Hogyan barátkozni procmon, smearg
Valószínűleg minden önérzetes IT Schnick tudja (vagy legalábbis hallott) mintegy Process Monitor (ProcMon) ebből Sysinternals.
Nemrég mondta egy fiatal padawan, hogyan kell használni ezt a csodálatos, és bizonyos esetekben nélkülözhetetlen eszköze. És miközben beszél jött az ötlet, hogy megírjam ezt a bevezető utasítást azok számára, akik csak most kezdik a rögös útját a rendszergazda.
Általában, azt hiszem mindent ProcMon legjobban egy könyvben a fejlesztők, amely az úgynevezett „Sysinternals segédprogramok. Adminisztrátori kézikönyv. "
Nem fogok menni a dzsungelbe, és próbálja bemutatni legalább az elmélet és a maximum gyakorlat egy konkrét példát.
futó ProcMon
Először is, én nem ajánlom, hogy futni ProcMon csak hogy lássa, mit csinál, és hogyan néz ki. Mondom, így azt fogja mondani, hogy ő nem idézni a könyvből:
Regisztrálja a fájlrendszer, Registry, hálózatok, folyamatok, áramlások, és a képek letöltésére, valós időben.
Ha csak futni ProcMon munkaablakba a program azonnal tele különböző eseményeket, akkor is, ha nem csinál semmit. Ahhoz, hogy megértsük ezeket az eseményeket, és megtalálja még a tapasztalt mester nagyon nehéz. És nem kell, de az első dolog az első.
Leggyakrabban ProcMon futtatni egy adott célra, például annak meghatározására, hogy mi teszi az egyik vagy másik program, a folyamat az írás fájlokat egy külön könyvtárba, vagy az ághoz, ahol működik a lemezterület, stb Ezért, ha csak zapusit ProcMon akkor kell megállítani gyűjtő események (Ctrl + E), tiszta már összegyűjtött események (Ctrl + X), beállított szűrők (Ctrl + L), és indítsa újra az ellenőrző. Annak érdekében, hogy ennyi felesleges mozgási parancssori / NOCONNECT.
Futó ezzel az opcióval indít Procmon, de nem kezdi megfigyelni, ahelyett, azonnal megnyitja a szűrő ablakot.
Általában a könnyű indítás, én (és azt tanácsolom mindenkinek, hogy ne), az összes leírt ugyanebben a könyvben:
Szűrők ProcMon
Mint már említettük a szűrő ablak nyílik meg, ha elindítja a paraméter / NOCONNECT. Ha véletlenül zárja le, vagy kell csípés már hangolt szűrők, nyissa ki a szűrő ablak kombinációja lehet a kulcs a Ctrl + L vagy a menün keresztül Filter | Szűrő ....
Tehát megvan a gyakorlat 🙂
Hogyan ellenőrzi a rendszerleíró adatbázis, már elmondtam. így most megtanulják, hogy figyelemmel kíséri a fájlrendszer. Például, nyomon követhetjük, hogy milyen változtatásokat tesz egy hagyományos notebook.
Tehát kinyitotta az ablakot szűrőket.
Mindenesetre, nyomja meg a gombot, hogy állítsa vissza a szűrő az alapértelmezett állapotba - Reset (gyári ProcMon konfigurálva ábrát szűrők, nem ajánlatos eltávolítani őket) és szűrők hozzáadása
Folyamat neve van notepad.exe tartalmazzák.
Kattintson a Hozzáadás gombra. Mint látható, a cím kerül rögzítésre kerül csak az események kapcsolódó folyamatot notepad.exe, azaz azokat az eseményeket, amely előállítja a könyvjelzőt.
Egy fontos pont: a folyamat nevét teljesen meg kell adni - a kiterjesztése, különben ProcMon nem tudja megragadni semmit. Másik lehetőség, hogy használja a szűrőt
Folyamat neve kezdődik jegyzettömb közé
Ebben az esetben fogja fogni kapcsolatos eseményt a folyamat kezdődik a jegyzettömb, ez lehet akár egy szabványos notebook, és Notepad ++. vagy néhány jegyzetek. Ugyanígy hozzá a szűrőt, hogy írjon fájlokat:
A működés WriteFile közé
Kattintson a Hozzáadás, majd az OK (általában akkor csak az OK gombra. Ebben az esetben ProcMon azt mondják, hogy egy ilyen szűrő még nincs, és kérjen akar-ha hozzátesszük azt. Az a tény, hogy a gomb bezárja az OK Szűrő doboz, ha nem az egyetlen szűrő a legjobb, ha a hozzáadás gombra. ez növeli a szűrőt, és hagyja nyitva a következő filter doboz).
