Procesa monitora izpratne
Šodien šajā Geek skolas izdevumā mēs iemācīsim jums, kā Process Monitor lietderība ļauj jums palūrēt zem pārsega un redzēt, ko jūsu iecienītākās lietojumprogrammas patiešām dara aiz ainas - kādus failus viņi izmanto, reģistra atslēgas un citas iespējas.
SKOLAS NAVIGĀCIJA- Kādi ir SysInternals rīki un kā tos lietojat?
- Process Explorer izpratne
- Process Explorer izmantošana, lai novērstu un diagnosticētu
- Procesa monitora izpratne
- Procesa monitora izmantošana, lai novērstu un atrastu reģistra sistēmas
- Izmantojot Autoruns, lai risinātu palaišanas procesus un ļaunprātīgu programmatūru
- BgInfo izmantošana sistēmas informācijas parādīšanai darbvirsmā
- PsTools izmantošana citu datoru vadīšanai no komandrindas
- Failu, mapju un disku analīze un pārvaldīšana
- Rīku apvienošana un lietošana kopā
Atšķirībā no procesa pārlūka utilīta, ko mēs pavadījām dažas dienas, Process Monitor ir domāts par pasīvo skatījumu uz visu, kas notiek jūsu datorā, nevis par aktīvu rīku, lai nogalinātu procesus vai slēgtu rokturus. Tas ir tāds, kā katram notikumam, kas notiek jūsu Windows datorā, aplūkot globālu logfile.
Vai vēlaties saprast, kuras reģistra atslēgas jūsu iecienītākā lietojumprogramma patiešām saglabā? Vēlaties noskaidrot, kādus failus pakalpojums skar un cik bieži? Vēlaties redzēt, kad lietojumprogramma savienojas ar tīklu vai atver jaunu procesu? Tas ir process Monitor uz glābšanu.
Mēs vairs nedarām daudz reģistra banalizētus rakstus, bet, kad mēs pirmo reizi sākām, mēs izmantotu Process Monitor, lai noskaidrotu, kādas reģistra atslēgas tika piekļūtas, un pēc tam pāriet tās reģistra atslēgas, lai redzētu, kas notiks. Ja esat kādreiz domājuši, kā daži geek sapratuši reģistra kapāt, ka neviens nekad nav redzējis, tas, iespējams, bija ar Process Monitor.
Process Monitor lietderība tika izveidota, apvienojot divus dažādus vecās skolas pakalpojumus kopā, Filemon un Regmon, kas tika izmantoti, lai uzraudzītu failus un reģistra darbību, kā to norāda nosaukumi. Lai gan šie komunālie pakalpojumi joprojām ir pieejami, un, lai gan tie var atbilst jūsu konkrētajām vajadzībām, jūs būtu daudz labāk, ja jūs varat apstrādāt procesus ar monitoru, jo tas var rīkoties ar lielu notikumu apjomu, jo tas ir paredzēts tā izpildei..
Ir arī vērts atzīmēt, ka Process Monitor vienmēr prasa administratora režīmu, jo tas ielādē kodola draiveri zem pārsega, lai attēlotu visus šos notikumus. Operētājsistēmā Windows Vista un jaunākā versijā tiks parādīts dialoglodziņš UAC, bet XP vai 2003, jums būs jāpārliecinās, ka jūsu izmantotajam kontam ir administratora tiesības.
Notikumi, kas apstrādā monitoru
Process Monitor uztver tonnu datu, bet tas nesaprot katru lietu, kas notiek datorā. Piemēram, Process Monitor nerūpējas, ja pārvietojat peli, un tas nezina, vai jūsu vadītāji darbojas optimāli. Tas netiks izsekot, kuri procesi ir atvērti un izšķērdēt CPU datorā - tas ir process Explorer Explorer darbs.
Ko tas dara, ir sagūstīt konkrētus I / O (ievades / izejas) operāciju veidus, neatkarīgi no tā, vai tie notiek caur failu sistēmu, reģistru vai pat tīklu. Tas papildus izsekos dažus citus notikumus ierobežotā veidā. Šis saraksts aptver notikumus, kurus tas uztver:
- Reģistrs - tas varētu būt atslēgu izveide, lasīšana, dzēšana vai to vaicāšana. Jūs būsiet pārsteigti, cik bieži tas notiek.
- Failu sistēma - tas varētu būt failu izveide, rakstīšana, dzēšana utt., un tas var būt gan vietējiem cietajiem diskiem, gan tīkla diskiem.
- Tīkls - tas parādīs TCP / UDP datplūsmas avotu un galamērķi, bet diemžēl tas neuzrāda datus, padarot to mazliet mazāk noderīgu.
