Používanie monitora procesov na riešenie problémov a vyhľadanie hackov v registri

V dnešnom vydaní Geek School vás budeme naučiť, ako používať Process Monitor na skutočné riešenie problémov a zisťovanie hackerov v registri, o ktorých by ste nevedeli inak.

1. Aké sú nástroje SysInternals a ako ich používate??
2. Pochopenie Process Explorer
3. Používanie aplikácie Process Explorer na riešenie problémov a diagnostikovanie
4. Porozumenie procesu sledovania
5. Používanie monitora procesov na riešenie problémov a vyhľadanie hackov v registri
6. Použitie autorunov na riešenie spúšťacích procesov a malware
7. Použitie programu BgInfo na zobrazenie informácií o systéme na ploche
8. Použitie programu PsTools na ovládanie iných počítačov z príkazového riadku
9. Analýza a správa súborov, priečinkov a diskov
10. Zalomenie a spoločné používanie nástrojov

Process Monitor je jedným z najpôsobivejších nástrojov, ktoré môžete mať vo svojom súbore nástrojov, pretože takmer žiadny iný spôsob, ako zistiť, čo aplikácia skutočne robí pod kapotou. Je to jediný spôsob, ako zistiť, na ktoré sú súbory písané, akým procesom a kde sú uložené veci v databáze Registry a na ktoré sú prístupné súbory.

Začneme dnešnou lekciou tým, že preskúmame, ako nájsť kľúče databázy Registry pomocou dialógov pre nastavenie systému Windows a Monitorovania procesov, a potom prejdeme pomocou skutočného scenára na riešenie problémov, ktorý sme narazili v jednom z našich počítačov v laboratóriu a ľahko vyriešili pomocou sledovania procesov.

Pomocou aplikácie Process Explorer nájdete kľúče databázy Registry pre bežné nastavenia

Všetci klikli na začiarkavacie políčko alebo v určitom okamihu zmenili hodnotu rozbaľovacej ponuky, ale premýšľali ste niekedy, kde sú tieto hodnoty skutočne uložené? Mnoho aplikácií a prakticky všetko v systéme Windows je uložené v databáze Registry ... niekde.

Pre dnešný príklad použijeme prvú možnosť na prvom paneli panelu úloh a navigácie, čo je dialóg, ktorý by mal existovať vo všetkých verziách systému Windows. Takže teraz našou úlohou je zistiť, kde je toto nastavenie skutočne uložené v registri. Môžete to sledovať spolu s týmto konkrétnym nastavením, alebo vyskúšať jedno z ďalších nastavení v tom istom dialógovom okne - alebo kdekoľvek inde, kde by ste chceli nájsť skryté miesto nastavenia pre.

Prvá vec, ktorú budete chcieť urobiť vždy, keď sa pokúsite zachytiť súbor dát, je spustiť Process Monitor a potom zmeniť nastavenie. V tomto okamihu môžete zastaviť sledovanie procesov pokračovaním v zaznamenávaní udalostí, takže sa zoznam nedostane mimo kontroly. (Tip: ponuka Súbor má možnosť alebo je to tretia ikona vľavo).

Teraz, keď máme v zozname tónov údajov, je čas filtrovať zoznam, aby sme znížili počet riadkov, ktoré budeme musieť prehliadnuť. Pretože hľadáme hodnotu registra, ktorá sa mení, budeme musieť filtrovať podľa "RegSetValue", čo je to, čo systém Windows používa na vlastné nastavenie kľúča databázy Registry do nového nastavenia. Použite možnosť Zahrnúť iba týchto udalostí.

Váš zoznam by mal byť teraz obmedzený len na kľúče registra, ktoré boli zmenené, takže je čas pozrieť sa na udalosti a pokúsiť sa zistiť, ktorý kľúč databázy Registry by mohol byť. Pretože kontrolujeme nastavenie "Zamknúť panel úloh" a jeden z kľúčov databázy Registry, ktorý je nastavený, obsahuje slovo "Panel úloh" v názve, to je dobré miesto na spustenie. Kliknite pravým tlačidlom myši na cestu a vyberte možnosť Prejsť na miesto.

Monitor procesu otvorí Editor databázy Registry a zvýrazní kľúč v zozname. Teraz sa musíme uistiť, že toto je vlastne ten správny kľúč, ktorý sa dá ľahko zistiť. Pozrite sa na nastavenie a potom sa pozrite na kľúč. Práve teraz je nastavenie zapnuté a kľúč je nastavený na hodnotu 0.

Takže zmeňte nastavenie, kliknite na tlačidlo Použiť v dialógovom okne a potom pomocou klávesu F5 obnovte okno Editora databázy Registry. V našom prípade sme si určite vybrali správne nastavenie, takže teraz môžete vidieť, že hodnota TaskbarSizeMove je nastavená na hodnotu 1.

Ak ste nevybrali správnu hodnotu, nezobrazí sa zmena, keď vykonáte test nastavenia znova. Takže choďte a nájdite ďalšie logické a začnite znovu.

Riešenie problémov Problémy s monitorom procesu

Nie je naozaj možné ilustrovať v jednom článku, ako odstrániť akýkoľvek problém s nástrojom Process Monitor alebo akýmkoľvek iným nástrojom. Existuje len príliš veľa kombinácií problémov, ktoré by sa mohli pokaziť.

Čo však môžeme urobiť, je ukázať, ako sme skutočne používali Process Monitor na riešenie skutočného problému, ktorý sa vlastne stal v jednom z našich testovacích počítačov. Inštalovali sme nejaké crapware a potom sme sa rozhodli vyskúšať počítač. Problémom bola položka v paneli Odinštalovať programy, ktorá jednoducho nezmizne.

Ďalšia stránka: Riešenie problémov s procesom Monitorovanie