Hiểu quy trình giám sát

Mục lục:

Hiểu quy trình giám sát
Hiểu quy trình giám sát

Video: Hiểu quy trình giám sát

Video: Hiểu quy trình giám sát
Video: Rần rần mấy vụ thay DNS Google tăng tốc wifi 100 lần. #Shorts - YouTube 2024, Tháng mười một
Anonim
Hôm nay trong phiên bản Geek School, chúng tôi sẽ hướng dẫn bạn về cách tiện ích Process Monitor cho phép bạn nhìn trộm dưới mui xe và xem những ứng dụng yêu thích của bạn thực sự làm gì đằng sau hậu trường - những tệp nào họ đang truy cập, khóa registry sử dụng và hơn thế nữa.
Hôm nay trong phiên bản Geek School, chúng tôi sẽ hướng dẫn bạn về cách tiện ích Process Monitor cho phép bạn nhìn trộm dưới mui xe và xem những ứng dụng yêu thích của bạn thực sự làm gì đằng sau hậu trường - những tệp nào họ đang truy cập, khóa registry sử dụng và hơn thế nữa.

TRƯỜNG HƯỚNG DẪN

  1. Công cụ SysInternals là gì và bạn sử dụng chúng như thế nào?
  2. Tìm hiểu về Process Explorer
  3. Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
  4. Hiểu quy trình giám sát
  5. Sử dụng Process Monitor để khắc phục sự cố và tìm Registry Hacks
  6. Sử dụng Autoruns để xử lý các quá trình khởi động và phần mềm độc hại
  7. Sử dụng BgInfo để hiển thị thông tin hệ thống trên màn hình nền
  8. Sử dụng PsTools để điều khiển các PC khác từ dòng lệnh
  9. Phân tích và quản lý tệp, thư mục và ổ đĩa của bạn
  10. Kết hợp và sử dụng các công cụ cùng nhau

Không giống như tiện ích Process Explorer mà chúng tôi đã trải qua một vài ngày, Process Monitor có nghĩa là một cái nhìn thụ động về mọi thứ xảy ra trên máy tính của bạn, chứ không phải công cụ hoạt động để giết các quá trình hoặc đóng chốt. Điều này giống như việc xem qua nhật ký toàn cục cho mọi sự kiện xảy ra trên PC Windows của bạn.

Bạn muốn hiểu các khóa registry nào mà ứng dụng yêu thích của bạn thực sự đang lưu trữ các thiết lập của chúng? Bạn muốn tìm ra những gì một dịch vụ tập tin được chạm vào và bao lâu? Bạn muốn xem khi một ứng dụng đang kết nối với mạng hoặc mở một quy trình mới? Đó là Process Monitor để giải cứu.

Chúng tôi không làm nhiều bài đăng hack nữa, nhưng khi chúng tôi bắt đầu lần đầu tiên, chúng tôi sẽ sử dụng Process Monitor để tìm ra khóa registry nào đã được truy cập và sau đó chuyển các khóa registry đó để xem điều gì sẽ xảy ra. Nếu bạn đã từng tự hỏi làm thế nào một số geek tìm ra một đăng ký hack mà không ai đã từng nhìn thấy, nó có lẽ là thông qua quá trình giám sát.

Tiện ích Process Monitor được tạo ra bằng cách kết hợp hai tiện ích cũ với nhau, Filemon và Regmon, được sử dụng để giám sát các tệp và hoạt động đăng ký như tên của chúng. Mặc dù các tiện ích này vẫn có sẵn, và trong khi chúng có thể phù hợp với nhu cầu cụ thể của bạn, bạn sẽ tốt hơn nhiều với Process Monitor, vì nó có thể xử lý một khối lượng lớn các sự kiện tốt hơn do nó được thiết kế để làm như vậy.

Cũng cần lưu ý rằng Process Monitor luôn yêu cầu chế độ quản trị viên vì nó tải trình điều khiển hạt nhân dưới mui xe để nắm bắt tất cả các sự kiện đó. Trên Windows Vista trở lên, bạn sẽ được nhắc bằng hộp thoại UAC, nhưng đối với XP hoặc 2003, bạn sẽ cần đảm bảo tài khoản bạn sử dụng có đặc quyền của Quản trị viên.

Sự kiện chụp màn hình quy trình

Process Monitor nắm bắt một tấn dữ liệu, nhưng nó không nắm bắt được mọi thứ xảy ra trên PC của bạn. Ví dụ: Process Monitor không quan tâm nếu bạn di chuyển chuột xung quanh và không biết liệu trình điều khiển của bạn có hoạt động tối ưu hay không. Nó sẽ không theo dõi quá trình nào đang mở và lãng phí CPU trên máy tính của bạn - sau cùng thì đó là công việc của Process Explorer.

