İşlem İzleyiciyi Anlamak
Bugün Geek School'un bu sayısında, Process Monitor yardımcı programının kaputun altına bakmanıza ve en sevdiğiniz uygulamaların sahne arkasında gerçekte ne yaptığını görmenize - hangi dosyalara eriştiklerini, kayıt defteri anahtarlarına nasıl baktıklarını görmenizi öğreteceğiz. kullanın ve daha fazlası.
OKUL GEÇİŞİ- SysInternals Araçları Nedir ve Bunları Nasıl Kullanırsınız??
- Process Explorer'ı Anlamak
- Sorun Gidermek ve Tanılamak için İşlem Gezgini'ni Kullanma
- İşlem İzleyiciyi Anlamak
- Kayıt Korsanlığı Sorunlarını Gidermek ve Bulmak için İşlem İzleyiciyi Kullanma
- Başlangıç İşlemleri ve Kötü Amaçlı Yazılımlarla Başa Çıkmak için Otomatik Çalıştırmaları Kullanma
- Masaüstünde Sistem Bilgilerini Görüntülemek için BgInfo Kullanımı
- Komut Satırından Diğer Bilgisayarları Kontrol Etmek İçin PsTools Kullanma
- Dosyalarınızı, Klasörlerinizi ve Sürücülerinizi Analiz Etme ve Yönetme
- Araçları Sarma ve Birlikte Kullanma
Kapsama alan birkaç gün harcadığımız Process Explorer yardımcı programından farklı olarak, Process Monitor, bilgisayarınızda gerçekleşen her şeye pasif bir bakış anlamına gelir; işlemleri öldürmek veya tutamaçları kapatmak için etkin bir araç değildir. Bu, Windows PC'nizde gerçekleşen her olay için global bir günlük dosyasına göz atmak gibidir..
Favori uygulamanızın ayarlarını kaydettiği kayıt defteri anahtarlarını anlamak ister misiniz? Bir servisin hangi dosyalara dokunduğunu ve ne sıklıkta olduğunu bulmak ister misiniz? Bir uygulamanın ağa ne zaman bağlandığını veya yeni bir işlem başlattığını görmek ister misiniz? Kurtarma Süreci İzleyicisi.
Artık pek çok kayıt defteri hack makalesi yapmıyoruz, ancak ilk başladığımızda, hangi kayıt defteri anahtarlarına erişildiğini bulmak için İşlem İzleyicisi'ni kullanacağız ve daha sonra ne olacağını görmek için bu kayıt defteri anahtarlarını değiştireceğiz. Bazı ineklerin hiç kimsenin görmediği bir kayıt defteri hackünü nasıl bulduğunu hiç merak ettiyseniz, muhtemelen Süreç İzleyicisi'nden geliyordu..
İşlem İzleyicisi yardımcı programı, iki farklı eski okul yardımcı programını, dosya ve kayıt defteri etkinliklerini adlarının da ima ettiği gibi izlemek için kullanılan Filemon ve Regmon'u birleştirerek oluşturuldu. Bu hizmet programları hala orada bulunsa da ve özel gereksinimlerinize uygun olsalar bile, İşlem İzleyicisi ile daha iyi durumda olursunuz, çünkü yapmak için tasarlandığı için çok sayıda olayı daha iyi ele alabilir.
Tüm bu olayları yakalamak için İşlem İzleyici'nin her zaman yönetici modu gerektirdiğini de unutmayın, çünkü kaputun altına bir çekirdek sürücüsü yükler. Windows Vista ve sonraki sürümlerinde, bir UAC iletişim kutusuyla istenir, ancak XP veya 2003 için kullandığınız hesabın Yönetici ayrıcalıklarına sahip olduğundan emin olmanız gerekir..
İzleyiciyi Yakalayan Olaylar
İşlem Monitörü bir ton veri toplar, ancak bilgisayarınızda meydana gelen her şeyi yakalamaz. Örneğin, İşlem Monitörü farenizi hareket ettirmenizin umrunda değil ve sürücülerinizin en iyi şekilde çalışıp çalışmadığını bilmiyor. Hangi işlemlerin açık olduğunu ve bilgisayarınızda CPU'yu boşa harcadığını izlemeyecektir - sonuçta bu, Process Explorer'ın işidir..
Ne yaparsa yapsın, dosya sistemi, kayıt defteri ve hatta ağ üzerinden gerçekleşse de, belirli I / O (Giriş / Çıkış) işlemlerini yakalamaktır. Ayrıca sınırlı bir şekilde diğer birkaç olayı izleyecektir. Bu liste, yakaladığı olayları kapsar:
- Kayıt - bu, anahtarları oluşturmak, okumak, silmek veya sorgulamak olabilir. Bunun ne sıklıkla gerçekleştiğine şaşıracaksınız.
- Dosya sistemi - bu dosya oluşturma, yazma, silme, vb. olabilir ve hem yerel sabit sürücüler hem de ağ sürücüleri için olabilir..
- Ağ - bu, TCP / UDP trafiğinin kaynağını ve hedefini gösterir, ancak ne yazık ki verileri göstermez, bu da onu biraz daha az kullanışlı hale getirir.
- süreç - Bunlar, bir işlemin başladığı, iş parçacığının başladığı veya çıktığı, vb. İşlemler ve iş parçacıkları için olan olaylardır. Bu, belirli durumlarda yararlı bilgiler olabilir, ancak genellikle bunun yerine İşlem Gezgini'nde bakmak isteyebilirsiniz..
- profil Oluşturma - Bu olaylar, her işlem tarafından kullanılan işlemci zaman miktarını ve bellek kullanımını kontrol etmek için İşlem İzleyicisi tarafından yakalanır. Yine, muhtemelen bunları çoğu zaman izlemek için İşlem Gezgini'ni kullanmak istersiniz, ancak ihtiyacınız olursa burada kullanışlıdır..
Böylece, İşlem İzleyicisi, kayıt defteri, dosya sistemi veya hatta ağ üzerinden gerçekleşen herhangi bir G / Ç işlemini yakalayabilir - yazılmakta olan asıl veriler yakalanmasa da. Biz sadece bir sürecin bu akışlardan birine yazdığı gerçeğine bakıyoruz, böylece daha sonra olanları daha fazla anlayabiliriz..
Proses İzleme Arabirimi
İşlem Monitörü arayüzünü ilk yüklediğinizde, daha fazla veri hızlı bir şekilde aktarılan çok sayıda veri satırıyla karşılaşacaksınız ve çok zor olabilir. Anahtar, en azından, neye baktığınızın yanı sıra, neyi aradığınızı da düşünmektir. Bu, rahatlatıcı bir günü gezerek geçireceğiniz bir araç değildir, çünkü çok kısa bir süre içerisinde milyonlarca satıra bakıyor olacaksınız..
Yapmak isteyeceğiniz ilk şey, görmek istediğiniz çok daha küçük veri kümesine kadar milyonlarca satırı filtrelemektir ve size tam olarak ne bulmak istediğinizi filtrelemeyi ve sıfıra nasıl gireceğinizi öğreteceğiz. . Ancak önce arayüzü ve hangi verilerin gerçekten mevcut olduğunu anlamalısınız..
Varsayılan Sütunlara Bakmak
Varsayılan sütunlar, bir ton yararlı bilgi gösterir, ancak kesinlikle her birinin gerçekte hangi verileri içerdiğini anlamak için bir içeriğe gereksinim duyarsınız, çünkü bazıları, her zaman altında olan gerçekten masum olaylar olduğunda, kötü bir şey olmuş gibi görünebilir başlık. Varsayılan sütunların her biri ne için kullanılır:
- zaman - Bu sütun oldukça açıklamalıdır, bir olayın gerçekleştiği saati gösterir..
- İşlem adı - etkinliği oluşturan işlemin adı. Bu, dosyanın tam yolunu varsayılan olarak göstermez, ancak alanın üzerine gelindiğinde tam olarak hangi işlemin gerçekleştiğini görebilirsiniz.
- PID - olayı oluşturan işlemin işlem kimliği. Hangi svchost.exe işleminin olayı oluşturduğunu anlamaya çalışıyorsanız, bu çok kullanışlıdır. Ayrıca, sürecin kendisini yeniden başlatmadığını varsayarak, izleme için tek bir işlemi yalıtmak için harika bir yoldur..
- Operasyon - Bu, kaydedilen işlemin adıdır ve olay türlerinden biriyle (kayıt defteri, dosya, ağ, işlem) eşleşen bir simge vardır. Bunlar RegQueryKey veya WriteFile gibi biraz kafa karıştırıcı olabilir, ancak size karışıklık konusunda yardımcı olacağız.
- yol - bu sürecin yolu değil, bu olay tarafından üzerinde çalışılmış olanın yoludur. Örneğin, bir WriteFile olayı varsa, bu alan dokunulan dosya veya klasörün adını gösterir. Bu bir kayıt olayı olsaydı, erişilen tam anahtarı gösterirdi.
- Sonuç - Bu, SUCCESS veya ACCESS DENIED gibi kodları olan işlemin sonucunu gösterir. BUFFER TOO SMALL’ın gerçekten kötü bir şey olduğu anlamına geldiğini otomatik olarak varsaymak için istekli olsanız da, çoğu zaman durum böyle değil.
- detay - Sık sık düzenli geek sorun giderme dünyasına tercüme olmayan ek bilgiler.