- Process - Tie ir notikumi procesiem un pavedieniem, kuros sākas process, pavediens sākas vai iziet utt. Tas var būt noderīga informācija dažos gadījumos, bet bieži vien kaut ko vēlaties aplūkot procesa pārlūkā.
- Profilēšana - Šie notikumi tiek uztverti ar procesa monitoru, lai pārbaudītu katra procesa procesora laiku un atmiņas izmantošanu. Atkal, jūs, iespējams, gribētu izmantot Process Explorer, lai izsekotu šīs lietas lielākai daļai, bet tas ir noderīgi šeit, ja tas ir nepieciešams.
Tātad Process Monitor var uztvert jebkura veida I / O operācijas, neatkarīgi no tā, vai tas notiek caur reģistru, failu sistēmu vai pat tīklu - lai gan faktiskie dati tiek rakstīti. Mēs tikai skatāmies uz to, ka process raksta vienā no šīm plūsmām, lai mēs vēlāk varētu uzzināt vairāk par to, kas notiek.
Procesa monitora saskarne
Kad jūs pirmo reizi ielādēsit Process Monitor interfeisu, jums tiks parādīts milzīgs datu rindu skaits, ātrāk nokļūstot vairāk datu, un tas var būt milzīgs. Galvenais ir vismaz dažas idejas par to, ko jūs meklējat, kā arī to, ko jūs meklējat. Tas nav veids rīks, ko jūs pavadāt relaksējošu dienu pārlūkojot, jo ļoti īsā laika periodā jūs skatīsieties miljoniem rindu.
Pirmā lieta, ko vēlaties darīt, ir filtrēt šos miljonus rindu līdz daudz mazākai datu apakškopa, kuru vēlaties redzēt, un mēs jums iemācīsim, kā izveidot filtrus un nulles tieši tajā, ko vēlaties atrast . Bet vispirms jums jāsaprot saskarne un kādi dati ir pieejami.
Aplūkojot noklusējuma kolonnas
Noklusējuma slejās ir redzama noderīga informācija, bet jums noteikti būs nepieciešams konteksts, lai saprastu, kādi dati katrs no tiem patiešām satur, jo daži no tiem var izskatīties kā slikti, ja tie ir patiešām nevainīgi notikumi, kas notiek visu laiku. pārsegs. Lūk, ko izmanto katrai noklusējuma slejai:
- Laiks - šī sleja ir diezgan pašsaprotama, tā parāda precīzu notikuma laiku.
- Procesa nosaukums - procesa nosaukums, kas radīja notikumu. Tas neuzrāda noklusējuma pilnu faila ceļu, bet, ja jūs virziet kursoru virs lauka, jūs varat redzēt, kurš process tā bija.
- PID - procesa procesa ID, kas radīja notikumu. Tas ir ļoti noderīgi, ja jūs mēģināt saprast, kurš process svchost.exe radīja notikumu. Tas ir arī lielisks veids, kā izolēt vienu uzraudzības procesu, pieņemot, ka šis process pats neatjaunojas.
- Darbība - tas ir tās operācijas nosaukums, kas tiek reģistrēta, un ir ikona, kas atbilst vienam no notikumu veidiem (reģistrs, fails, tīkls, process). Tie var būt nedaudz mulsinoši, piemēram, RegQueryKey vai WriteFile, bet mēs centīsimies palīdzēt ar pārpratumiem.
- Ceļš - tas nav procesa ceļš, tas ir ceļš uz jebkuru, kas šajā pasākumā tika strādāts. Piemēram, ja ir notikums WriteFile, šajā laukā tiks parādīts pieskāriena faila vai mapes nosaukums. Ja tas būtu reģistra notikums, tas parādītu pilnu piekļuves atslēgu.
- Rezultāts - Tas parāda operācijas rezultātu, kas kodē kā SUCCESS vai ACCESS DENIED. Kaut arī jums varētu rasties kārdinājums automātiski pieņemt, ka BUFFER TOO SMALL nozīmē, ka noticis kaut kas patiešām slikts, tas lielākoties nav tas gadījums..
- Detalizēta informācija - papildu informācija, kas bieži netiek pārvērsta parastajā geek problēmu novēršanas pasaulē.
Varat arī pievienot dažas papildu kolonnas noklusētajam attēlam, dodoties uz Opcijas -> Atlasīt kolonnas. Tas nebūtu mūsu ieteikums jūsu pirmajai pieturai, kad sākat testēšanu, bet, tā kā mēs izskaidrojam slejas, tas jau ir vērts pieminēt.
Viens no iemesliem, kāpēc displejā tiek pievienotas papildu kolonnas, ir tāds, ka jūs varat ātri filtrēt šos notikumus, neapmierinot datus. Šeit ir dažas no papildu slejām, kuras mēs izmantojam, bet dažiem citiem sarakstā esošās personas var izmantot, atkarībā no situācijas.
- Komandrinda - kamēr jūs varat divreiz uzklikšķināt uz jebkura notikuma, lai redzētu komandrindas argumentus procesam, kas ģenerēja katru notikumu, var būt lietderīgi ātri apskatīt visas iespējas.
- Kompānijas nosaukums - galvenais iemesls, kāpēc šī sleja ir noderīga, ir tā, ka jūs varat vienkārši izslēgt visus Microsoft notikumus un sašaurināt monitoringu uz visu pārējo, kas nav Windows daļa. (Vēlaties pārliecināties, ka jums nav nekādu dīvainu rundll32.exe procesu, kas darbojas, izmantojot Process Explorer, jo tie varētu būt slēpj ļaunprātīgu programmatūru).
- Vecāku PID - tas var būt ļoti noderīgi, ja novēršat procesu, kurā ir daudz bērnu procesu, piemēram, tīmekļa pārlūkprogramma vai lietojumprogramma, kas palaiž skeptiskas lietas kā citu procesu. Pēc tam jūs varat filtrēt pēc vecāku PID, lai pārliecinātos, ka viss tiek uzņemts.
Ir vērts atzīmēt, ka jūs varat filtrēt pēc kolonnu datiem pat tad, ja kolonna netiek rādīta, bet ir daudz vieglāk ar peles labo pogu noklikšķināt un filtrēt, nekā to izdarīt manuāli. Un jā, mēs atkal pieminējām filtrus, pat ja mēs vēl neesam tos izskaidrojuši.
Viena notikuma pārbaude
Lietu skatīšana sarakstā ir lielisks veids, kā ātri redzēt daudz dažādu datu punktu, bet tas noteikti nav vieglākais veids, kā pārbaudīt vienu datu kopu, un ir tikai tik daudz informācijas, ko varat redzēt sarakstu. Par laimi jūs varat divreiz uzklikšķināt uz jebkura notikuma, lai piekļūtu papildu informācijas dārgumu meklēšanai.
Noklusējuma notikumu cilne sniedz jums informāciju, kas lielā mērā ir līdzīga tai, ko redzējāt sarakstā, bet pievienosiet partijai nedaudz vairāk informācijas. Ja meklējat failu sistēmas notikumu, jūs varēsiet redzēt noteiktu informāciju, piemēram, atribūtus, faila izveides laiku, piekļuves mēģinājumu, kas tika mēģināts rakstīšanas operācijas laikā, rakstīto baitu skaitu un ilgumu.
Pārslēgšanās uz cilni Process dod jums daudz lieliskas informācijas par notikumu radošo procesu. Lai gan jūs parasti vēlaties izmantot Process Explorer, lai risinātu procesus, var būt ļoti noderīgi iegūt daudz informācijas par konkrēto procesu, kas radīja konkrētu notikumu, it īpaši, ja tas ir kaut kas, kas notika ļoti ātri un pēc tam pazuda no procesu saraksts. Tādā veidā tiek iegūti dati.
Cilne Stack ir kaut kas, kas dažkārt būs ļoti noderīgs, taču bieži vien laiki nebūs noderīgi. Iemesls, kāpēc jūs vēlaties apskatīt šo kaudzīti, ir tāds, lai jūs varētu novērst problēmu, pārbaudot moduļa kolonnu par visu, kas nav gluži pareizi.
Piemēram, iedomājieties, ka process nepārtraukti mēģināja vaicāt vai piekļūt failam, kas nepastāv, bet neesat pārliecināts, kāpēc. Jūs varat apskatīt cilni Stack un redzēt, vai ir kādi moduļi, kas nav izskatīti labi, un pēc tam tos izpētīt. Problēma var rasties novecojušai sastāvdaļai vai pat ļaunprātīgai programmatūrai.
Vai arī jūs varētu atrast, ka šeit nav nekas noderīgs, un arī tas ir labi. Ir daudz citu datu, kas jāaplūko.
Piezīmes par bufera pārplūdi
Pirms mēs pat turpināsim, mēs vēlamies atzīmēt rezultātu kodu, ko jūs sāksiet redzēt daudz sarakstā, un, balstoties uz visām līdzšinējām ģeeku zināšanām, jūs varētu mazliet domāt. Tātad, ja sākat redzēt BUFFER OVERFLOW sarakstā, lūdzu, neuzņemieties, ka kāds mēģina iebrukt jūsu datorā.
Nākamā lapa: datu, kas apstrādā monitoru, filtrēšana