Porozumenie procesu sledovania

Obsah:

Porozumenie procesu sledovania
Porozumenie procesu sledovania

Video: Porozumenie procesu sledovania

Video: Porozumenie procesu sledovania
Video: Programming - Computer Science for Business Leaders 2016 - YouTube 2024, Apríl
Anonim
Dnes v tomto ročníku Geek School vás budeme učiť o tom, ako pomôcka Process Monitor umožňuje pozrieť sa pod kapucňou a zistiť, aké sú vaše obľúbené aplikácie naozaj v zákulisí - aké súbory majú prístup, kľúče databázy Registry používanie a ďalšie.
Dnes v tomto ročníku Geek School vás budeme učiť o tom, ako pomôcka Process Monitor umožňuje pozrieť sa pod kapucňou a zistiť, aké sú vaše obľúbené aplikácie naozaj v zákulisí - aké súbory majú prístup, kľúče databázy Registry používanie a ďalšie.

ŠKOLSKÁ NAVIGÁCIA

  1. Aké sú nástroje SysInternals a ako ich používate?
  2. Pochopenie Process Explorer
  3. Používanie aplikácie Process Explorer na riešenie problémov a diagnostikovať
  4. Porozumenie procesu sledovania
  5. Používanie monitora procesov na riešenie problémov a hackerov v registri
  6. Použitie autorunov na riešenie spúšťacích procesov a malware
  7. Použitie programu BgInfo na zobrazenie informácií o systéme na pracovnej ploche
  8. Použitie programu PsTools na ovládanie iných počítačov z príkazového riadku
  9. Analýza a správa súborov, priečinkov a diskov
  10. Zbaliť a používať nástroje spoločne

Na rozdiel od pomôcky Process Explorer, ktorú sme strávili niekoľko dní, pokrýva proces monitora pasívny pohľad na všetko, čo sa deje na vašom počítači, nie je aktívny nástroj na zabíjanie procesov alebo zatváranie kliky. Je to ako pri pohľade na globálny protokol pre každú udalosť, ktorá sa stane na vašom počítači so systémom Windows.

Chcú pochopiť, ktoré kľúče databázy Registry vaša obľúbená aplikácia skutočne ukladá svoje nastavenia? Chcete zistiť, aké súbory sa dotýkajú služby a ako často? Chcete vidieť, kedy sa aplikácia pripája k sieti alebo otvorí nový proces? Je to procesný monitor na záchranu.

Nerobíme veľa článkov v registri hack, ale späť, keď sme prvýkrát začali, by sme použili nástroj Process Monitor na to, aby sme zistili, aké kľúče k registru sú prístupné, a potom vyskúšajte tie kľúče registra, aby ste zistili, čo sa stane. Ak ste niekedy premýšľali nad tým, ako nejaký geek vyriešil problém, ktorý nikto nevidí, bol to pravdepodobne prostredníctvom programu Process Monitor.

Pomôcka Process Monitor bola vytvorená kombináciou dvoch rôznych nástrojov pre staré školy, Filemon a Regmon, ktoré boli použité na sledovanie súborov a registratúrnych aktivít, ako to naznačujú ich názvy. Zatiaľ čo tieto nástroje sú stále k dispozícii a aj keď by mohli vyhovovať vašim konkrétnym potrebám, budete s Process Monitorom oveľa lepšie, pretože dokáže lepšie zvládnuť veľký objem udalostí, pretože to bolo navrhnuté tak urobiť,

Je tiež potrebné poznamenať, že Process Monitor vždy vyžaduje režim administrátora, pretože načíta všetky ovládače jadra pod kapotou na zachytenie všetkých týchto udalostí. V systéme Windows Vista a neskôr budete vyzvaný na dialógové okno UAC, ale pre XP alebo 2003, musíte sa uistiť, že účet, ktorý používate, má oprávnenia správcu.

Udalosti, ktoré zaznamenávajú sledovanie procesov

Process Monitor zachytáva tónu dát, ale nezachytáva každú vec, ktorá sa stane na vašom PC. Napríklad monitorovanie procesov je jedno, ak pohybujete myšou a nevie, či vaše ovládače pracujú optimálne. Nebude sledovať, ktoré procesy sú otvorené a zbytočne strácajú CPU na vašom počítači - to je práve úloha aplikácie Process Explorer.