Những gì nó làm là nắm bắt các loại hoạt động I / O (Đầu vào / Đầu ra) cụ thể, cho dù chúng xảy ra thông qua hệ thống tệp, đăng ký hoặc thậm chí mạng. Nó cũng sẽ theo dõi một vài sự kiện khác theo cách giới hạn. Danh sách này bao gồm các sự kiện mà nó chụp:

  • Đăng ký - điều này có thể là tạo khóa, đọc chúng, xóa chúng hoặc truy vấn chúng. Bạn sẽ ngạc nhiên khi mức độ thường xuyên xảy ra.
  • Hệ thống tập tin - Điều này có thể được tạo ra tập tin, viết, xóa, vv, và nó có thể được cho cả hai ổ đĩa cứng địa phương và ổ đĩa mạng.
  • Mạng lưới - điều này sẽ hiển thị nguồn và đích của lưu lượng truy cập TCP / UDP, nhưng thật đáng buồn là nó không hiển thị dữ liệu, làm cho dữ liệu ít hữu ích hơn một chút.
  • Quá trình - Đây là các sự kiện cho các quy trình và chủ đề mà quá trình được bắt đầu, một chuỗi bắt đầu hoặc thoát, v.v. Đây có thể là thông tin hữu ích trong một số trường hợp, nhưng thường là thứ bạn muốn xem trong Process Explorer.
  • Hồ sơ - Các sự kiện này được chụp bởi Process Monitor để kiểm tra lượng thời gian xử lý được sử dụng bởi mỗi quá trình và việc sử dụng bộ nhớ. Một lần nữa, bạn có thể muốn sử dụng Process Explorer để theo dõi những thứ này hầu hết thời gian, nhưng nó hữu ích ở đây nếu bạn cần.

Vì vậy, Process Monitor có thể chụp bất kỳ loại hoạt động I / O nào, cho dù điều đó xảy ra thông qua cơ quan đăng ký, hệ thống tệp hay thậm chí là mạng - mặc dù dữ liệu thực tế được ghi không bị bắt. Chúng tôi chỉ xem xét thực tế là một quy trình được viết cho một trong các luồng này, vì vậy chúng tôi có thể tìm hiểu thêm về những gì đang xảy ra sau này.

Giao diện màn hình quy trình

Khi lần đầu tiên bạn tải lên giao diện Process Monitor, bạn sẽ thấy một số lượng lớn các hàng dữ liệu, với nhiều dữ liệu đang bay nhanh hơn và nó có thể bị áp đảo. Điều quan trọng là để có một số ý tưởng, ít nhất, về những gì bạn đang tìm kiếm, cũng như những gì bạn đang tìm kiếm. Đây không phải là loại công cụ mà bạn dành một ngày thư giãn duyệt qua, bởi vì trong một khoảng thời gian rất ngắn, bạn sẽ xem xét hàng triệu hàng.
Khi lần đầu tiên bạn tải lên giao diện Process Monitor, bạn sẽ thấy một số lượng lớn các hàng dữ liệu, với nhiều dữ liệu đang bay nhanh hơn và nó có thể bị áp đảo. Điều quan trọng là để có một số ý tưởng, ít nhất, về những gì bạn đang tìm kiếm, cũng như những gì bạn đang tìm kiếm. Đây không phải là loại công cụ mà bạn dành một ngày thư giãn duyệt qua, bởi vì trong một khoảng thời gian rất ngắn, bạn sẽ xem xét hàng triệu hàng.

Điều đầu tiên bạn cần làm là lọc hàng triệu hàng xuống đến tập hợp con nhỏ hơn nhiều dữ liệu bạn muốn xem và chúng tôi sẽ hướng dẫn bạn cách tạo bộ lọc và tìm kiếm chính xác những gì bạn muốn tìm. Nhưng trước tiên, bạn nên hiểu giao diện và dữ liệu nào thực sự có sẵn.

