„Process Monitor“ yra puikus trikčių šalinimo įrankis iš „Windows Sysinternals“, kuris rodo failus ir registro raktus, kuriuos programos pasiekia realiuoju laiku. Rezultatus galima išsaugoti žurnalo faile, kurį galite nusiųsti ekspertui, kad jis išanalizuotų problemą ir pašalintų ją.
Čia yra vadovas, kaip užfiksuoti registro ir failų sistemos prieigą prie programų, ir sukurti žurnalo failą naudojant „Process Monitor“ tolimesnei analizei.
Norėdami stebėti registro ir failų sistemos pokyčius, naudokite „Proceso monitorių“
Scenarijus: Tarkime, kad negalite sėkmingai rašyti į „ HOSTS“ failą sistemoje „Windows“ ir norite sužinoti, kas vyksta po gaubtu. Kiekvienas šio straipsnio žingsnis sukasi apie šį pavyzdinį scenarijų.
1 veiksmas: paleiskite proceso stebėtoją ir konfigūruokite filtrus
- Atsisiųskite proceso stebėtoją iš „ Windows Sysinternals“ svetainės.
- Išskleiskite ZIP failo turinį į pasirinktą aplanką.
- Paleiskite „Process Monitor“ programą
- Įtraukite procesus, kuriuose norite stebėti veiklą. Šiame pavyzdyje norite įtraukti
Notepad.exe
į (įtraukti) filtrus. - Spustelėkite Pridėti ir spustelėkite Gerai .
Patarimas: taip pat galite pridėti kelis įrašus tuo atveju, jei norite sekti dar kelis procesus kartu suNotepad.exe
. Kad šis pavyzdys būtų paprastesnis,Notepad.exe
tik „Notepad.exe
.(Dabar pamatysite „Process Monitor“ pagrindinį langą, stebintį registro ir failų prieigų sąrašą pagal procesus realiuoju laiku, atsižvelgiant į jų išrūgas.)
- Meniu Parinktys spustelėkite Pasirinkti stulpelius .
- Dalyje „Išsami įvykio informacija“ įgalinkite sekos numerį ir spustelėkite Gerai .
2 veiksmas: įvykių fiksavimas
- Atidarykite „Notepad“.
- Perjunkite į proceso stebėjimo langą.
- Įjunkite „Fotografavimo“ režimą (jei jis dar neįjungtas). „Fotografavimo“ būseną galite pamatyti „Process Monitor“ įrankių juostoje.
Aukščiau paryškintas mygtukas yra mygtukas „Fiksuoti“, kuris šiuo metu yra išjungtas. Turite spustelėti tą mygtuką (arba naudoti klavišų seką „Ctrl + E“), kad įgalintumėte užfiksuoti įvykius. - Išvalykite esamų įvykių sąrašą naudodami „Ctrl“ + X klavišų seką (svarbu) ir pradėkite iš naujo
- Dabar perjunkite į Notepad ir pabandykite atkurti problemą .
Norėdami atkurti problemą (šiame pavyzdyje), pabandykite įrašyti į HOSTS failą (
C:\Windows\System32\Drivers\Etc\HOSTS
) ir išsaugokite ją. „Windows“ siūlo failą išsaugoti (parodžius dialogo langą Įrašyti kaip) kitu pavadinimu arba kitoje vietoje .Taigi, kas nutinka po gaubtu, kai išsaugote failą HOSTS? „Process Monitor“ rodo būtent tai.
- Perjunkite į „proceso stebėjimo“ langą ir išjunkite fiksavimą (Ctrl + E), kai tik pakartosite problemą. Svarbi pastaba: įgalinę fiksavimą problemai atkurti nereikia daug laiko. Panašiai išjunkite fotografavimą, kai tik baigsite atkurti problemą. Tai neleidžia „Process Monitor“ įrašyti kitų nereikalingų duomenų (tai apsunkina analizės dalį). Jūs turite tai padaryti kuo greičiau.
Sprendimas: Aukščiau pateiktas žurnalo failas praneša, kad „Notepad“ rašydama į „
HOSTS
failą susidūrė su „ACCESS DENIED
klaida. Sprendimas būtų tiesiog paleisti „Notepad“ pakeltą (dešiniuoju pelės mygtuku spustelėkite ir pasirinkite „Vykdyti kaip administratorių“), kad galėtumėte sėkmingai rašyti į „HOSTS
failą.
3 žingsnis: Išvesties išsaugojimas
- Proceso stebėjimo lange pasirinkite meniu Failas ir spustelėkite Įrašyti
- Pasirinkite vietinio proceso stebėjimo formatą (PML), nurodykite išvesties failo pavadinimą ir kelią, išsaugokite failą.
- Dešiniuoju pelės mygtuku spustelėkite failą „
Logfile.PML
, spustelėkite Siųsti į ir pasirinkiteCompressed (zipped) folder
. Tai suspaudžia failą~90%
. Pažvelkite į žemiau pateiktą paveikslėlį. Jūs tikrai norite suspausti žurnalo failą prieš siųsdami jį kam nors.
Redaktoriaus pastaba: Aš paprastai siūlau savo klientams išsaugoti žurnalą naudojant parinktį Visi įvykiai, kad galėčiau gauti platų pasirinkimo būdą, kaip efektyviai pašalinti subjekto kompiuterį. Jei ketinate atsiųsti man proceso stebėjimo žurnalą, išsaugokite žurnalo failą būtinai įjungę parinktį Visi įvykiai . Be to, nepamirškite prieš siųsdami suspausti (.zip) žurnalo failą.
Tai va, skaitytojai. Kad dokumentacija būtų paprasta, aš pasinaudojau paprasčiausiu pavyzdžiu, kad galutinis vartotojas aiškiai suprastų, kaip efektyviai sekti registro ir failų sistemos įvykius naudojant „Process Monitor“ ir generuoti žurnalo failą.