Porozumenie procesu sledovania
Dnes v tomto ročníku Geek School vás budeme učiť, ako vám nástroj Monitor Process umožňuje pozrieť sa pod kapucňou a zistiť, čo vaše obľúbené aplikácie skutočne robia za scénami - aké súbory majú prístup, kľúče databázy Registry používanie a ďalšie.
ŠKOLSKÁ NAVIGÁCIA- Aké sú nástroje SysInternals a ako ich používate??
- Pochopenie Process Explorer
- Používanie aplikácie Process Explorer na riešenie problémov a diagnostikovanie
- Porozumenie procesu sledovania
- Používanie monitora procesov na riešenie problémov a vyhľadanie hackov v registri
- Použitie autorunov na riešenie spúšťacích procesov a malware
- Použitie programu BgInfo na zobrazenie informácií o systéme na ploche
- Použitie programu PsTools na ovládanie iných počítačov z príkazového riadku
- Analýza a správa súborov, priečinkov a diskov
- Zalomenie a spoločné používanie nástrojov
Na rozdiel od pomôcky Process Explorer, ktorú sme strávili niekoľko dní, pokrýva proces Monitor je pasívny pohľad na všetko, čo sa deje na vašom počítači, nie je aktívny nástroj na zabíjanie procesov alebo zatváranie kliky. Je to ako pri pohľade na globálny protokol pre každú udalosť, ktorá sa stane na vašom počítači so systémom Windows.
Chcete pochopiť, ktoré kľúče databázy Registry vaša obľúbená aplikácia skutočne ukladá svoje nastavenia? Chcete zistiť, aké súbory sa dotýkajú služby a ako často? Chcete vidieť, kedy sa aplikácia pripája k sieti alebo otvorí nový proces? Monitorovanie procesov je na záchranu.
Nie sme robili veľa článkov v registri hack, ale späť, keď sme prvýkrát začali, by sme použili Process Monitor, aby sme zistili, aké kľúče databázy boli prístupné, a potom vyskúšajte tie kľúče registra, aby ste zistili, čo sa stane. Ak ste niekedy premýšľali nad tým, ako nejaký geek vyriešil hack v registri, ktorý nikto nikdy nevidel, bolo to pravdepodobne prostredníctvom aplikácie Process Monitor.
Pomôcka Process Monitor bola vytvorená kombináciou dvoch rôznych starých nástrojov spoločne, Filemon a Regmon, ktoré boli použité na monitorovanie súborov a registratúrnej aktivity, ako ich názov naznačuje. Zatiaľ čo tieto pomôcky sú stále k dispozícii a aj keď by mohli vyhovovať vašim konkrétnym potrebám, budete s Process Monitorom oveľa lepšie, pretože dokáže lepšie zvládnuť veľký objem udalostí, pretože to bolo navrhnuté tak urobiť.
Treba tiež poznamenať, že Process Monitor vždy vyžaduje režim administrátora, pretože načíta všetky ovládače jadra pod kapotou, aby zachytili všetky tieto udalosti. V systéme Windows Vista a neskôr sa zobrazí výzva s dialógom UAC, ale pre XP alebo 2003, musíte sa uistiť, že používané konto má oprávnenia správcu.
Udalosti, ktoré monitorujú proces monitorovania
Monitor procesov zachytáva tónu dát, ale nezachytáva každú vec, ktorá sa stane na vašom PC. Monitorovanie procesov napríklad nezaujíma, ak sa pohybujete myšou a nevie, či vaše ovládače pracujú optimálne. Nebude sledovať, ktoré procesy sú otvorené a zbytočne strácajú CPU na vašom počítači - to je práve úloha aplikácie Process Explorer.
To, čo robí, je zachytiť špecifické typy vstupno-výstupných (vstupných / výstupných) operácií, či už prebiehajú prostredníctvom súborového systému, registra alebo dokonca v sieti. Okrem toho bude sledovať niekoľko ďalších udalostí v obmedzenej miere. Tento zoznam zahŕňa udalosti, ktoré zaznamenáva:
- registre - mohlo by to byť vytváranie kľúčov, čítanie, vymazávanie alebo dotazovanie. Budete prekvapení, ako často sa to stane.
- Systém súborov - to môže byť vytváranie súborov, písanie, mazanie atď., a to môže byť pre lokálne pevné disky i pre sieťové jednotky.
- sieť - to ukáže zdroj a cieľ prevádzky TCP / UDP, ale bohužiaľ nezobrazuje údaje, takže je o niečo menej užitočné.
