Startseite » Schule » Prozessmonitor verstehen

    Prozessmonitor verstehen

    Heute in dieser Ausgabe der Geek School erfahren Sie, wie Sie mithilfe des Process Monitor-Dienstprogramms unter die Haube schauen können, um zu sehen, was Ihre Lieblingsanwendungen wirklich hinter den Kulissen tun - auf welche Dateien sie zugreifen und welche Registrierungsschlüssel sie verwenden Gebrauch und mehr.

    SCHULNAVIGATION
    1. Was sind die SysInternals-Tools und wie verwenden Sie sie??
    2. Prozess-Explorer verstehen
    3. Verwenden von Process Explorer zur Fehlerbehebung und Diagnose
    4. Prozessmonitor verstehen
    5. Verwenden von Process Monitor zur Problembehandlung und zum Suchen von Registrierungs-Hacks
    6. Verwenden von Autoruns zur Behandlung von Startvorgängen und Malware
    7. Verwenden von BgInfo zum Anzeigen von Systeminformationen auf dem Desktop
    8. Verwenden von PsTools zur Steuerung anderer PCs über die Befehlszeile
    9. Analysieren und Verwalten von Dateien, Ordnern und Laufwerken
    10. Zusammenfassen und Verwenden der Tools

    Im Gegensatz zum Process Explorer-Dienstprogramm, das wir einige Tage lang behandelt haben, ist Process Monitor ein passiver Blick auf alles, was auf Ihrem Computer passiert, und kein aktives Werkzeug zum Beenden von Prozessen oder Schließen von Ziehpunkten. Dies ist wie ein Blick auf eine globale Protokolldatei für jedes einzelne Ereignis, das auf Ihrem Windows-PC auftritt.

    Möchten Sie wissen, in welchen Registrierungsschlüsseln Ihre Lieblingsanwendung ihre Einstellungen speichert? Möchten Sie herausfinden, welche Dateien ein Dienst berührt und wie oft? Möchten Sie sehen, wenn sich eine Anwendung mit dem Netzwerk verbindet oder einen neuen Prozess öffnet? Es ist Process Monitor zur Rettung.

    Wir machen nicht mehr viele Registry-Hack-Artikel, aber als wir anfingen, haben wir Process Monitor verwendet, um herauszufinden, auf welche Registrierungsschlüssel zugegriffen wurde, und dann diese Registrierungsschlüssel zu optimieren, um zu sehen, was passieren würde. Wenn Sie sich jemals gefragt haben, wie ein Geek einen Registry-Hack gefunden hat, den niemand je gesehen hat, war dies wahrscheinlich der Prozessmonitor.

    Das Process Monitor-Dienstprogramm wurde erstellt, indem zwei verschiedene Old-School-Dienstprogramme, Filemon und Regmon, kombiniert wurden, die zum Überwachen von Dateien und Registrierungsaktivitäten verwendet wurden, wie ihre Namen implizieren. Diese Dienstprogramme stehen zwar immer noch zur Verfügung und sind möglicherweise auf Ihre speziellen Anforderungen zugeschnitten, doch mit Process Monitor wäre es viel besser, denn er kann eine große Anzahl von Ereignissen besser verarbeiten, da er dafür entwickelt wurde.

    Es ist auch erwähnenswert, dass Process Monitor immer den Administratormodus erfordert, da ein Kernel-Treiber unter der Haube geladen wird, um all diese Ereignisse zu erfassen. Unter Windows Vista und höher wird ein Dialogfeld für die Benutzerkontensteuerung angezeigt. Bei XP oder 2003 müssen Sie jedoch sicherstellen, dass das verwendete Konto über Administratorrechte verfügt.

    Die Ereignisse, die der Prozessmonitor erfasst

    Process Monitor erfasst eine Unmenge von Daten, erfasst jedoch nicht jedes einzelne Ereignis, das auf Ihrem PC passiert. Zum Beispiel ist es für Process Monitor egal, ob Sie Ihre Maus bewegen, und es weiß nicht, ob Ihre Treiber optimal arbeiten. Es wird nicht nachverfolgen, welche Prozesse geöffnet sind und CPU auf Ihrem Computer verschwenden - das ist schließlich die Aufgabe von Process Explorer.

    Dabei werden bestimmte Arten von E / A-Vorgängen (Eingabe / Ausgabe) erfasst, unabhängig davon, ob sie über das Dateisystem, die Registrierung oder sogar das Netzwerk ausgeführt werden. Darüber hinaus werden einige andere Ereignisse in begrenztem Umfang verfolgt. Diese Liste deckt die Ereignisse ab, die erfasst werden:

    • Registry - Dies könnte das Erstellen von Schlüsseln sein, sie lesen, löschen oder abfragen. Sie werden überrascht sein, wie oft dies passiert.
    • Dateisystem - Dies kann das Erstellen, Schreiben, Löschen usw. von Dateien sein, und zwar sowohl für lokale Festplatten als auch für Netzlaufwerke.
    • Netzwerk - Dies zeigt die Quelle und das Ziel des TCP / UDP-Datenverkehrs an, aber leider werden die Daten nicht angezeigt, was sie etwas weniger nützlich macht.
    • Verarbeiten - Dies sind Ereignisse für Prozesse und Threads, bei denen ein Prozess gestartet wird, ein Thread gestartet oder beendet wird usw. Dies kann in bestimmten Fällen nützliche Informationen sein, die Sie jedoch häufig in Process Explorer betrachten möchten.
    • Profilierung - Diese Ereignisse werden von Process Monitor erfasst, um die für jeden Prozess benötigte Prozessorzeit und die Speicherverwendung zu überprüfen. Wieder möchten Sie wahrscheinlich Process Explorer verwenden, um diese Dinge meistens zu verfolgen, aber es ist hier nützlich, wenn Sie es brauchen.