Nhìn vào các cột mặc định

Các cột mặc định hiển thị rất nhiều thông tin hữu ích, nhưng chắc chắn bạn sẽ cần một số ngữ cảnh để hiểu dữ liệu của mỗi dữ liệu thực sự chứa, vì một số dữ liệu có thể giống như một điều xấu xảy ra khi chúng thực sự là những sự kiện vô tội xảy ra mọi lúc mui xe. Dưới đây là những gì mỗi cột mặc định được sử dụng cho:

  • Thời gian - cột này khá tự giải thích, nó cho thấy thời gian chính xác mà một sự kiện đã xảy ra.
  • Tên quy trình - tên của quá trình tạo sự kiện. Theo mặc định, đường dẫn này không hiển thị đường dẫn đầy đủ tới tệp, nhưng nếu bạn di chuột qua trường, bạn có thể thấy chính xác quy trình đó là gì.
  • PID - ID tiến trình của quá trình tạo sự kiện. Điều này rất hữu ích nếu bạn đang cố gắng hiểu quy trình svchost.exe nào đã tạo ra sự kiện. Đó cũng là cách tuyệt vời để cô lập một quy trình duy nhất để theo dõi, giả sử quy trình đó không tự khởi chạy lại.
  • Hoạt động - đây là tên của hoạt động đang được ghi lại và có một biểu tượng khớp với một trong các loại sự kiện (đăng ký, tệp, mạng, quy trình). Đây có thể là một chút khó hiểu, như RegQueryKey hoặc WriteFile, nhưng chúng tôi sẽ cố gắng và giúp bạn vượt qua sự nhầm lẫn.
  • Con đường - đây không phải là con đường của quá trình, đó là con đường dẫn đến bất cứ điều gì đã được làm việc bởi sự kiện này. Ví dụ: nếu có sự kiện WriteFile, trường này sẽ hiển thị tên của tệp hoặc thư mục đang được chạm vào. Nếu đây là một sự kiện đăng ký, nó sẽ hiển thị toàn bộ khóa đang được truy cập.
  • Kết quả - Điều này cho thấy kết quả của hoạt động, mã này giống như SUCCESS hoặc ACCESS DENIED. Trong khi bạn có thể bị cám dỗ để tự động giả định rằng một BUFFER QUÁ NHỎ có nghĩa là một cái gì đó thực sự xấu xảy ra, đó thực sự không phải là trường hợp hầu hết thời gian.
  • Chi tiết - thông tin bổ sung thường không chuyển thành thế giới khắc phục sự cố thường xuyên của geek.

Bạn cũng có thể thêm một số cột bổ sung vào màn hình mặc định bằng cách vào Options -> Select Columns. Đây không phải là đề xuất của chúng tôi cho điểm dừng đầu tiên của bạn khi bạn bắt đầu thử nghiệm, nhưng vì chúng tôi đang giải thích các cột, điều đáng nói đến là đã có.

Một trong những lý do để thêm các cột bổ sung vào màn hình là vì vậy bạn có thể lọc rất nhanh các sự kiện đó mà không bị choáng ngợp với dữ liệu. Dưới đây là một vài cột bổ sung mà chúng tôi sử dụng, nhưng bạn có thể thấy sử dụng cho một số cột khác trong danh sách tùy thuộc vào tình huống.
Một trong những lý do để thêm các cột bổ sung vào màn hình là vì vậy bạn có thể lọc rất nhanh các sự kiện đó mà không bị choáng ngợp với dữ liệu. Dưới đây là một vài cột bổ sung mà chúng tôi sử dụng, nhưng bạn có thể thấy sử dụng cho một số cột khác trong danh sách tùy thuộc vào tình huống.
  • Dòng lệnh - trong khi bạn có thể nhấp đúp vào bất kỳ sự kiện nào để xem các đối số dòng lệnh cho quy trình tạo ra mỗi sự kiện, bạn có thể xem nhanh tất cả các tùy chọn.
  • Tên công ty - lý do chính khiến cột này hữu ích là bạn chỉ có thể loại trừ tất cả các sự kiện của Microsoft một cách nhanh chóng và thu hẹp việc giám sát của bạn sang mọi thứ khác không phải là một phần của Windows. (Bạn sẽ muốn đảm bảo rằng bạn không có bất kỳ quy trình rundll32.exe lạ nào đang chạy bằng Process Explorer, vì những quy trình này có thể ẩn phần mềm độc hại).
  • Phụ huynh PID - điều này có thể rất hữu ích khi bạn đang khắc phục sự cố một quy trình chứa nhiều quy trình con, như trình duyệt web hoặc ứng dụng tiếp tục khởi chạy những điều sơ sài như một quy trình khác. Sau đó, bạn có thể lọc theo Parent PID để đảm bảo rằng bạn nắm bắt được mọi thứ.