- proces - Sú to udalosti pre procesy a vlákna, kde sa proces spúšťa, vlákno sa spúšťa alebo opúšťa atď. Toto môže byť užitočné informácie v určitých prípadoch, ale je často niečo, na čom by ste sa chceli pozrieť v Process Explorer.
- profilovanie - Tieto udalosti sú zachytené monitorom procesu, aby sa skontrolovalo množstvo času procesora použitého pri každom procese a využitie pamäte. Znovu budete pravdepodobne chcieť použiť Process Explorer na sledovanie týchto vecí väčšinu času, ale je to užitočné tu, ak to potrebujete.
Tak Process Monitor dokáže zachytiť akýkoľvek typ I / O operácie, či už sa to deje v registri, v systéme súborov alebo dokonca v sieti - hoci aktuálne zapisované údaje nie sú zachytené. Len sa pozrieme na skutočnosť, že proces zapisuje do jedného z týchto prúdov, takže môžeme neskôr zistiť viac o tom, čo sa deje.
Rozhranie monitorovania procesov
Pri prvom načítavaní rozhrania Process Monitor budete mať obrovský počet dátových radov s rýchlejšími dátami a môže to byť ohromujúce. Kľúčom je mať aspoň nejaký nápad o tom, na čo sa pozeráte, rovnako ako o to, čo hľadáte. Toto nie je typ nástroja, ktorý strávite relaxačným dňom prechádzania, pretože vo veľmi krátkom čase sa budete pozerať na milióny riadkov.
Prvá vec, ktorú budete chcieť urobiť, je filtrovať tie milióny riadkov nadol na oveľa menšiu podmnožinu údajov, ktoré chcete vidieť, a budeme vás naučiť, ako vytvoriť filtre a nulovať presne to, čo chcete nájsť , Po prvé, mali by ste pochopiť rozhranie a aké údaje sú skutočne k dispozícii.
Pri pohľade na predvolené stĺpce
Predvolené stĺpce zobrazujú množstvo užitočných informácií, ale určite budete potrebovať určitý kontext, aby ste pochopili, aké údaje skutočne obsahujú, pretože niektoré z nich môžu vyzerať ako niečo, čo sa stalo zle, keď sú skutočne nevinné udalosti, ktoré sa stávajú po celý čas kapucne. Tu sa používa každý z predvolených stĺpcov:
- čas - tento stĺpec je celkom jasný, ukazuje presný čas, kedy došlo k udalosti.
- Názov procesu - názov procesu, ktorý vytvoril udalosť. Toto nezobrazuje predvolenú cestu k súboru, ale ak sa presuniete kurzorom nad pole, môžete vidieť presne to, aký proces bol.
- PID - ID procesu procesu, ktorý generoval udalosť. To je veľmi užitočné, ak sa snažíte pochopiť, ktorý proces svchost.exe vygeneroval udalosť. Je to tiež skvelý spôsob, ako izolovať jediný proces monitorovania, za predpokladu, že proces sa nespustí znova.
- operácie - toto je názov operácie, ktorá je zaznamenávaná a existuje ikona, ktorá sa zhoduje s jedným z typov udalostí (register, súbor, sieť, proces). Môžu to byť trochu mätúce, napríklad RegQueryKey alebo WriteFile, ale pokúsime sa vám pomôcť zmätenosťou.
- cesta - to nie je cesta procesu, je to cesta k tomu, na čom bola táto udalosť spracovaná. Ak napríklad došlo k udalosti WriteFile, toto pole zobrazí názov súboru alebo adresára, ktorý sa dotkol. Ak sa jedná o udalosť databázy Registry, zobrazí sa prístup k úplnému kľúču.
- výsledok - Zobrazuje výsledok operácie, ktorá kóduje ako SUCCESS alebo ACCESS DENIED. Aj keď by ste mohli byť pokúšaní automaticky predpokladať, že BUFFER TOO SMALL znamená niečo naozaj zlé, nie je to v skutočnosti väčšinu času.
- detail - dodatočné informácie, ktoré sa často neprekladajú do bežného prostredia na odstraňovanie problémov s geekmi.
Môžete tiež pridať niekoľko ďalších stĺpcov na predvolené zobrazenie tým, že prejdete na položku Možnosti -> Vybrať stĺpce. Toto by nebolo naším odporúčaním pre vašu prvú zastávku, keď začnete testovať, ale keďže vysvetľujeme stĺpce, stojí za to spomenúť už.