To, čo robí, je zachytiť špecifické typy vstupno-výstupných (vstupných / výstupných) operácií, či už prebiehajú prostredníctvom súborového systému, registra alebo dokonca v sieti. Okrem toho bude sledovať niekoľko ďalších udalostí v obmedzenej miere. Tento zoznam zahŕňa udalosti, ktoré zaznamenáva:

  • registre - mohlo by to byť vytváranie kľúčov, čítanie, vymazávanie alebo dotazovanie. Budete prekvapení, ako často sa to stane.
  • Systém súborov - môže to byť vytváranie súborov, písanie, mazanie atď., A to môže byť pre lokálne pevné disky i pre sieťové jednotky.
  • sieť - zobrazí sa zdroj a cieľ prenosu protokolu TCP / UDP, ale bohužiaľ nezobrazuje údaje, čo je o niečo menej užitočné.
  • proces - Ide o udalosti pre procesy a vlákna, kde sa proces spúšťa, vlákno sa spúšťa alebo končí, atď. Toto môže byť v určitých prípadoch užitočnými informáciami, ale je často niečím, na čo by ste sa chceli pozrieť v aplikácii Process Explorer.
  • profilovanie - Tieto udalosti sú zachytené monitorom procesu, aby sa skontrolovalo množstvo času procesora použitého pri každom procese a využitie pamäte. Opäť budete pravdepodobne chcieť používať Process Explorer na sledovanie týchto vecí väčšinu času, ale je to užitočné tu, ak ju potrebujete.

Tak Process Monitor dokáže zachytiť ľubovoľný typ I / O operácie, či už sa to deje v registri, v systéme súborov alebo dokonca v sieti - hoci skutočné zapísané dáta nie sú zachytené. Len sa pozrieme na skutočnosť, že proces zapisuje do jedného z týchto prúdov, aby sme mohli neskôr zistiť viac o tom, čo sa deje.

Rozhranie monitorovania procesov

Pri prvom načítavaní rozhrania Process Monitor budete mať obrovský počet dátových radov s rýchlejšími dátami a môže byť ohromujúci. Kľúčom je mať aspoň nejaký nápad o tom, na čo sa pozeráte, rovnako ako o to, čo hľadáte. Nie je to typ nástroja, ktorý strávite relaxačným dňom prehliadania, pretože vo veľmi krátkom čase sa budete pozerať na milióny riadkov.
Pri prvom načítavaní rozhrania Process Monitor budete mať obrovský počet dátových radov s rýchlejšími dátami a môže byť ohromujúci. Kľúčom je mať aspoň nejaký nápad o tom, na čo sa pozeráte, rovnako ako o to, čo hľadáte. Nie je to typ nástroja, ktorý strávite relaxačným dňom prehliadania, pretože vo veľmi krátkom čase sa budete pozerať na milióny riadkov.

Prvá vec, ktorú budete chcieť urobiť, je filtrovať tie milióny riadkov nadol na oveľa menšiu podmnožinu údajov, ktoré chcete vidieť, a budeme vás naučiť, ako vytvoriť filtre a nulovať presne to, čo chcete nájsť, Po prvé, mali by ste pochopiť rozhranie a aké údaje sú skutočne k dispozícii.

Pri pohľade na predvolené stĺpce

Predvolené stĺpce zobrazujú množstvo užitočných informácií, ale určite budete potrebovať určitý kontext, aby ste pochopili, aké údaje v skutočnosti obsahujú, pretože niektoré z nich môžu vyzerať ako niečo, čo sa stalo zle, keď sú skutočne nevinné udalosti, ktoré sa stávajú nepretržite kapucne. Tu sa používa každý z predvolených stĺpcov:

  • čas - tento stĺpec je dosť jasný, ukazuje presný čas, kedy došlo k udalosti.
  • Názov procesu - názov procesu, ktorý vytvoril udalosť. Toto nezobrazuje predvolenú cestu k súboru, ale ak sa presuniete kurzorom nad pole, môžete vidieť presne to, aký proces bol.
  • PID - procesné ID procesu, ktorý generoval udalosť. Toto je veľmi užitočné, ak sa pokúšate pochopiť, ktorý proces svchost.exe vygeneroval udalosť. Je to tiež skvelý spôsob, ako izolovať jeden proces monitorovania, za predpokladu, že proces nie je znovu spustený.
  • operácie - toto je názov operácie, ktorá je zaznamenávaná a existuje ikona, ktorá sa zhoduje s jedným z typov udalostí (register, súbor, sieť, proces). Môžu to byť trochu mätúce, ako RegQueryKey alebo WriteFile, ale pokúsime sa vám pomôcť pri zmätku.
  • cesta - to nie je cesta procesu, je to cesta k tomu, na čom bola táto udalosť spracovaná. Ak napríklad došlo k udalosti WriteFile, v tomto poli sa zobrazí názov súboru alebo adresy, ktoré sa dotýkajú. Ak sa jedná o udalosť databázy Registry, zobrazí sa prístup k úplnému kľúču.
  • výsledok - Zobrazuje výsledok operácie, ktorá kóduje ako SUCCESS alebo ACCESS DENIED. Zatiaľ čo by ste mohli byť pokúšaní automaticky predpokladať, že BUFFER TOO SMALL znamená niečo naozaj zlé, to v skutočnosti nie je prípad väčšinu času.
  • detail - dodatočné informácie, ktoré sa často neprekladajú do bežného svete na riešenie problémov.

