Process Monitori mõistmine

Sisukord:

Process Monitori mõistmine
Process Monitori mõistmine

Video: Process Monitori mõistmine

Video: Process Monitori mõistmine
Video: $5 WiFi Camera Setup | ESP32 Wifi Setup view on Mobile phone - YouTube 2024, Aprill
Anonim
Käesolevas Geeki kooli väljaandes me õpetame teile, kuidas protsessi jälgimise utiliit võimaldab teil kapoti all näha ja näha, mida teie lemmikrakendused tegelikult stseenide taga toimivad - milliseid faile nad saavad, registrivõtmed, mida nad kasutada ja palju muud.
Käesolevas Geeki kooli väljaandes me õpetame teile, kuidas protsessi jälgimise utiliit võimaldab teil kapoti all näha ja näha, mida teie lemmikrakendused tegelikult stseenide taga toimivad - milliseid faile nad saavad, registrivõtmed, mida nad kasutada ja palju muud.

KOOLI NAVIGATSIOON

  1. Millised on SysInternalsi tööriistad ja kuidas neid kasutada?
  2. Process Exploreri mõistmine
  3. Tõrkeotsing ja diagnostika kasutades Protsessoritarkvara
  4. Process Monitori mõistmine
  5. Protsessori monitori kasutamine registrirakenduste tõrkeotsingute ja leidmiseks
  6. Autorunsi kasutamine käivitusprotsesside ja pahavara käsitlemiseks
  7. Kasutades BgInfo süsteemi kuvamiseks töölaual
  8. Kasutades käsku PsTools muude arvutite juhtimiseks käsurealt
  9. Failide, kaustade ja draivide analüüsimine ja haldamine
  10. Tööriistade koondamine ja kasutamine koos

Erinevalt Process Exploreri utiliidist, mille oleme mõnda päeva katnud, on protsessi monitor mõeldud passiivseks vaatamiseks kõike, mis teie arvutis juhtub, mitte aktiivset tööriista protsesside või sulgemiskäepidemete tapmiseks. See on nagu igaühe Windowsi PC-iga juhusliku sündmuse vaatamine globaalses logifailis.

Kas soovite mõista, millised registrivõtmed teie lemmikrakendusel tegelikult oma seaded salvestavad? Kas soovite teada saada, milliseid faile teenus puudutab ja kui tihti see on? Kas soovite näha, kas rakendus ühendab võrku või avab uue protsessi? See on protsessi monitor päästmiseks.

Me ei tee enam registri häkitamist käsitlevaid artikleid, kuid alles siis, kui alustasime esmakordselt, kasutasime Process Monitorit, et selgitada välja, millised registrivõtmed on juurdepääsetavad, ja seejärel käsku parandada neid registrivõtmeid, et näha, mis juhtuks. Kui olete kunagi mõelnud, kuidas mõni geek mõistis välja registri häkkimise, mida keegi pole kunagi näinud, oli see tõenäoliselt protsessimonitori kaudu.

Protsessori monitori utiliit loodi, ühendades kaks erinevat vana kooli utiliidi koos, Filemon ja Regmon, mida kasutati failide ja registri tegevuse jälgimiseks nende nimede tähenduses. Kuigi need kommunaalteenused on siiani kättesaadavad ja kui need sobivad teie konkreetsete vajadustega, siis oleksite protsessi monitoriga palju parem, sest see võib suuremahuliste sündmustega paremini toime tulla sellepärast, et see oli mõeldud selleks.

Samuti väärib märkimist, et Process Monitor'il on alati vaja administraatori režiimi, kuna see koormab kõiki neid sündmusi haaranud kerneli draiveri all. Windows Vista-s ja hiljem pakutakse teile UAC-i dialoogi, kuid XP või 2003 puhul peate veenduma, et teie kasutusel oleval kontol on administraatoriõigused.

Sündmused, mida protsessi jälgija lööb

Process Monitor lööb tonni andmeid, kuid see ei hõivata kõiki asju, mis juhtub teie arvutis. Näiteks, protsessimonitor ei hooli, kui liigutate oma hiirt ümber ja ta ei tea, kas teie juhid töötavad optimaalselt. See ei kavatse jälgida, millised protsessid on avatud ja teie arvutis CPU-d ära raiskama - see on ka Protseduuri Explorer töö.

Mida see teeb, on lüüa teatud tüüpi sisend / väljund (sisend / väljund) operatsioone, kas need toimuvad läbi failisüsteemi, registri või isegi võrgu. Lisaks jälgib see veel mõnda muud sündmust piiratud viisil. See loend hõlmab sündmusi, mida ta kogub:

  • Registrit - see võiks olla võtmete loomine, nende lugemine, nende kustutamine või nende pärimine. Teid üllatatakse, kui tihti see juhtub.
  • Failisüsteem - see võib olla failide loomine, kirjutamine, kustutamine jne, ja see võib olla nii kohalikele kõvakettale kui ka võrgudraiveritele.
  • Võrk - see näitab TCP / UDP liikluse allikat ja sihtkohta, kuid kahjuks ei näita see andmeid, muutes selle natuke vähem kasulikuks.
  • Protsess - Need on toimingute ja -teemade sündmused, kus protsess käivitatakse, teema käivitub või väljub jne. Selline teave võib teatud juhtudel olla kasulik teave, kuid see on sageli midagi, mida soovite uurimise käigus otsida.
  • Profiilimine - Need sündmused on salvestatud Process Monitor'iga, et kontrollida iga protsessi käigus kasutatud protsessori aega ja mälukasutust. Jällegi tahaksite tõenäoliselt kasutada Protsessoriotsijat, et neid asju kõige enam jälgida, kuid see on siin kasulik, kui seda vajate.

Nii saab protsessimonitor lüüa mis tahes tüüpi sisend- ja / või operatsioonisüsteemis, olgu see siis läbi registri, failisüsteemi või isegi võrgu - kuigi tegelikke andmeid kirjutatakse ei salvestata. Me vaatame lihtsalt asjaolu, et protsess kirjutab ühte neist voogudest, nii et hiljem saab aru sellest, mis toimub.

Protsessori monitori liides

Protsessori monitori liidese esmakordsel laadimisel pakutakse sulle tohutut arvu andmete ridu, kus on rohkem andmeid, mis lendavad kiiresti ja võivad olla ülekaalukad. Võti on vähemalt mõte, vähemalt seda, mida te vaatate, ja seda, mida te otsite. See ei ole tööriista tüüp, mida saate lõõgastava päeva sirvimiseks kulutada, sest väga lühikese aja jooksul vaatate miljoneid ridu.
Protsessori monitori liidese esmakordsel laadimisel pakutakse sulle tohutut arvu andmete ridu, kus on rohkem andmeid, mis lendavad kiiresti ja võivad olla ülekaalukad. Võti on vähemalt mõte, vähemalt seda, mida te vaatate, ja seda, mida te otsite. See ei ole tööriista tüüp, mida saate lõõgastava päeva sirvimiseks kulutada, sest väga lühikese aja jooksul vaatate miljoneid ridu.

Esimene asi, mida soovite teha, on filtreerida need miljonid read allapoole palju väiksemate andmete hulka, mida soovite näha, ja me õpetame teile, kuidas luua filtreid ja nullida täpselt, mida soovite leida. Kuid kõigepealt peaksite mõistma liidest ja millised andmed on tegelikult saadaval.

Vaadake vaikevelemente

Vaikimisi veerud näitavad toonit kasulikust teabest, kuid kindlasti vajate mõnda konteksti, et mõista, milliseid andmeid igaüks tegelikult sisaldab, sest mõned neist võivad tunduda midagi halba juhtumeid, kui nad on tõesti süütuid sündmusi, mis juhtuvad pidevalt kapuuts. Siin on kõik vaikimisi kasutatavad veerud:

  • Aeg - see veerg on üsna seletamatu, see näitab sündmuse täpse aja.
  • Protsessi nimi - sündmuse genereerinud protsessi nimi. See ei näita vaikimisi faili täielikku teekonda, kuid kui hiirekursor üle hiirekursori ilmub, näete täpselt, milline protsess see oli.
  • PID - sündmuse genereerinud protsessi ID. See on väga kasulik, kui proovite mõista, milline svchost.exe protsess genereeris sündmuse. See on ka suurepärane võimalus jälgida ühte protsessi, eeldades, et see protsess ei käivitu ise.
  • Operatsioon - see on sisselogitud operatsiooni nimi ja on ikoon, mis sobib ühe sündmuse tüübiga (registri, faili, võrgu, protsessi). Need võivad olla natuke segadusse, näiteks RegQueryKey või WriteFile, kuid me proovime ja aitavad teil segadust läbi viia.
  • Tee - see ei olegi protsessi tee, see on tee, mida selle sündmusega töötatakse. Näiteks, kui sündmus oleks WriteFile'i sündmus, näitab see väli puudutatava faili või kausta nime. Kui see oleks registri sündmus, näitab see, et pääseb juurde kogu võtmele.
  • Tulemus - See näitab toimingu tulemust, mis kodeerib näiteks SUCCESS või ACCESS DENIED. Kuigi teil võib tekkida kiusatus automaatselt eeldada, et BUFFER TOO SMALL tähendab midagi tõelist halba juhtumit, ei ole see enamikul juhtudel tegelikult tegemist.
  • Üksikasjalikult - lisateave, mis sageli ei reageeri tavapärase geeki tõrkeotsingu maailma.

Võite lisada vaikesättele ka mõne teise veeru, minnes Valikud -> vali veerud. See ei oleks meie soovitus teie esimest peatumist katsetamise alustamisel, kuid kuna me selgitame veerge, tuleb seda juba mainida.

Kujutiste täiendavate veergude lisamise põhjuseks on see, et saate neid sündmusi väga kiiresti filtreerida, ilma et need oleksid kogunenud andmetega. Siin on mõni täiendav veerg, mida me kasutame, kuid võib-olla võib seda kasutada mõnele teistele loendis olenevalt olukorrast.
Kujutiste täiendavate veergude lisamise põhjuseks on see, et saate neid sündmusi väga kiiresti filtreerida, ilma et need oleksid kogunenud andmetega. Siin on mõni täiendav veerg, mida me kasutame, kuid võib-olla võib seda kasutada mõnele teistele loendis olenevalt olukorrast.
  • Käsureal - kui saate igal sündmusel topeltklõpsata, et näha iga sündmuse genereerinud protsessi käsurea argumente, on kasulik näha kõiki võimalusi.
  • Ettevõtte nimi - peamine põhjus, miks see veerg on kasulik, on see, et saate lihtsalt kõik Microsofti sündmused kiiresti välja jätta ja seire kitsendada kogu muu, mis pole Windowsi osa. (Sa tahad veenduda, et teil pole protsessoriprotsessi kasutades käimas protsessiressurssi rundll32.exe, kuna need võivad varjata pahavara).
  • Vanemate PID - see võib olla väga kasulik, kui teete tõrkeotsingu protsessi, mis sisaldab paljusid lapseprotsesse, näiteks veebibrauserit või rakendust, mis jätab esialgsete asjade käivitamise teise protsessina. Seejärel saate filtreerida vanemate PID-iga, et veenduda, et te kõik võtate.

Väärib märkimist, et saate filtreerida veergude andmete alusel, isegi kui veergu ei näidata, kuid paremklõps ja filtreerimine on palju lihtsam, kui seda käsitsi teha. Ja jah, me mainisime filtrid uuesti, kuigi me pole neid veel selgitanud.

Üksiku ürituse uurimine

Asjade vaatamine loendis on suurepärane viis kiiresti erinevate andmepunktide kiireks nägemiseks, kuid kindlasti ei ole see lihtsam viis üksikute andmete uurimiseks, ja selles on ainult nii palju teavet, mida näete nimekiri. Õnneks võite topeltklõpsata mis tahes sündmusel, et pääseda lisateabe aarde juurde.

Vaikimisi vahekaart Seaded annab teile teavet, mis on suures osas sarnane loendis nägemisega, kuid lisab piletile natuke rohkem teavet. Kui vaatate failisüsteemi sündmust, näete, et näete teatud teavet, nagu atribuudid, failide loomise aeg, kirjutamisoperatsioonist püütud juurdepääs, kirjutatud baitide arv ja kestus.

Vahekaardi Töö üleminek annab teile palju teavet sündmuse genereerimise protsessi kohta. Kuigi tavaliselt tahate Protsessorit kasutada protsesside lahendamiseks, võib olla väga kasulik saada palju teavet konkreetset sündmust tekitanud konkreetse protsessi kohta, eriti kui see on midagi, mis juhtus väga kiiresti ja seejärel kadus protsesside nimekiri. Nii salvestatakse andmed.
Vahekaardi Töö üleminek annab teile palju teavet sündmuse genereerimise protsessi kohta. Kuigi tavaliselt tahate Protsessorit kasutada protsesside lahendamiseks, võib olla väga kasulik saada palju teavet konkreetset sündmust tekitanud konkreetse protsessi kohta, eriti kui see on midagi, mis juhtus väga kiiresti ja seejärel kadus protsesside nimekiri. Nii salvestatakse andmed.
Vahekaart Stack on midagi, mis on mõnikord väga kasulik, kuid sageli ei pruugi see üldse kasulik olla. Põhjus, miks te soovite vaadelda virna, on see, et saate tõrkeotsingut kontrollida veeru Moodul midagi, mis ei tundu üsna õige.
Vahekaart Stack on midagi, mis on mõnikord väga kasulik, kuid sageli ei pruugi see üldse kasulik olla. Põhjus, miks te soovite vaadelda virna, on see, et saate tõrkeotsingut kontrollida veeru Moodul midagi, mis ei tundu üsna õige.

Näiteks kujutage ette, et protsess üritas pidevalt küsida või pääseda failile, mis ei ole olemas, kuid te ei olnud kindel, miks.Sa võiksid vaadata vahekaarti Stack ja näha, kas seal oli ükskõik milliseid mooduleid, mis ei tundnud õigesti, ja seejärel uurida neid. Võite leida aegunud komponendi või isegi pahavara, mis põhjustab probleemi.

Või võite leida, et siin pole midagi kasulikku, ja see on ka lihtsalt hea. Uuringute tegemiseks on palju muid andmeid.
Või võite leida, et siin pole midagi kasulikku, ja see on ka lihtsalt hea. Uuringute tegemiseks on palju muid andmeid.

Märkused puhvri ülevoolu kohta

Enne kui me veel edasi minna, tahame märkida tulemuse koodi, mida hakkate loetelus palju nägema, ja tuginedes kõigile teie senistele teadmistepõhistele teadmistele, võite võõrast välja mõelda. Nii et kui hakkate loendis BUFFER OVERFLOW nägema, siis ole kindel, et keegi proovib oma arvutit häkkida.

Järgmine leht: andmete töötlemine, mida töötleva monitori pildid tehakse

Soovitan:

Windowsi teenuste mõistmine ja haldamine

Windowsi teenuste mõistmine ja haldamine

Tänapäeva Geekkooli õppetundis õpetame teile Windowsi teenuseid ja nende haldamist sisseehitatud kommunikatsioonide abil.

Android Oreo uut liikluslaadimise eeskirja mõistmine

Android Oreo uut liikluslaadimise eeskirja mõistmine

Android-i versioonid võivad meeles pidada, et rakendused, mida Play poes ei leitud, võiksid universaalselt "külglaaditud", kui märkate seadme turvaseadmete menüüs ühte kasti. Oreoga muutub see.

Apple Watchi ajalõpu mõistmine

Apple Watchi ajalõpu mõistmine

Täna tahame rääkida Time Travelist. Ei, me ei tähenda, et see toimub ajutiselt edasi ja tagasi. Pigem tahame rääkida Time Travelist, kuna see puudutab Apple Watchi, mis see on ja mida ta teeb.

Process Exploreri mõistmine

Process Exploreri mõistmine

See õppetund meie Geeki koolide seerias hõlmab protsess Exploreri, võib-olla kõige kasulikumat ja kasulikumat rakendust SysInternalsi tööriistakomplektis. Aga kui hästi teate seda utiliidi tõesti?

Windows 10 dual monitori tööriistad võimaldavad teil hallata mitut monitori

Windows 10 dual monitori tööriistad võimaldavad teil hallata mitut monitori

Dual Monitor Tools on Windows 10/8/7 jaoks tasuta dual monitori tarkvara. On oluline kasutada seda mitut monitori, kuna see pakub palju funktsioone.