Procesa monitora izmantošana, lai novērstu un atrastu reģistra sistēmas

Šodienas Geek skolas izdevumā mēs iemācīsim, kā izmantot Process Monitor, lai faktiski veiktu traucējummeklēšanu un norādītu uz reģistra hacks, ko jūs nezināt citādi.

1. Kādi ir SysInternals rīki un kā tos lietojat?
2. Process Explorer izpratne
3. Process Explorer izmantošana, lai novērstu un diagnosticētu
4. Procesa monitora izpratne
5. Procesa monitora izmantošana, lai novērstu un atrastu reģistra sistēmas
6. Izmantojot Autoruns, lai risinātu palaišanas procesus un ļaunprātīgu programmatūru
7. BgInfo izmantošana sistēmas informācijas parādīšanai darbvirsmā
8. PsTools izmantošana citu datoru vadīšanai no komandrindas
9. Failu, mapju un disku analīze un pārvaldīšana
10. Rīku apvienošana un lietošana kopā

Process Monitor ir viens no iespaidīgākajiem instrumentiem, kas var būt jūsu instrumentu komplektā, jo nav gandrīz nekāda cita veida, lai redzētu, ko lietojumprogramma faktiski dara zem pārsega. Tas ir vienīgais veids, kā uzzināt, kādi faili tiek rakstīti, ar kuru procesu, un kur lietas tiek glabātas reģistrā un kādi faili tiem piekļūst.

Mēs sāksim darbu ar šodienas nodarbību, apskatot, kā atrast reģistra atslēgas, izmantojot Windows iestatīšanas dialogus un procesu monitoru, un tad mēs izskatīsim faktisko traucējummeklēšanas scenāriju, kas mums radās vienā no mūsu datoriem laboratorijā, un viegli atrisināt izmantojot Process Monitor.

Process Explorer izmantošana, lai atrastu reģistra atslēgas kopējiem iestatījumiem

Ikviens ir noklikšķinājis uz izvēles rūtiņas vai kādā brīdī nomainījis nolaižamā lodziņa vērtību, bet vai esat kādreiz domājuši, kur šīs vērtības faktiski tiek glabātas? Daudzas lietojumprogrammas un praktiski viss sistēmā Windows tiek glabātas reģistrā ... kaut kur.

Šodienas piemērā mēs izmantosim pirmo uzdevumu uzdevumjoslas un navigācijas rekvizītu pirmajā rūtī, kas ir dialoglodziņš, kas jāparedz visās Windows versijās. Tāpēc tagad mūsu misija ir noskaidrot, kur šis iestatījums faktiski tiek glabāts reģistrā. Jūs varat sekot līdzi šim konkrētajam iestatījumam vai arī varat izmēģināt kādu no citiem iestatījumiem tajā pašā dialoglodziņā - vai jebkur citur, kur vēlaties atrast slēpto iestatījumu atrašanās vietu.

Pirmā lieta, ko vēlaties darīt, mēģinot iegūt datu kopu, ir uzsākt Process Monitor un pēc tam mainīt iestatījumu. Tajā brīdī jūs varat pārtraukt Process Monitor turpināt sagūstīt notikumus, tāpēc saraksts netiek kontrolēts. (Padoms: izvēlnei File ir iespēja, vai tā ir trešā ikona no kreisās puses).

Tagad, kad sarakstā ir daudz datu, ir pienācis laiks filtrēt sarakstu, lai samazinātu to rindu skaitu, kas mums būs jāpārskata. Tā kā mēs aplūkojam reģistra vērtību, kas tiek mainīta, mums būs jāfiltrē “RegSetValue”, kas ir tas, ko Windows izmanto, lai faktiski iestatītu reģistra atslēgu uz jaunu iestatījumu. Izmantojiet opciju “Iekļaut”, lai parādītu tikai šiem notikumiem.

Tagad jūsu sarakstam vajadzētu būt tikai reģistra atslēgām, kas tika mainītas, tāpēc ir pienācis laiks apskatīt notikumus un mēģināt noskaidrot, kura reģistra atslēga tā varētu būt. Tā kā mēs pārbaudām iestatījumu “Bloķēt uzdevumjoslas”, un viens no iestatītajiem reģistra atslēgas vārdiem ietver vārdu “uzdevumjosla”, kas ir laba vieta, kur sākt. Ar peles labo pogu noklikšķiniet uz ceļa un izvēlieties Pārlēkt uz atrašanās vietu.

Process Monitor atver reģistra redaktoru un iezīmēs sarakstā esošo atslēgu. Tagad mums ir jāpārliecinās, ka tas patiesībā ir pareizais taustiņš, kas ir diezgan viegli saprotams. Apskatiet iestatījumu un pēc tam apskatiet atslēgu. Tieši tagad iestatījums ir ieslēgts, un taustiņš ir iestatīts uz 0.

Lai mainītu iestatījumu, dialoglodziņā nospiediet Apply un lietojiet taustiņu F5, lai atsvaidzinātu reģistra redaktora logu. Mūsu gadījumā mēs noteikti izvēlējāmies pareizo iestatījumu, tāpēc tagad varat redzēt, ka vērtība TaskbarSizeMove ir iestatīta uz 1.

Ja neesat izvēlējies pareizo vērtību, jūs neredzēsiet izmaiņas, veicot iestatīšanas testu vēlreiz. Tātad iet un atrast nākamo loģisko vienu, un sākt no jauna.

Problēmas saistībā ar procesa monitoru

Nav īsti iespējams vienā rakstā ilustrēt, kā novērst jebkādas problēmas, kas saistītas ar Process Monitor, vai jebkuru citu rīku, lai risinātu šo jautājumu. Pastāv pārāk daudz jautājumu kombinācijas, kas varētu būt nepareizi.

Tomēr mēs varam parādīt, kā mēs faktiski izmantojām Process Monitor, lai novērstu reālu problēmu, kas faktiski notika ar vienu no mūsu testēšanas datoriem. Mums bija instalēt dažus crapware, un tad nolēmām mēģināt tīrīt datoru. Problēma bija ieraksts panelī Atinstalēt programmas, kas vienkārši nepazudīs.

Nākamā lapa: Problēmu novēršana saistībā ar procesa monitoru