Môžete tiež pridať niekoľko ďalších stĺpcov na predvolené zobrazenie tým, že prejdete na položku Možnosti -> Vybrať stĺpce. Toto by nebolo naším odporúčaním pre vašu prvú zastávku, keď začnete testovať, ale keďže vysvetľujeme stĺpce, stojí za to spomenúť už to.

Jeden z dôvodov pre pridanie ďalších stĺpcov na displej je tak, že môžete veľmi rýchlo filtrovať podľa týchto udalostí bez toho, aby ste boli ohromení dátami. Tu je niekoľko ďalších stĺpcov, ktoré používame, ale v závislosti od danej situácie by ste mohli nájsť použitie pre niektorých ďalších v zozname.
Jeden z dôvodov pre pridanie ďalších stĺpcov na displej je tak, že môžete veľmi rýchlo filtrovať podľa týchto udalostí bez toho, aby ste boli ohromení dátami. Tu je niekoľko ďalších stĺpcov, ktoré používame, ale v závislosti od danej situácie by ste mohli nájsť použitie pre niektorých ďalších v zozname.
  • Príkazový riadok - zatiaľ čo môžete poklepať na ľubovoľnú udalosť a zobraziť argumenty príkazového riadku pre proces, ktorý vygeneroval každú udalosť, môže byť užitočné rýchlo prehľadať všetky možnosti.
  • meno spoločnosti - Hlavným dôvodom, prečo je tento stĺpec užitočný, je jednoducho vylúčiť všetky udalosti spoločnosti Microsoft rýchlo a zúžiť monitorovanie na všetko, čo nie je súčasťou systému Windows. (Budete sa chcieť ubezpečiť, že nemáte žiadne podivné procesy rundll32.exe spustené pomocou Process Explorer, pretože tieto by mohli skrývať škodlivý softvér).
  • Nadradený PID - to môže byť veľmi užitočné, ak riešite problémy s procesom, ktorý obsahuje mnoho podradených procesov, ako je napríklad webový prehliadač alebo aplikácia, ktorá vedie k ďalším procesom spustenie skeletových vecí. Potom môžete filtrovať podľa PID, aby ste sa uistili, že všetko zachytíte.

Stojí za zmienku, že môžete filtrovať podľa údajov stĺpcov aj vtedy, ak sa stĺpec nezobrazuje, ale je to oveľa jednoduchšie kliknúť pravým tlačidlom a filtrovať, ako manuálne. A áno, opäť sme spomenuli filtre, hoci sme ich ešte nevysvetlili.

Skúmanie jedinej udalosti

Prezeranie vecí v zozname je skvelý spôsob, ako rýchlo vidieť veľa rôznych dátových bodov naraz, ale určite nie je najjednoduchší spôsob, ako preskúmať jediný údaj a existuje len toľko informácií, ktoré môžete vidieť v zoznam. Našťastie môžete dvojitým kliknutím na akúkoľvek udalosť získať prístup k pokladom dodatočných informácií.

Predvolená karta Udalosť vám poskytuje informácie, ktoré sú do značnej miery podobné tým, ktoré ste videli v zozname, ale do strany pridáte trochu viac informácií. Ak sa pozeráte na udalosť súborového systému, budete môcť vidieť určité informácie, ako sú atribúty, čas vytvárania súborov, prístup, ktorý sa pokúsil počas operácie zápisu, počet bajtov, ktoré boli napísané, a trvanie.