Cần lưu ý rằng bạn có thể lọc theo dữ liệu cột ngay cả khi cột không hiển thị, nhưng việc nhấp chuột phải và lọc dễ dàng hơn nhiều so với việc thực hiện theo cách thủ công. Và vâng, chúng tôi đã đề cập đến các bộ lọc một lần nữa mặc dù chúng tôi chưa giải thích chúng.

Kiểm tra một sự kiện

Xem mọi thứ trong danh sách là cách tuyệt vời để nhanh chóng nhìn thấy nhiều điểm dữ liệu khác nhau cùng một lúc, nhưng nó chắc chắn không phải là cách dễ nhất để kiểm tra một phần dữ liệu và chỉ có rất nhiều thông tin bạn có thể thấy trong danh sách. Rất may, bạn có thể nhấp đúp vào bất kỳ sự kiện nào để truy cập kho tàng thông tin bổ sung.

Tab Sự kiện mặc định cung cấp cho bạn thông tin phần lớn tương tự như những gì bạn thấy trong danh sách, nhưng sẽ thêm một chút thông tin cho bên đó. Nếu bạn đang xem sự kiện hệ thống tệp, bạn sẽ có thể thấy một số thông tin nhất định như thuộc tính, thời gian tạo tệp, quyền truy cập đã được thử trong quá trình ghi, số byte được viết và thời lượng.

Chuyển sang tab Quy trình cung cấp cho bạn rất nhiều thông tin tuyệt vời về quy trình đã tạo sự kiện. Mặc dù bạn thường muốn sử dụng Process Explorer để xử lý các quy trình, có thể rất hữu ích khi có nhiều thông tin về quy trình cụ thể đã tạo ra một sự kiện cụ thể, đặc biệt nếu nó xảy ra rất nhanh và sau đó biến mất khỏi danh sách quy trình. Bằng cách này, dữ liệu được thu thập.
Chuyển sang tab Quy trình cung cấp cho bạn rất nhiều thông tin tuyệt vời về quy trình đã tạo sự kiện. Mặc dù bạn thường muốn sử dụng Process Explorer để xử lý các quy trình, có thể rất hữu ích khi có nhiều thông tin về quy trình cụ thể đã tạo ra một sự kiện cụ thể, đặc biệt nếu nó xảy ra rất nhanh và sau đó biến mất khỏi danh sách quy trình. Bằng cách này, dữ liệu được thu thập.
Tab Ngăn xếp là thứ đôi khi sẽ cực kỳ hữu ích, nhưng thường thì thời gian sẽ không hữu ích chút nào. Lý do tại sao bạn muốn xem chồng là vì vậy bạn có thể khắc phục sự cố bằng cách kiểm tra cột Mô-đun cho bất kỳ điều gì có vẻ không đúng.
Tab Ngăn xếp là thứ đôi khi sẽ cực kỳ hữu ích, nhưng thường thì thời gian sẽ không hữu ích chút nào. Lý do tại sao bạn muốn xem chồng là vì vậy bạn có thể khắc phục sự cố bằng cách kiểm tra cột Mô-đun cho bất kỳ điều gì có vẻ không đúng.

Ví dụ: hãy tưởng tượng rằng một quá trình liên tục cố gắng truy vấn hoặc truy cập tệp không tồn tại, nhưng bạn không chắc chắn lý do.Bạn có thể xem qua tab Ngăn xếp và xem có bất kỳ mô-đun nào không nhìn đúng không, sau đó nghiên cứu chúng. Bạn có thể tìm thấy thành phần lỗi thời hoặc thậm chí là phần mềm độc hại đang gây ra sự cố.

Hoặc, bạn có thể thấy rằng không có gì hữu ích ở đây cho bạn, và điều đó cũng tốt. Có rất nhiều dữ liệu khác để xem xét.
Hoặc, bạn có thể thấy rằng không có gì hữu ích ở đây cho bạn, và điều đó cũng tốt. Có rất nhiều dữ liệu khác để xem xét.

Ghi chú về tràn bộ đệm

Trước khi chúng tôi tiếp tục tiến hành, chúng tôi sẽ muốn lưu ý một mã kết quả mà bạn sẽ bắt đầu thấy rất nhiều trong danh sách và dựa trên tất cả kiến thức về geek của bạn cho đến nay, bạn có thể lo lắng một chút. Vì vậy, nếu bạn bắt đầu thấy BUFFER OVERFLOW trong danh sách, xin đừng cho rằng ai đó đang cố gắng hack máy tính của bạn.

Trang tiếp theo: Lọc dữ liệu mà quá trình chụp màn hình

Đề xuất: