Razumijevanje procesnog nadzora

Danas u ovom izdanju Geek škole ćemo vas naučiti o tome kako alat za praćenje procesa omogućuje vam zavirivanje ispod nape i vidjeti što vaši omiljeni programi stvarno rade iza pozornice - koje datoteke pristupaju, ključeve registra upotreba i još mnogo toga.

NAVIGACIJA ŠKOLE

1. Koji su alati SysInternals i kako ih koristite?
2. Razumijevanje procesa Explorer
3. Upotrebljavajući Process Explorer za otklanjanje poteškoća i dijagnosticiranje
4. Razumijevanje procesnog nadzora
5. Korištenje Process Monitor za otklanjanje poteškoća i pronalaženje hackova registra
6. Upotreba autoruna za rješavanje procesa pokretanja i zlonamjernog softvera
7. Korištenje BgInfo-a za prikaz informacija o sustavu na radnoj površini
8. Koristeći PsTools za upravljanje drugim računalima iz Command Line
9. Analiza i upravljanje datotekama, mapama i pogonima
10. Zatvaranje i upotreba alata zajedno

Za razliku od uslužnog programa Process Explorer koji smo proveli nekoliko dana pokrivanja, procesni nadglednik trebao bi biti pasivan pogled na sve što se događa na računalu, a ne kao aktivni alat za ubijanje procesa ili zatvaranje ručica. To je kao da se uvjerite u globalnu log datoteku za svaki pojedini događaj koji se događa na vašem Windows računalu.

Želite li razumjeti koje ključeve registra vaša omiljena aplikacija zapravo pohranjuje njihove postavke? Želite li otkriti koje se datoteke dodiruje usluga i koliko često? Želite li vidjeti kada se program povezuje s mrežom ili otvara novi postupak? To je Process Monitor za spašavanje.

Više ne činimo puno časopisa za registraciju, ali kada smo prvi put počeli upotrebljavati Process Monitor, otkrili smo koje ključeve registra pristupa, a zatim promijenite one ključeve registra kako biste vidjeli što će se dogoditi. Ako ste se ikad zapitali kako neki geek podrazumijevaju registraciju koju nikada nitko nije vidio, vjerojatno je to bilo preko procesnog nadglednika.

Uslužni program za praćenje procesa stvoren je kombinacijom dva različita stare školske komunalije zajedno, Filemon i Regmon, koji su korišteni za nadzor nad datotekama i registarskom aktivnošću kao što njihova imena impliciraju. Iako su ti alati još uvijek dostupni vani, i dok mogu odgovarati vašim posebnim potrebama, bit će vam puno bolje s procesnim nadglednikom jer se bolje može nositi s velikim brojem događaja zbog činjenice da je dizajniran tako da to učini ,

Također je vrijedno napomenuti da Process Monitor uvijek zahtijeva administratorski način jer učitava upravljač kernela ispod nape kako bi obuhvatio sve te događaje. Na sustavu Windows Vista i noviji, od vas će se zatražiti dijaloški okvir UAC, ali za XP ili 2003, morat ćete provjeriti ima li račun koji koristite Administratorske ovlasti.

Događaji koje proces monitor bilježi

Process Monitor bilježi tonu podataka, ali ne bilježi sve što se događa na računalu. Na primjer, Process Monitor ne brine ako pomičete miša oko sebe i ne zna je li vaši vozači optimalno funkcioniraju. Neće pratiti koji su procesi otvoreni i gubit procesor na računalu - uostalom to je posao Process Explorera.