    So kann Process Monitor alle Arten von E / A-Vorgängen erfassen, unabhängig davon, ob dies über die Registrierung, das Dateisystem oder sogar das Netzwerk geschieht. Die eigentlichen geschriebenen Daten werden jedoch nicht erfasst. Wir betrachten gerade die Tatsache, dass ein Prozess in einen dieser Streams schreibt, sodass wir später mehr darüber erfahren können, was passiert.

    Die Prozessmonitor-Schnittstelle

    Wenn Sie die Prozessmonitor-Oberfläche zum ersten Mal laden, werden Sie mit einer enormen Anzahl von Datenzeilen angezeigt, wobei mehr Daten schnell einfliegen, und das kann überwältigend sein. Der Schlüssel ist, zumindest eine Vorstellung davon zu haben, worauf Sie schauen und was Sie suchen. Dies ist nicht die Art von Werkzeug, an dem Sie einen entspannten Tag mit dem Durchsuchen verbringen, denn innerhalb kürzester Zeit werden Sie Millionen von Zeilen betrachten.

    Das erste, was Sie tun müssen, ist das Filtern dieser Millionen von Zeilen auf die viel kleinere Teilmenge der Daten, die Sie sehen möchten, und wir werden Ihnen zeigen, wie Sie Filter erstellen und genau festlegen, was Sie suchen . Zunächst sollten Sie jedoch die Schnittstelle verstehen und wissen, welche Daten tatsächlich verfügbar sind.

    Betrachten der Standardspalten

    Die Standardspalten enthalten eine Menge nützlicher Informationen, aber Sie benötigen definitiv einen Kontext, um zu verstehen, welche Daten tatsächlich enthalten sind, da einige von ihnen wie etwas Unglückliches aussehen könnten, wenn es sich um wirklich unschuldige Ereignisse handelt, die die ganze Zeit unter dem Internet auftreten Kapuze. Hierfür wird jede der Standardspalten verwendet:

    • Zeit - Diese Spalte ist ziemlich selbsterklärend. Sie zeigt den genauen Zeitpunkt, zu dem ein Ereignis aufgetreten ist.
    • Prozessname - Der Name des Prozesses, der das Ereignis generiert hat. Standardmäßig wird nicht der vollständige Pfad zur Datei angezeigt. Wenn Sie jedoch den Mauszeiger über das Feld bewegen, können Sie genau sehen, um welchen Prozess es sich handelt.
    • PID - Die Prozess-ID des Prozesses, der das Ereignis generiert hat. Dies ist sehr nützlich, wenn Sie versuchen zu verstehen, welcher Prozess svchost.exe das Ereignis generiert hat. Es ist auch eine gute Möglichkeit, einen einzelnen Prozess für die Überwachung zu isolieren, vorausgesetzt, der Prozess wird nicht neu gestartet.
    • Operation - Dies ist der Name der Operation, die protokolliert wird, und es gibt ein Symbol, das mit einem der Ereignistypen (Registrierung, Datei, Netzwerk, Prozess) übereinstimmt. Diese können ein wenig verwirrend sein, wie RegQueryKey oder WriteFile, aber wir werden versuchen, Ihnen durch die Verwirrung zu helfen.
    • Pfad - Dies ist nicht der Pfad des Prozesses, sondern der Pfad zu dem, woran gerade dieses Ereignis gearbeitet hat. Wenn beispielsweise ein WriteFile-Ereignis aufgetreten ist, wird in diesem Feld der Name der Datei oder des Ordners angezeigt, die berührt werden soll. Wenn es sich um ein Registrierungsereignis handelt, wird der vollständige Schlüssel angezeigt, auf den zugegriffen wird.
    • Ergebnis - Dies zeigt das Ergebnis der Operation, die Codes wie SUCCESS oder ACCESS DENIED enthalten. Während Sie in der Versuchung sein könnten, automatisch davon auszugehen, dass ein zu kleiner BUFFER bedeutet, dass etwas wirklich Schlimmes passiert ist, ist dies meistens nicht der Fall.
    • Detail - Zusätzliche Informationen, die häufig nicht in die Welt der regelmäßigen Fehlerbehebung für Geek übertragen werden.

    Sie können der Standardanzeige auch einige zusätzliche Spalten hinzufügen, indem Sie Optionen -> Spalten auswählen auswählen. Dies ist nicht unsere Empfehlung für Ihren ersten Stopp, wenn Sie mit dem Testen beginnen. Da wir jedoch die Spalten erläutern, sollten Sie das bereits erwähnen.