Ayrıca Seçenekler -> Sütun Seç'i seçerek varsayılan ekrana bazı ek sütunlar ekleyebilirsiniz. Bu, test etmeye başladığınızda ilk durağınız için önerimiz olmazdı, ancak sütunları açıkladığımızdan, zaten bahsetmeye değer.
Ekrana ek sütunlar eklemenin nedenlerinden biri, verilerle boğulmadan bu olayları çok hızlı bir şekilde filtreleyebilmenizdir. İşte kullandığımız fazladan sütunlardan birkaçı, ancak duruma göre listedeki bazı diğerlerini kullanabilirsiniz..
- Komut satırı - Her olayı oluşturan süreç için komut satırı argümanlarını görmek için herhangi bir olaya çift tıklayabilirken, tüm seçenekleri hızlı bir şekilde görmek faydalı olabilir..
- Şirket Adı - Bu sütunun yararlı olmasının temel nedeni, tüm Microsoft olaylarını hızlı bir şekilde hariç tutabilir ve izlemenizi Windows'un bir parçası olmayan diğer öğelere daraltabilirsiniz. (Kötü amaçlı yazılımları gizleyebileceğinden, işlem Explorer'ı kullanarak çalışan garip rundll32.exe işlemlerinin olmadığından emin olmak istersiniz).
- Üst PID - web tarayıcısı veya kabataslak şeyleri başka bir işlem olarak başlatmaya devam eden bir uygulama gibi birçok alt işlem içeren bir işlemi sorun giderirken bu çok yararlı olabilir. Daha sonra her şeyi yakaladığınızdan emin olmak için Ana PID'ye göre filtreleyebilirsiniz..
Sütun gösterilmese bile sütun verilerini filtreleyebileceğinize dikkat edin, ancak sağ tıklayıp filtrelemek elle yapmaktan daha kolaydır. Ve evet, henüz açıklamamış olmamıza rağmen filtrelerden tekrar bahsettik.
Tek Bir Olayı İncelemek
Bir şeyi bir kerede görüntülemek, aynı anda birçok farklı veri noktasını hızlıca görmenin harika bir yoludur, ancak kesinlikle tek bir veri parçasını incelemenin en kolay yolu değildir ve yalnızca listede görebileceğiniz çok fazla bilgi vardır. liste. Neyse ki, fazladan bilgi hazinesine ulaşmak için herhangi bir olayı çift tıklayabilirsiniz..
Varsayılan Olay sekmesi, listede gördüklerinize büyük ölçüde benzeyen ancak partiye biraz daha fazla bilgi ekleyen bilgiler verir. Bir dosya sistemi etkinliğine bakıyorsanız, öznitelikler, dosya oluşturma zamanı, yazma işlemi sırasında girilen erişim, yazılan bayt sayısı ve süre gibi belirli bilgileri görebilirsiniz..
İşlem sekmesine geçmek, etkinliği oluşturan işlem hakkında size birçok harika bilgi verir. İşlemlerle başa çıkmak için genellikle İşlem Gezgini'ni kullanmak istemeseniz de, özellikle de çok hızlı bir şekilde gerçekleşen ve ardından kaybolan bir şeyse, belirli bir etkinlik oluşturan belirli işlem hakkında çok fazla bilgi sahibi olmak çok yararlı olabilir. işlem listesi. Bu şekilde veri yakalanır.
Yığın sekmesi, bazen aşırı derecede yararlı olacak bir şeydir, ancak çoğu zaman hiç de faydalı olmaz. Yığına bakmak istemenin nedeni, çok doğru görünmeyen herhangi bir şey için Modül sütununu inceleyerek sorun gidermenizdir..
Örnek olarak, bir sürecin var olmayan bir dosyayı sürekli olarak sorgulamaya veya erişmeye çalıştığını hayal edin, ancak neden olduğundan emin değildiniz. Yığın sekmesine bakabilir ve doğru görünmeyen herhangi bir modül olup olmadığını görebilir ve daha sonra bunları inceleyebilirsiniz. Güncel olmayan bir bileşen, hatta kötü amaçlı yazılım bile bu soruna neden olabilir.
Veya, burada sizin için yararlı bir şey olmadığını fark edebilirsiniz ve bu da iyi. Bakılacak başka veri var..
Arabellek Taşması Üzerine Notlar
Daha da ilerlemeden önce, listede çok fazla görmeye başlayacağınız bir sonuç kodunu not etmek isteyeceğiz ve şu ana kadar tüm inek bilgilerinize dayanarak biraz endişelenebilirsiniz. Eğer listede BUFFER OVERFLOW'u görmeye başlarsanız, lütfen birisinin bilgisayarınızı hacklemeye çalıştığını varsaymayın..
Sonraki Sayfa: İzleyiciyi İşleyen Verileri Filtreleme