Mivel mi érdekli csak a fájl aktivitást, tiltsa ikonok nyomon követése adatbázis, hálózat és folyamatok a fő ablakban ProcMon - így csak figyelemmel kíséri a fájlrendszer (a képen a lenti képen).
Egy másik fontos pont.
Alapértelmezett ProcMon rendszer minden tevékenységét, még azok az események, amelyek nem tartoznak a szűrőket, amelyek egyes esetekben oda vezethet, hogy a lassulás a munka. Ha biztos abban, hogy a szűrők vannak-e beállítva (ebben a példában, biztosak vagyunk benne,), és nem szeretné, eseményeket, amelyek rejtve az őket - lehet dobni a Filter opciók | Csepp szűrt események (szűrő eltávolítása események) a Filter menüben. Ez a paraméter csak akkor érvényes, a regisztrációs aktuális események, a korábban felvett eseményeket a naplóban nem törlődnek.
Miután a szűrőket úgy vannak kialakítva, hogy összegyűjtse távon események (a nagyító gombot, vagy a Ctrl + E). Indítsuk el a notebook, írjon egy szöveget, és mentse a fájlt. Nézd, mi történt:
Fájl tevékenység ProcMon
Amint látható skrinoshota ProcMon rögzített fájl bejegyzések esemény notepad.exe eljárás azon az úton, a C: \ temp \ test.txt.
Rajzolj egy másik kísérletet.
A rögzítés leállításához események (Ctrl + E), a Acro pad és megtisztítani az összegyűjtött események (Ctrl + X). Hívja a mappa (Ctrl + L), Reset szűrők (Reset) gombot, és adjuk hozzá a következő szűrőt:
Path kezdődik c: \ temp \
Ily módon jelzik, hogy mi érdekel minden olyan tevékenység, azon az úton, a C: \ temp. És mivel a megadott érték nem pontos (nem van. És kezdődik), akkor ragadja meg az eseményt, nem csak ezt a könyvtárat, hanem az összes alkönyvtárat.
Ellenőrizze, hogy benne csak megfigyelés fájlrendszer (ha visszaállítja az összes szűrőt állítsa vissza az alapértelmezett állapot)
Szűrők ProcMon
Indítsuk el a megfigyelés. Nyissa meg a Explorer és mozgassa a magunk módján. Nézd ProcMon.
A megnyitás óta a katalógus néz ProcMon
Lesz egy csomó esemény számunkra felfoghatatlan, de nem kell nekünk, csak nézd meg, hogy hány esemény történik, ha csak megy a katalógusban.
Meg tudja nyitni a fájlt, és milyen káosz lesz ProcMon. Ezért soha nem ajánlom ProcMon futni, csak hogy lásd, mi folyik a rendszerben.
Ahhoz, hogy lásd magad a fájl olvasható események, stop események gyűjtésére, tiszta eredmény ablakban adja szűrő
A működés readfile
majd újra megnyitja a fájlt.
Meg kell kinéznie (mint látható a képen, kinyitottam a fájlt két különböző folyamat):
És itt van, hogy a fájl olvasható ProcMon
Ez egy ilyen egyszerű módon lehet kideríteni, ki írja a fájlokat egy adott könyvtárban. Ismét megjegyzem, hogy ez még nem minden, hogy képes ProcMon, csak a jéghegy csúcsa. Ahhoz, hogy jobban ismerik, azt javasoljuk, olvassa el a könyvet „Sysinternals segédprogramok. Administrator kézikönyve „, és meg több információt az interneten, például a YouTube-on. vagy TechDays. By the way, TechDays nyilvántartást a Mark Rusinovicha magyar fordítás 🙂