Kaip naudoti „Process Monitor“ registrui ir failų sistemos pokyčiams sekti - Winhelponline

How Use Process Monitor Track Registry

„Process Monitor“ yra puikus „Windows Sysinternals“ trikčių šalinimo įrankis, kuris rodo failus ir registro raktus, kuriuos programos pasiekia realiuoju laiku. Rezultatus galima įrašyti į žurnalo failą, kurį galite nusiųsti ekspertui analizuoti problemą ir ją pašalinti.



Čia pateikiamas vadovas, kaip užfiksuoti registro ir failų sistemos prieigas programomis ir sugeneruoti žurnalo failą naudojant „Process Monitor“ tolesnei analizei.



Norėdami stebėti registro ir failų sistemos pakeitimus, naudokite „Process Monitor“

Scenarijus: Tarkime, kad negalite parašyti PASLAUGOS sėkmingai failą sistemoje „Windows“ ir norite sužinoti, kas vyksta po gaubtu. Kiekvienas tolesnio straipsnio žingsnis sukasi apie šį pavyzdinį scenarijų.

1 veiksmas: paleiskite procesoriaus stebėjimą ir konfigūruokite filtrus

  1. parsisiųsti Proceso monitorius nuo „Windows Sysinternals“ svetainėje.
  2. Ištraukite ZIP failo turinį į pasirinktą aplanką.
  3. Paleiskite „Process Monitor“ programą
  4. Įtraukite procesus, kuriais norite stebėti veiklą. Šiame pavyzdyje norite įtraukti Notepad.exe (Įtraukti) filtruose.
  5. Spustelėkite Papildyti ir spustelėkite Gerai .

    Patarimas: Taip pat galite pridėti kelis įrašus, jei norite stebėti dar kelis procesus Notepad.exe . Kad šis pavyzdys būtų paprastesnis, stebėkime tik Notepad.exe .

    (Dabar pamatysite „Process Monitor“ pagrindiniame lange stebintį registro ir failų prieigų sąrašą pagal procesus realiuoju laiku, kaip ir išrūgos.)



  6. Nuo Galimybės meniu spustelėkite Pasirinkite stulpelius .
  7. Skiltyje „Išsami įvykio informacija“ įgalinkite Eilės numeris ir spustelėkite Gerai .

2 žingsnis: fiksuokite įvykius

  1. Atidarykite „Notepad“.
  2. Perjunkite į „Process Monitor“ langą.
  3. Įjunkite „Capture“ režimą (jei jis dar neįjungtas). „Capture“ režimo būseną galite pamatyti per „Process Monitor“ įrankių juostą.
    Aukščiau paryškintas mygtukas yra mygtukas „Fiksuoti“, kuris šiuo metu yra išjungtas. Norėdami įjungti įvykių fiksavimą, turite spustelėti tą mygtuką (arba naudoti klavišus „Ctrl + E“).
  4. Išvalykite esamą įvykių sąrašą naudodami Ctrl + X klavišų seką (Svarbu) ir pradėk iš naujo
  5. Dabar pereikite prie „Notepad“ ir bandykite atkurti problemą .

    Norėdami pakartoti problemą (šiame pavyzdyje), pabandykite rašyti į HOSTS failą ( C: Windows System32 Drivers Etc HOSTS ) ir jį išsaugoti. „Windows“ siūlo failą išsaugoti (rodant dialogo langą „Išsaugoti kaip“) kitu vardu arba kitoje vietoje .

    Taigi, kas nutinka po gaubtu, kai įrašote į HOSTS failą? Proceso monitorius tai tiksliai parodo.

  6. Perjunkite į „Process Monitor“ langą ir išjunkite „Capturing“ („Ctrl“ + E), kai tik atkursite problemą. Svarbi pastaba: Negalima skirti daug laiko problemai atkurti įgalinus užfiksavimą. Panašiai išjunkite fiksavimą, kai tik baigsite atkartoti problemą. Tai neleidžia „Process Monitor“ įrašyti kitų nereikalingų duomenų (o tai apsunkina analizę). Viską turite padaryti kuo greičiau.

    Sprendimas: Aukščiau pateiktame žurnalo faile nurodoma, kad „Notepad“ susidūrė su PRIEIGA NEĮVEIKTA klaida rašant į PASLAUGOS failą. Sprendimas būtų paprasčiausiai paleisti „Notepad elevated“ (dešiniuoju pelės mygtuku spustelėkite ir pasirinkite „Run as Administrator“), kad galėtumėte rašyti PASLAUGOS failas sėkmingai.

3 žingsnis: išsaugokite išvestį

  1. Lange Proceso stebėjimas pasirinkite Failas meniu ir spustelėkite Sutaupyti
  2. Pasirinkite Gimtojo proceso stebėjimo formatas (PML) , paminėkite išvesties failo pavadinimą ir kelią, išsaugokite failą.
  3. Dešiniuoju pelės mygtuku spustelėkite Žurnalo failas.PML failą, spustelėkite Siųsti ir pasirinkite Suspaustas (uždarytas) aplankas . Tai suglaudina failą ~ 90% . Pažvelkite į žemiau pateiktą grafiką. Prieš siųsdami jį kam nors, tikrai norite užklijuoti žurnalo failą.

Redaktoriaus pastaba: Aš paprastai siūlau savo klientams išsaugoti žurnalą su Visi renginiai parinktį, kad galėčiau gauti daug galimybių efektyviai pašalinti dalyko kompiuterį. Jei ketinate man siųsti proceso stebėjimo žurnalą, būtinai įjunkite Visi įvykiai parinktį išsaugant žurnalo failą. Be to, prieš siųsdami nepamirškite suspausti (.zip) žurnalo failo.

Viskas, skaitytojai. Kad dokumentacija būtų paprasta, aš pasinaudojau paprasčiausiu pavyzdžiu, kad galutinis vartotojas aiškiai suprastų, kaip efektyviai stebėti registro ir failų sistemos įvykius naudojant „Process Monitor“ ir generuoti žurnalo failą.


Vienas nedidelis prašymas: Jei jums patiko šis įrašas, prašau pasidalinti šiuo?

Viena „mažytė“ jūsų dalis labai padėtų plėtoti šį tinklaraštį. Keli puikūs pasiūlymai:
  • Prisek tai!
  • Pasidalykite ja su savo mėgstamu tinklaraščiu + „Facebook“, „Reddit“
  • Čiupkite!
Taigi labai ačiū už palaikymą, mano skaitytojau. Tai užtruks ne daugiau kaip 10 sekundžių jūsų laiko. Bendrinimo mygtukai yra apačioje. :)