прво, треба да разумете интерфејс и који су подаци заиста доступни.

    Гледајући подразумеване колоне

    Подразумеване колумне приказују тону корисних информација, али свакако ће вам требати неки контекст да бисте разумели које податке сваки од њих заправо садржи, јер би неки од њих могли изгледати као нешто лоше што се десило када су заиста невини догађаји који се дешавају цијело вријеме хоод. Ево шта се користи за сваку од подразумеваних колона:

    • време - Ова колона је прилично разумљива, показује тачно време када се догађај догодио.
    • Име процеса - назив процеса који је генерисао догађај. Ово подразумевано не приказује пуну путању до датотеке, али ако пређете преко поља, можете да видите тачно који је то процес био.
    • ПИД - ИД процеса процеса који је генерисао догађај. Ово је веома корисно ако покушавате да разумете који свцхост.еке процес генерише догађај. То је такође одличан начин да се изолује један процес праћења, под претпоставком да се процес не покрене поново.
    • Операција - ово је име операције која се записује, а постоји икона која се поклапа са једном од врста догађаја (регистар, датотека, мрежа, процес). Ово може бити мало збуњујуће, као што је РегКуериКеи или ВритеФиле, али покушаћемо да вам помогнемо кроз конфузију.
    • Патх - ово није пут процеса, то је пут ка свему на чему је овај догађај радио. На пример, ако је дошло до догађаја ВритеФиле, ово поље ће приказати име датотеке или фасцикле која се додирује. Ако је ово догађај у регистру, он ће приказати пуни кључ којем се приступа.
    • Резултат - Ово показује резултат операције, који су кодови попут УСПЈЕХА или ОДОБРЕЊА ПРИСТУПА. Док сте можда у искушењу да аутоматски претпоставите да је БУФФЕР ТОО СМАЛЛ значи да се нешто стварно лоше десило, то заправо није случај већину времена.
    • Детаил - додатне информације које се често не претварају у редовни свет за решавање проблема.

    Можете додати и неке додатне колоне на подразумевани приказ тако што ћете отићи у Опције -> Изабери колоне. Ово не би била наша препорука за ваше прво заустављање када покренете тестирање, али пошто објашњавамо колоне, вреди споменути већ.

    Један од разлога за додавање додатних колона екрану је да можете врло брзо филтрирати те догађаје без преоптерећења подацима. Ево неколико додатних колона које користимо, али можете да их користите за неке друге у листи у зависности од ситуације.

    • Командна линија - док двапут кликнете на било који догађај да бисте видели аргументе командне линије за процес који је генерисао сваки догађај, може бити корисно видети на брзину све опције.
    • назив фирме - главни разлог због којег је ова колона корисна је да једноставно можете брзо искључити све Мицрософт догађаје и сузити свој надзор на све остало што није дио Виндовса. (Желите да будете сигурни да немате чудне рундлл32.еке процесе који се изводе помоћу програма Процесс Екплорер, јер они могу да крију малваре).
    • Парент ПИД - ово може бити веома корисно када решавате процес који садржи много дечјих процеса, као што је веб прегледач или апликација која непрестано покреће скривене ствари као други процес. Затим можете филтрирати преко Парент ПИД-а да бисте били сигурни да ћете све снимити.

    Вреди напоменути да можете филтрирати податке по колонама чак и ако се колона не приказује, али је много лакше десним кликом и филтрирањем него ручно. И да, спомињали смо филтере поново иако их још нисмо објаснили.

    Испитивање једног догађаја

    Прегледање ствари на листи је одличан начин да брзо видите много различитих тачака података одједном, али дефинитивно није најлакши начин да прегледате један део података, а постоји само толико информација које можете да видите у листа. Срећом, можете двапут кликнути на било који догађај да бисте приступили ризници додатних информација.

    Подразумевана картица Евент вам даје информације које су у великој мери сличне ономе што сте видели на листи, али ће додати мало више информација странци. Ако гледате догађај система датотека, моћи ћете да видите одређене информације као што су атрибути, време креирања датотеке, приступ који је покушан током операције писања, број бајтова који су написани и трајање.

    Пребацивање на картицу Процес даје вам много информација о процесу који је генерисао догађај. Иако ћете у принципу желети да користите Процесс Екплорер за рад са процесима, може бити веома корисно имати много информација о специфичном процесу који је генерисао одређени догађај, посебно ако се ради о нечему што се догодило врло брзо, а затим нестало из листе процеса. На тај начин се прикупљају подаци.

    Картица Стацк је нешто што ће понекад бити изузетно корисно, али често пута неће бити корисно. Разлог зашто бисте желели да погледате стог је да бисте могли да решите проблем тако што ћете испитати колону модула за било шта што не изгледа добро.

    На пример, замислите да је процес стално покушавао да упита или приступи датотеци која не постоји, али нисте били сигурни зашто. Можете погледати кроз картицу Стацк и видјети да ли постоје неки модули који нису изгледали исправно и затим их истражити. Можда ћете пронаћи застарелу компоненту, или чак малваре, који узрокује проблем.

    Или можда откријете да за вас не постоји ништа корисно и то је сасвим у реду. Постоји много других података које треба погледати.

    Напомене о прелијевању пуфера

    Пре него што наставимо даље, желимо да запишемо шифру резултата коју ћете почети да виђате на листи, и на основу свих ваших досадашњих знања, можда ћете се мало уплашити. Дакле, ако почнете да видите БУФФЕР ОВЕРФЛОВ на листи, немојте претпостављати да неко покушава да хакује ваш рачунар.

    Следећа страница: Филтрирање података који процесирају монитор