Probabil că fiecare auto-respectând IT Schnick știe (sau cel puțin auzit) despre Process Monitor (ProcMon) de la Sysinternals.
Recent, am spus Padawan tineri cum să folosească acest minunat și, în unele cazuri, un instrument indispensabil. Și, în timp ce vorbesc a venit cu ideea de a scrie această instrucțiune introductivă pentru cei care sunt doar incepand calea spinoasă a administratorului.
În general, cred că totul despre ProcMon cel mai bine descris într-o carte de dezvoltatori, care se numește „utilități Sysinternals. Administrator de referință. "
Eu nu am de gând să merg în junglă, și să încerce să prezinte un minim de teorie și un maxim de practică cu un exemplu concret.
Rularea ProcMon
În primul rând, eu nu recomand pentru a rula ProcMon doar pentru a vedea ceea ce face și cum arată. Eu vă spun, așa că voi spune că el nu citează din carte:
Registrele sistemul de fișiere, registru, rețelele, procesele, fluxurile și imagini descărcarea în timp real.
Dacă doar executați fereastra de lucru ProcMon a programului umplut instantaneu cu diferite evenimente, chiar dacă nu faci nimic. Pentru a înțelege aceste evenimente și pentru a găsi chiar maestru experimentat foarte dificil. Și nu avem nevoie, dar primele lucruri primele.
Cel mai adesea ProcMon candida pentru un anumit scop, de exemplu, pentru a determina ceea ce face unul sau alt program, un proces de a scrie fișiere într-un anumit director sau registru ramură, în cazul în care nu spațiul de pe disc, etc. Prin urmare, dacă zapusit doar ProcMon va trebui să se oprească colectarea de evenimente (Ctrl + E), curate evenimente deja colectate (Ctrl + X), set filtre (Ctrl + L), și reporniți monitorizarea. În scopul de a face atât de mult mișcările inutile cu condiția opțiune de linie de comandă / noconnect.
Rularea cu această opțiune lansează Procmon, dar nu începe să observe, în schimb se deschide imediat fereastra de filtrare.
În general, pentru a facilita start-up, eu fac (și sfătuiesc pe toți să facă acest lucru), toate așa cum este descris în aceeași carte:
Filtre ProcMon
Așa cum sa menționat mai sus a ferestrei de filtrare se deschide atunci când porniți cu parametrul / noconnect. Dacă închideți accidental, sau trebuie să tweak filtrele deja pus la punct, deschide fereastra de filtru poate fi o combinație de taste Ctrl + L. sau prin meniul Filter | Filtru ....
Așa că am ajuns să practice 🙂
Cum de a monitoriza registru, mi-am spus deja. așa că vom învăța acum pentru a monitoriza sistemul de fișiere. De exemplu, vom ține evidența a ceea ce se schimbă face un notebook standard de.
Așa că am deschis filtrele fereastra.
În orice caz, apăsați butonul pentru a reseta filtrul la starea implicită - Reset (implicit ProcMon configurat cu fig filtre, nu este recomandat pentru a le elimina) și adăugați filtre
Procesul Numele este notepad.exe includ.
Faceți clic pe butonul Add. După cum puteți vedea din titlul va fi capturat numai evenimentele asociate cu Notepad.exe de proces, și anume acele evenimente care generează marcajul.
Un punct important: numele de proces trebuie să fie pe deplin calificat - cu extensia, în caz contrar nu ProcMon captura nimic. Alternativ, puteți utiliza un filtru
Procesul Numele începe cu Notepad includ
În acest caz, va fi capturat de evenimente asociate cu procesul care începe la carnețelul, acesta poate fi fie un notebook standard și Notepad ++. sau unele mai multe note. În același mod se adaugă filtrul pentru a scrie fișiere:
Operațiunea este WriteFile includ
Faceți clic pe Add și OK (în general, puteți să faceți clic pe OK. În acest caz, ProcMon spune că un astfel de filtru nu are încă, și întrebați doresc-dacă vom adauga. Faptul este că apăsarea butonului se închide caseta de filtrare OK, în cazul în care acesta nu este singurul filtru cel mai bine este să faceți clic pe butonul add. aceasta va adăuga filtrul și lăsați-l deschis pentru urmatoarea caseta de filtru).