Prepnutím na kartu Proces získate veľa skvelých informácií o procese, ktorý vyvolal udalosť. Zatiaľ čo spravidla budete chcieť použiť Process Explorer na spracovanie procesov, môže byť veľmi užitočné mať veľa informácií o konkrétnom procese, ktorý vytvoril konkrétnu udalosť, najmä ak je to niečo, čo sa stalo veľmi rýchlo a potom zmizlo z zoznam procesov. Takto sa dáta zachytia.
Prepnutím na kartu Proces získate veľa skvelých informácií o procese, ktorý vyvolal udalosť. Zatiaľ čo spravidla budete chcieť použiť Process Explorer na spracovanie procesov, môže byť veľmi užitočné mať veľa informácií o konkrétnom procese, ktorý vytvoril konkrétnu udalosť, najmä ak je to niečo, čo sa stalo veľmi rýchlo a potom zmizlo z zoznam procesov. Takto sa dáta zachytia.
Záložka Zásobník je niečo, čo bude niekedy veľmi užitočné, ale často časy nebudú vôbec užitočné. Dôvodom, prečo by ste sa chceli pozrieť na zásobník, je, aby ste mohli riešiť problémy skúmaním stĺpca modulu pre všetko, čo nevyzerá úplne správne.
Záložka Zásobník je niečo, čo bude niekedy veľmi užitočné, ale často časy nebudú vôbec užitočné. Dôvodom, prečo by ste sa chceli pozrieť na zásobník, je, aby ste mohli riešiť problémy skúmaním stĺpca modulu pre všetko, čo nevyzerá úplne správne.

Napríklad, predstavte si, že proces sa neustále pokúšal vyhľadávať alebo pristupovať k súboru, ktorý neexistuje, ale neviete prečo.Môžete sa pozrieť cez kartu Stack a zistiť, či existujú nejaké moduly, ktoré nevyzerali správne a potom ich preskúmať. Môžete zistiť, či je zastaraný komponent alebo dokonca škodlivý softvér spôsobuje problém.

Môžete tiež zistiť, že pre vás nie je nič užitočné, a to je tiež v poriadku. Existuje veľa ďalších údajov, na ktoré sa môžete pozrieť.
Môžete tiež zistiť, že pre vás nie je nič užitočné, a to je tiež v poriadku. Existuje veľa ďalších údajov, na ktoré sa môžete pozrieť.

Poznámky k pretečeniu vyrovnávacej pamäte

Než budeme pokračovať ďalej, budeme chcieť zaznamenať výsledný kód, že sa začnete veľmi pozerať na zozname a na základe všetkých vašich geekových poznatkov, môžete sa trošku vystrašiť. Takže ak začnete vidieť BUFFER OVERFLOW v zozname, nepredpokladajte, že sa niekto pokúša narušiť váš počítač.

Ďalšia stránka: Filtrovanie údajov, ktoré spracovávajú sledovanie monitorov

Odporúča:

Porozumenie a správa služieb Windows

Porozumenie a správa služieb Windows

V dnešnej lekcii Geek School vás budeme naučiť o službách Windows a ich správe pomocou vstavaných nástrojov.

Bezpečnosť online: porozumenie hackerom, phisérom a zločincom

Bezpečnosť online: porozumenie hackerom, phisérom a zločincom

Boli ste niekedy obeťou krádeže identity? Bol niekedy zaseknutý? Tu je prvý zo série dôležitých informácií, ktoré vám pomôžu zblúžiť proti prekvapivo vystrašenému svetu hackerov, phisrov a počítačových kriminálnikov.

Z okna Tipy: Zmena veľkosti okien, obsahujúce kurzor myši a porozumenie konfigurácii batérie

Z okna Tipy: Zmena veľkosti okien, obsahujúce kurzor myši a porozumenie konfigurácii batérie

Každý týždeň sa ponoríme do tašky na čítanie a vytrhávame tipy a triky, ktoré môžete zdieľať. Tento týždeň sa pozrieme na super jednoduchú skratku pre zmenu veľkosti priečinkov, ako obsahovať myši v nastavení pre viaceré monitory a ako skontrolovať konfiguráciu batérie.

Opýtajte sa How-To Geek: Dropbox v ponuke Štart, porozumenie symbolickým odkazom a ripovanie TV seriálov DVD

Opýtajte sa How-To Geek: Dropbox v ponuke Štart, porozumenie symbolickým odkazom a ripovanie TV seriálov DVD

Tento týždeň sa pozrieme na to, ako začleniť program Dropbox do ponuky Štart systému Windows, porozumieť a používať symbolické prepojenia a ako ripovať svoje DVD série TV priamo na jedinečné a kvalitné súbory epizód.

Porozumenie a vytváranie tried: Windows Phone 7.5 vývoj aplikácií Mango - časť 11

Porozumenie a vytváranie tried: Windows Phone 7.5 vývoj aplikácií Mango - časť 11

V tejto časti nášho seriálu Windows Phone 7.5 Mango Apps pre vývojárov sa dozvieme, aké sú triedy a ako sa vytvárajú vlastné triedy.