    Einer der Gründe für das Hinzufügen zusätzlicher Spalten zur Anzeige besteht darin, dass Sie sehr schnell nach diesen Ereignissen filtern können, ohne mit Daten überfordert zu werden. Hier sind einige der zusätzlichen Spalten, die wir verwenden. In der Liste können Sie je nach Situation jedoch einige andere verwenden.

    • Befehlszeile - Sie können zwar auf jedes Ereignis doppelklicken, um die Befehlszeilenargumente für den Prozess anzuzeigen, der jedes Ereignis generiert hat. Es kann jedoch nützlich sein, alle Optionen auf einen Blick zu sehen.
    • Name der Firma - Der Hauptgrund für diese Spalte ist, dass Sie einfach alle Microsoft-Ereignisse schnell ausschließen und Ihre Überwachung auf alles andere beschränken können, das nicht zu Windows gehört. (Sie sollten jedoch sicherstellen, dass mit Process Explorer keine seltsamen rundll32.exe-Prozesse ausgeführt werden, da diese Malware verborgen halten könnten.).
    • Übergeordnete PID - Dies kann sehr nützlich sein, wenn Sie Probleme mit einem Prozess beheben, der viele untergeordnete Prozesse enthält, z. B. einen Webbrowser oder eine Anwendung, die immer wieder skizzenhafte Dinge als einen anderen Prozess startet. Sie können dann nach der übergeordneten PID filtern, um sicherzustellen, dass Sie alles erfassen.

    Es ist erwähnenswert, dass Sie nach Spaltendaten filtern können, auch wenn die Spalte nicht angezeigt wird. Es ist jedoch viel einfacher, mit der rechten Maustaste zu klicken und zu filtern, als manuell zu tun. Und ja, wir haben wieder Filter erwähnt, obwohl wir sie noch nicht erklärt haben.

    Untersuchung eines einzelnen Ereignisses

    Das Anzeigen von Dingen in einer Liste ist eine großartige Möglichkeit, eine Vielzahl verschiedener Datenpunkte auf einmal zu sehen. Es ist jedoch definitiv nicht die einfachste Methode, einzelne Daten zu untersuchen, und es gibt nur so viele Informationen, die Sie in der Liste sehen können Liste. Dankenswerterweise können Sie auf jedes Ereignis doppelklicken, um auf eine Schatztruhe zusätzlicher Informationen zuzugreifen.

    Die Standard-Registerkarte Ereignis enthält Informationen, die weitgehend den in der Liste angezeigten Informationen entsprechen, fügt jedoch dem Teilnehmer ein wenig mehr Informationen hinzu. Wenn Sie ein Dateisystemereignis betrachten, können Sie bestimmte Informationen wie die Attribute, die Erstellungszeit der Datei, den Zugriff, der während eines Schreibvorgangs versucht wurde, die Anzahl der geschriebenen Bytes und die Dauer anzeigen.

    Wenn Sie zur Registerkarte "Prozess" wechseln, erhalten Sie viele nützliche Informationen über den Prozess, der das Ereignis generiert hat. Während Sie Process Explorer im Allgemeinen für Prozesse verwenden möchten, kann es sehr nützlich sein, über viele Informationen zu dem bestimmten Prozess zu verfügen, der ein bestimmtes Ereignis ausgelöst hat, insbesondere wenn dies sehr schnell passiert und dann aus dem Prozess verschwindet Prozessliste. Auf diese Weise werden die Daten erfasst.

    Die Registerkarte "Stapel" ist manchmal sehr nützlich, oft jedoch überhaupt nicht. Der Grund, warum Sie sich den Stack ansehen möchten, besteht darin, dass Sie eine Problembehandlung durchführen können, indem Sie die Modul-Spalte auf alles prüfen, was nicht ganz richtig aussieht.

    Stellen Sie sich beispielsweise vor, ein Prozess habe ständig versucht, eine nicht vorhandene Datei abzufragen oder darauf zuzugreifen, aber Sie waren sich nicht sicher, warum. Sie könnten durch die Registerkarte Stapel schauen, ob es Module gibt, die nicht richtig aussehen, und dann nach ihnen suchen. Möglicherweise stellen Sie fest, dass eine veraltete Komponente oder sogar Malware das Problem verursacht.

    Oder Sie stellen fest, dass es hier nichts Nützliches für Sie gibt, und das ist auch gut so. Es gibt viele andere Daten, die Sie sich ansehen können.

    Hinweise zu Pufferüberläufen

    Bevor wir weiter fortfahren, sollten wir einen Ergebniscode notieren, den Sie in der Liste sehen werden. Aufgrund Ihres gesamten Geek-Wissens werden Sie vielleicht ein bisschen ausflippen. Wenn Sie also BUFFER OVERFLOW in der Liste sehen, gehen Sie nicht davon aus, dass jemand versucht, Ihren Computer zu hacken.

    Nächste Seite: Filtern der Daten, die Process Monitor erfasst