Din moment ce suntem interesați de activitate fișier numai, dezactivați pictogramele de monitorizare registry, rețea și procesele în fereastra principală ProcMon - lăsând să monitorizeze numai sistemul de fișiere (prezentat în imaginea de mai jos).
Un alt punct important.
Implicit ProcMon înregistrează toate activitățile de sistem, chiar și acele evenimente care nu sunt acoperite de filtre, care, în unele cazuri, poate duce la o încetinire a activității. Dacă sunteți sigur, că filtrele sunt setate corect (în acest exemplu, suntem siguri), și nu doriți ca evenimentele care sunt ascunse de ei - acestea pot fi abandonate folosind opțiunile de filtrare | Picătură Filtrate Evenimente (Eliminare evenimente filtru) din meniul Filtru. Acest parametru este valabil numai pentru înregistrarea evenimentelor curente, evenimentele inregistrate anterior în jurnalul nu sunt șterse.
După ce filtrele sunt configurate pentru a colecta rula de evenimente (butonul lupă, sau Ctrl + E). Porniți notebook-ul, scrie un text, și salvați fișierul. Uite ce sa întâmplat:
Activitatea de fișier ProcMon
După cum se poate observa din skrinoshota ProcMon înregistrate fișier proces notepad.exe înregistrări eveniment pe calea C: \ temp \ test.txt.
Desenați un alt experiment.
Oprește capturarea evenimentelor (Ctrl + E), de Acro pad si curata evenimentele colectate (Ctrl + X). Apelați fereastra directorului (Ctrl + L), filtrele Reset (butonul de resetare), și se adaugă următorul filtru:
Calea începe cu c: \ temp \
În acest fel ne indică faptul că suntem interesați în orice activitate pe calea C: \ temp. Și pentru că valoarea dată nu este corectă (nu este. Și începe cu), acesta va fi capturat de eveniment, nu numai din acest director, dar, de asemenea, toate subdirectoarele sale.
Verificați dacă a inclus observarea numai sistemul de fișiere (când resetați toate filtrele reseta la starea implicită)
Filtre ProcMon
Începe observația. Deschideți Explorer și pentru a muta pe drumul nostru. Uită-te la ProcMon.
De la deschiderea catalogului arată ProcMon
Vor fi o mulțime de evenimente de neînțeles pentru noi, dar nu au nevoie de noi, doar uita-te la cât de multe evenimente se întâmplă atunci când te duci la catalog.
Puteți deschide fișierul și să vedem ce se va ProcMon haos. De aceea, n-am recomandăm ProcMon rula doar pentru a vedea ce se întâmplă în sistem.
Pentru a vedea pentru tine fișier citit evenimentele, opriți evenimente pentru a colecta, fereastra de rezultate curate, adăugați un filtru
Operațiunea este readfile
apoi deschideți din nou fișierul.
Ar trebui să arate ceva de genul asta (așa cum se poate vedea din captura de ecran, am deschis fișierul două procese diferite):
Și aici este modul în care fișierul citit în ProcMon
Acesta este un astfel de mod simplu, puteți afla care scrie fișiere într-un anumit director. Încă o dată, am act de faptul că acest lucru nu este tot ceea ce ProcMon capabil, este doar vârful aisbergului. Pentru a deveni mai familiarizați cu ea am recomandăm să citiți cartea „utilități Sysinternals. Administrator Manualul, „și căutați pentru mai multe informații pe Internet, cum ar fi pe YouTube. sau TechDays. Apropo, TechDays au înregistrări din traducerea Mark Rusinovicha română 🙂