Ono što čini jest hvatanje specifičnih vrsta I / O (Input / Output) operacija, bilo da se dogode preko datotečnog sustava, registra ili čak mreže. To će dodatno pratiti nekoliko drugih događaja na ograničen način. Ovaj popis obuhvaća događaje koje obuhvaća:

• Registar - to bi moglo biti stvaranje ključeva, čitanje, brisanje ili upitivanje. Bit ćete iznenađeni koliko često se to događa.
• Sustav datoteka - to može biti stvaranje datoteka, pisanje, brisanje itd., a može biti i za lokalne tvrde diskove i mrežne pogone.
• Mreža - to će pokazati izvor i odredište TCP / UDP prometa, ali nažalost ne prikazuje podatke, što je malo manje korisno.
• Postupak - To su događaji za procese i teme na kojima se pokreće postupak, započinje ili izlazi nit itd. To može biti korisno informacije u određenim slučajevima, ali često je ono što biste htjeli pogledati u Process Exploreru umjesto toga.
• profiliranje - Ove se događaje bilježe Process Monitor kako bi provjerili količinu vremena procesora koju koristi svaki proces, a koristi se i memorija. Opet, vjerojatno biste htjeli koristiti Process Explorer za praćenje tih stvari većinu vremena, ali ovdje je korisno ako vam je potrebna.

Tako Process Monitor može uhvatiti bilo koju vrstu I / O operacije, bilo da se to događa kroz registar, datotečni sustav ili čak i mrežu - iako stvarni podaci koji se pišu nisu snimljeni. Samo gledamo na činjenicu da jedan proces piše u jednom od tih tokova, tako da kasnije možemo saznati više o tome što se događa.

Sučelje procesnog monitora

Prilikom prvog učitavanja sučelja procesnog nadzora prikazat će vam se ogroman broj redaka podataka, s brojem podataka koji se brzo prenose i može biti neodoljiv. Ključ je da barem imate ideju o tome što gledate, kao i ono što tražite. Ovo nije vrsta alata koji provodite opuštajući dan kroz pregled, jer ćete u vrlo kratkom vremenskom razdoblju moći gledati milijune redaka.

Prva stvar koju želite učiniti jest da filtriraju one milijune redaka do mnogo manjeg podskupa podataka koje želite vidjeti, a mi ćemo vas naučiti kako izraditi filtre i nulirati se upravo ono što želite pronaći , Ali prvo, trebate razumjeti sučelje i koji su podaci zapravo dostupni.

Gledanje zadanih stupaca

Zadani stupci prikazuju tona korisnih informacija, ali sigurno ćete trebati neki kontekst kako biste razumjeli koje podatke sadrže, jer neki od njih mogu izgledati kao da se nešto loše dogodilo kada su oni doista nevini događaji koji se događaju cijelo vrijeme pod napa. Evo što se koristi za svaki zadani stupac:

• Vrijeme - ovaj stupac je prilično samo-objašnjen, pokazuje točno vrijeme kada se događaj dogodio.
• Naziv procesa - naziv procesa koji je generirao događaj. To ne prikazuje puni put do datoteke prema zadanim postavkama, ali ako zadržite pokazivač miša iznad polja, možete vidjeti točno koji je proces bio.
• PID - ID procesa procesa koji je generirao događaj. Ovo je vrlo korisno ako pokušavate shvatiti koji svchost.exe proces generira događaj. Također je odličan način izoliranja jednog procesa za praćenje, uz pretpostavku da se proces ne ponovo pokreće.
• operacija - ovo je naziv operacije koja se bilježi i postoji ikona koja se podudara s jednim od vrsta događaja (registar, datoteka, mreža, proces). To može biti malo zbunjujuće, poput RegQueryKey ili WriteFile, ali pokušat ćemo vam pomoći kroz zbunjenost.
• Staza - to nije put procesa, to je put do onoga što se događalo na ovom događaju. Na primjer, ako postoji događaj WriteFile, ovo polje će prikazati naziv datoteke ili mape koja se dotakne. Ako je to bio događaj registra, prikazivat će se puni ključ koji se pristupa.
• Proizlaziti - Ovo prikazuje rezultat operacije, koji kodira poput uspjeha ili ACCESS DENIED. Dok bi mogli biti u iskušenju da automatski pretpostavite da je BUFFER TOO SMALL znači nešto što se jako loše dogodilo, to zapravo nije slučaj većinu vremena.
• Detalj - dodatne informacije koje se često ne prevode u redoviti svijet rješavanja geekova.

Dodatne stupce možete dodati i na zadani prikaz odlaskom na Opcije -> Odabir stupaca. To ne bi bila preporuka za vašu prvu zaustavljenost kada započnete s testiranjem, ali budući da objašnjavamo stupce, već je vrijedno spomenuti.