Jeden z dôvodov na pridanie ďalších stĺpcov na displej je tak, že môžete rýchlo filtrovať tieto udalosti bez toho, aby ste boli zahltení dátami. Tu je niekoľko ďalších stĺpcov, ktoré používame, ale v závislosti od danej situácie by ste mohli použiť niektoré ďalšie v zozname.
- Príkazový riadok - zatiaľ čo môžete poklepať na ľubovoľnú udalosť a zobraziť argumenty príkazového riadku pre proces, ktorý vygeneroval každú udalosť, môže byť užitočné vidieť rýchly pohľad na všetky možnosti.
- meno spoločnosti - hlavný dôvod, prečo je tento stĺpec užitočný, je jednoducho vylúčiť všetky udalosti spoločnosti Microsoft rýchlo a zúžiť monitorovanie na všetko, čo nie je súčasťou systému Windows. (Budete sa chcieť uistiť, že nemáte žiadne podivné procesy rundll32.exe spustené pomocou Process Explorer hoci, pretože tieto by mohli skrývať škodlivý softvér).
- Nadradený PID - môže to byť veľmi užitočné, keď riešite problémy s procesom, ktorý obsahuje mnoho podradených procesov, ako je napríklad webový prehliadač alebo aplikácia, ktorá stále spúšťa nápadité veci ako ďalší proces. Potom môžete filtrovať pomocou PID nadradeného zariadenia, aby ste sa uistili, že všetko zachytíte.
Stojí za povšimnutie, že môžete filtrovať údaje podľa stĺpcov aj vtedy, ak sa stĺpec nezobrazuje, ale je to oveľa jednoduchšie kliknúť pravým tlačidlom a filtrovať, než manuálne. A áno, znova sme spomenuli filtre, hoci sme ich ešte nevysvetlili.
Preskúmanie jedinej udalosti
Prezeranie vecí v zozname je skvelý spôsob, ako rýchlo vidieť veľa rôznych dátových bodov naraz, ale rozhodne nie je najjednoduchší spôsob, ako preskúmať jediný údaj a existuje len toľko informácií, ktoré môžete vidieť v zoznam. Našťastie môžete dvojitým kliknutím na akúkoľvek udalosť získať prístup k pokladom dodatočných informácií.
Predvolená karta Udalosť vám poskytuje informácie, ktoré sú do značnej miery podobné tým, ktoré ste videli v zozname, ale pridajú stranke trochu viac informácií. Ak sa pozeráte na udalosť súborového systému, budete môcť vidieť určité informácie, ako sú atribúty, čas vytvorenia súboru, prístup, ktorý sa pokúsil počas operácie zápisu, počet bajtov, ktoré boli napísané, a trvanie.
Prepnutím na kartu Proces získate veľa skvelých informácií o procese, ktorý vytvoril udalosť. Zatiaľ čo spravidla budete chcieť použiť Process Explorer na spracovanie procesov, môže byť veľmi užitočné mať veľa informácií o konkrétnom procese, ktorý vytvoril konkrétnu udalosť, najmä ak je to niečo, čo sa stalo veľmi rýchlo a potom zmizlo z zoznam procesov. Týmto spôsobom sa zaznamenávajú údaje.
Záložka Zásobník je niečo, čo bude niekedy veľmi užitočné, ale často časy nebudú vôbec užitočné. Dôvodom, prečo by ste sa chceli pozrieť na zásobník, je, aby ste mohli riešiť problémy skúmaním stĺpca modulu pre čokoľvek, čo nevyzerá úplne správne.
Napríklad, predstavte si, že proces sa neustále pokúšal vyhľadávať alebo pristupovať k súboru, ktorý neexistuje, ale neviete prečo. Môžete sa pozrieť cez kartu Stack a zistiť, či existujú nejaké moduly, ktoré nevyzerali správne a potom ich preskúmať. Môžete zistiť, že zastaralá súčasť, alebo dokonca malware, spôsobuje problém.
Môžete tiež zistiť, že pre vás nie je nič užitočné, a to je tiež v poriadku. Existuje veľa ďalších údajov, na ktoré sa môžete pozrieť.
Poznámky k pretečeniu vyrovnávacej pamäte
Než budeme pokračovať ďalej, budeme chcieť zaznamenať výsledný kód, že sa začnete veľmi pozerať na zozname a na základe všetkých vašich geekových poznatkov, ktoré by ste si mohli vyčítať trochu. Takže ak začnete vidieť BUFFER OVERFLOW v zozname, nepredpokladajte, že sa niekto pokúša narušiť váš počítač.
Ďalšia stránka: Filtrovanie údajov, ktoré spracovávajú sledovanie monitorov