Hvordan bruke prosessmonitor for å spore register- og filsystemendringer

2017-03-01 11:34:10
Hoved~~Pos=Trunc·Microsoft·Hvordan bruke prosessmonitor for å spore register- og filsystemendringer

Process Monitor er et utmerket feilsøkingsverktøy fra Windows Sysinternals som viser filene og registernøklene som applikasjoner får tilgang til i sanntid. Resultatene kan lagres i en loggfil, som du kan sende den til en ekspert for å analysere et problem og feilsøke den.

Her er en guide for hvordan du fanger tilganger til register og filsystemer av applikasjoner, og genererer en loggfil ved hjelp av Process Monitor for videre analyse.

Bruk Process Monitor for å spore register- og filsystemendringer

Scenario: La oss anta at du ikke klarer å skrive til HOSTS- filen vellykket i Windows, og vil vite hva som skjer under panseret. Hvert trinn i den følgende artikkelen dreier seg om dette eksempelscenariet.

Trinn 1: Kjør prosessmonitor og konfigurering av filtre

  1. Last ned Process Monitor fra Windows Sysinternals nettsted.
  2. Pakk ut zip-filinnholdet til en mappe du ønsker.
  3. Kjør Process Monitor-applikasjonen
  4. Inkluder prosessene du vil spore aktiviteten på. For dette eksemplet vil du inkludere Notepad.exe i (Inkluder) -filtrene.
  5. Klikk på Legg til, og klikk OK .

    Tips: Du kan legge til flere oppføringer også, i tilfelle hvis du vil spore noen flere prosesser sammen med Notepad.exe . For å holde dette eksemplet enklere, la oss bare spore Notepad.exe .

    (Du vil nå se Prosessmonitor hovedvindu som sporer listen over register- og filtilganger etter prosesser i sanntid, etter hvert som de oppstår.)

  6. Fra valgmenyen klikker du på Velg kolonner .
  7. Under “Hendelsesdetaljer” aktiverer du sekvensnummer og klikker OK .

Trinn 2: Fange hendelser

  1. Åpne Notisblokk.
  2. Bytt til Process Monitor-vinduet.
  3. Aktiver “Capture” -modus (hvis den ikke allerede er PÅ). Du kan se status for “Capture” -modus via prosessmonitorverktøylinjen.
    Den uthevede knappen ovenfor er “Capture” -knappen, som er aktivert deaktivert. Du må klikke på den knappen (eller bruke Ctrl + E-tastesekvens) for å aktivere fange av hendelser.
  4. Rens opp den eksisterende hendelseslisten ved å bruke Ctrl + X-tastesekvens (Viktig) og start på nytt
  5. Bytt nå til Notisblokk og prøv å gjengi problemet .

    For å gjengi problemet (for dette eksempelet), prøv å skrive til HOSTS-filen ( C:\Windows\System32\Drivers\Etc\HOSTS ) og lagre den. Windows tilbyr å lagre filen (ved å vise Lagre som) -dialogen med et annet navn, eller på et annet sted .

    Så, hva skjer under panseret når du lagrer i HOSTS-filen? Process Monitor viser det nøyaktig.

  6. Bytt til Process Monitor-vinduet, og slå av Capturing (Ctrl + E) så snart du reproduserer problemet. Viktig merknad: Ikke bruk mye tid på å reprodusere problemet etter at du har aktivert fangst. Slå også av fotograferingen så snart du er ferdig med å reprodusere problemet. Dette er for å forhindre at Process Monitor registrerer andre unødvendige data (noe som gjør analysedelen vanskeligere). Du må gjøre alt det så raskt du kan.

    Løsning: Loggfilen over forteller oss at Notisblokk har fått en ACCESS DENIED feil når du skrev til HOSTS filen. Løsningen vil være å bare kjøre Notepad forhøyet (høyreklikk og velg “Kjør som administrator”) for å kunne skrive til HOSTS filen.

Trinn 3: Lagre output

  1. I vinduet Prosessmonitor velger du Fil- menyen og klikker Lagre
  2. Velg Native Process Monitor Format (PML), nevn utdatafilnavnet og banen, lagre filen.
  3. Høyreklikk på Logfile.PML filen, klikk Send til og velg Compressed (zipped) folder . Dette komprimerer filen med ~90% . Se på grafikken nedenfor. Du vil absolutt zip loggfilen før du sender den til noen.

Redaktørens merknad: Jeg anbefaler vanligvis mine klienter å lagre loggen med alternativet Alle hendelser, slik at jeg kan få brede alternativer for feilsøking av datamaskinen effektivt. Hvis du skal sende meg en Process Monitor-logg, må du aktivere alternativet Alle hendelser når du lagrer loggfilen. Ikke glem komprimere (.zip) loggfilen før du sender.

Det er det, lesere. For å holde dokumentasjonen enkel, har jeg brukt det enkleste eksemplet slik at en sluttbruker forstår tydelig hvordan man effektivt kan spore register- og filsystemhendelser ved å bruke Process Monitor og generere loggfilen.

Redaksjonens
Fix YouTube - video ikke tilgjengelig i ditt land [Android + datamaskin]
Programvare
Fix YouTube - video ikke tilgjengelig i ditt land [Android + datamaskin]
Last ned Norton Security 2015 med gratis abonnement på 90 dager prøveperiode
Programvare
Last ned Norton Security 2015 med gratis abonnement på 90 dager prøveperiode
Interessante Artikler
Dekodingsprosent med koding av tall (% 20) i URL-er
Dekodingsprosent med koding av tall (% 20) i URL-er
Programvare
Løs “Feil 2” når du starter Security Center Service i Windows 7
Løs “Feil 2” når du starter Security Center Service i Windows 7
Microsoft
Feil “Windows finner ikke wuapp.exe” og løsningen i Windows 10
Feil “Windows finner ikke wuapp.exe” og løsningen i Windows 10
Microsoft
[Windows 10] Vis skrivebordsikon - Fest til oppgavelinjen
[Windows 10] Vis skrivebordsikon - Fest til oppgavelinjen
Microsoft

Abonner På Nyhetsbrev
Skriv Inn Din E-Postadresse