Jedan od razloga za dodavanje dodatnih stupaca na zaslon je tako da možete vrlo brzo filtrirati pomoću tih događaja, a da ne budete preopterećeni podacima. Evo nekoliko dodatnih stupaca koje upotrebljavamo, no možda ćete ih pronaći i za neke druge osobe na popisu ovisno o situaciji.

• Zapovjedna linija - dok dvaput kliknete na bilo koji događaj da biste vidjeli argumente naredbenog retka za proces koji je generirala svaki događaj, može vam biti korisno vidjeti sve opcije na brzom pregledu.
• Naziv tvrtke - glavni razlog što je ovaj stupac koristan je tako da jednostavno možete izuzeti sve događaje u Microsoftu i ograničiti praćenje na sve ostalo što nije dio sustava Windows. (Želite biti sigurni da nemate nikakvih čudnih procesa rundll32.exe koji se pokreću koristeći Process Explorer iako su oni mogli skrivati ​​zlonamjerni softver).
• Roditelj PID - to može biti vrlo korisno pri rješavanju procesa koji sadrži mnoge procese djeteta, kao što je web preglednik ili aplikacija koja pokreće skicirane stvari kao drugi proces. Potom možete filtrirati roditeljski PID kako biste bili sigurni da sve uhvatite.

Važno je napomenuti da možete filtrirati podatke stupaca čak i ako se stupac ne prikazuje, ali je puno lakše kliknuti desnom tipkom i filtrirati nego ručno. I da, ponovno smo spomenuli filtre iako ih još nismo objasnili.

Ispitivanje jednog događaja

Gledanje stvari na popisu izvrstan je način za brzo otkrivanje mnogo različitih točaka podataka odjednom, ali definitivno nije najjednostavniji način pregledavanja pojedinačnih podataka, a tu je samo toliko informacija koje možete vidjeti u popis. Srećom, možete dvaput kliknuti na bilo koji događaj da biste pristupili troškovnici dodatnih informacija.

Zadana kartica Događaja pruža vam informacije u velikoj mjeri slične onome što ste vidjeli na popisu, ali stranci će dodati malo više informacija. Ako gledate događaj datotečnog sustava, moći ćete vidjeti određene podatke poput atributa, datuma stvaranja datoteke, pristupa koji je pokušan tijekom pisanja, broja napisanih bajtova i trajanja.

Prebacivanje na karticu Proces daje vam puno dobrih informacija o postupku koji je generirao događaj. Iako ćete obično htjeti koristiti Process Explorer za rješavanje procesa, može biti vrlo korisno imati puno informacija o određenom procesu koji je generirao određeni događaj, pogotovo ako se to dogodilo vrlo brzo, a zatim je nestalo iz popis postupaka. Na taj se način bilježe podaci.

Kartica Stack je nešto što će ponekad biti vrlo korisno, ali često vrijeme neće biti korisno. Razlog zašto biste željeli pogledati snop tako da možete otkloniti poteškoće pregledavanjem stupca Modul za sve što ne izgleda sasvim točno.

Kao primjer, zamislite da je proces stalno pokušavao upiti ili pristupiti datoteci koja ne postoji, ali niste bili sigurni zašto. Možete pogledati preko kartice Stack i vidjeti je li bilo koji modul koji nije izgledao ispravno, a zatim ih istražuje. Možda ćete pronaći zastarjeli dio ili čak zlonamjerni softver koji uzrokuje problem.

Ili, možda ćete naći da vam ovdje nema ništa korisno, a to je također dobro. Ima puno drugih podataka koje treba pogledati.

Napomene o preljevu spremnika

Prije nego što nastavimo dalje, želimo primijetiti kôd s rezultatima na koji ćete početi puno viđati na popisu, a na temelju vašeg dosadašnjeg geek znanja, mogli biste se malo iznenaditi. Dakle, ako na popisu vidite BUFFER OVERFLOW, nemojte pretpostavljati da netko pokušava hakirati vaše računalo.

Sljedeća stranica: Filtriranje podataka koje proces monitor bilježi