Porozumění procesu sledování
Dnes v tomto vydání Geek School vás naučíme, jak vám nástroj Monitorovací proces umožňuje prohlížet si pod kapotou a zjistit, co vaše oblíbené aplikace skutečně dělají za scénami - na jaké soubory přistupují, klíče registru použití a další.
ŠKOLNÍ NAVIGACE- Jaké jsou nástroje SysInternals a jak je používáte?
- Porozumění procesu průzkumu
- Použití Process Explorer k odstraňování a diagnostice
- Porozumění procesu sledování
- Použití monitorovacího procesu k odstraňování a nalezení hackerů v registru
- Použití autorunů k řešení spouštěcích procesů a malwaru
- Pomocí BgInfo zobrazíte informace o systému na ploše
- Použití PsTools pro ovládání jiných počítačů z příkazového řádku
- Analýza a správa souborů, složek a disků
- Zalomení a používání nástrojů společně
Na rozdíl od nástroje Process Explorer, který jsme strávili několik dní, pokrýváme procesní monitor, který má být pasivním pohledem na vše, co se děje ve vašem počítači, nikoliv jako aktivní nástroj pro zabíjení procesů nebo zavírací kliky. Je to jako při pohledu na globální přihlašovací soubor pro každou událost, která se stane na vašem počítači se systémem Windows.
Chcete vědět, které klíče registru vaše oblíbená aplikace skutečně ukládají do svých nastavení? Chcete zjistit, jaké soubory se dotýká služby a jak často? Chcete zjistit, kdy se aplikace připojuje k síti nebo otevře nový proces? Je to procesní monitor na záchranu.
Nerobíme mnoho článků registru hack, ale zpátky, když jsme poprvé začali, použijeme procesní monitor, abychom zjistili, které klíče registru jsou přístupné, a pak vyčistěte ty klíče registru, abyste zjistili, co se stane. Pokud jste někdy uvažovali o tom, jak nějaký geek přišel na to, že nikdo neviděl registr, byl to pravděpodobně proces Monitor.
Pomůcka Process Monitor byla vytvořena kombinací dvou různých nástrojů pro starou školu, Filemon a Regmon, které byly použity k monitorování souborů a činnosti registru, jak to naznačují jejich názvy. Zatímco tyto nástroje jsou stále k dispozici a pokud se mohou hodit vašim konkrétním potřebám, budete s procesním monitorem mnohem lépe, protože je schopen zvládnout velký objem událostí lépe díky tomu, že byl navržen tak, aby tak učinil.
Je také třeba poznamenat, že Process Monitor vždy vyžaduje režim administrátora, protože načte ovladač jádra pod kapotou, aby zachytil všechny tyto události. V systému Windows Vista a později budete vyzváni k dialogu UAC, ale pro XP nebo 2003, budete se muset ujistit, že účet, který používáte, má oprávnění správce.
Události, které zpracovávají monitorovací zařízení
Process Monitor zachycuje spoustu dat, ale nezachytává každou věc, která se ve vašem PC děje. Monitorovací proces je například nezaujímavý, pokud pohybujete kolem myši a nevíte, zda vaše ovladače pracují optimálně. Nebude sledovat, které procesy jsou otevřené a plýtvání CPU na vašem počítači - to je úloha aplikace Process Explorer.
Co dělat, je zachytit určité typy operací I / O (vstup / výstup), ať už se jedná o souborový systém, registr nebo dokonce síť. Navíc bude sledovat několik dalších událostí omezeným způsobem. Tento seznam zahrnuje události, které zachycuje:
- Registru - mohlo by to být vytváření klíčů, čtení, odstranění nebo dotazování. Budete překvapeni, jak často se to stane.
- Souborový systém - to může být vytvoření, psaní, mazání souborů atd. a může to být jak pro lokální pevné disky, tak pro síťové disky.
- Síť - to bude ukazovat zdroj a cíl provozu TCP / UDP, ale bohužel to nezobrazuje data, což je trochu méně užitečné.
- Proces - Jedná se o události pro procesy a vlákna, kde se proces spouští, spouštění nebo ukončení vlákna atd. To může být užitečné informace v určitých případech, ale je často něco, na co byste se chtěli podívat v aplikaci Process Explorer.
- Profilování - Tyto události jsou zachyceny procesním monitorem, aby se zkontrolovalo množství času procesoru použitého v každém procesu a využití paměti. Opět byste pravděpodobně chtěli použít Process Explorer pro sledování těchto věcí většinu času, ale je to užitečné, pokud ho potřebujete.
Tak Process Monitor dokáže zachytit libovolný typ I / O operace, ať už se jedná o registr, souborový systém nebo dokonce síť - i když skutečné zapsané údaje nejsou zachyceny. Jen se díváme na skutečnost, že proces zapisuje do jednoho z těchto proudů, abychom později zjistili více o tom, co se děje.
Rozhraní pro procesní monitorování
Když poprvé načtete procesní monitorovací rozhraní, zobrazí se vám obrovské množství datových řad s více datami rychleji a může to být ohromující. Klíčem je mít alespoň nějaký nápad alespoň o tom, na co se díváte, a také o to, co hledáte. Nejedná se o typ nástroje, který strávíte příjemným procházením, protože ve velmi krátké době budete hledat miliony řádků.
První věc, kterou budete chtít udělat, je filtrování těch milionů řádků dolů na mnohem menší podsadu dat, které chcete vidět, a my vás naučíme, jak vytvořit filtry a nulovat přesně to, co chcete najít . Nejprve byste však měli porozumět rozhraní a jaké údaje jsou skutečně k dispozici.
Podívejte se na výchozí sloupce
Výchozí sloupce zobrazují množství užitečných informací, ale určitě budete potřebovat nějaký kontext, abyste pochopili, jaké údaje každý z nich obsahuje, protože některé z nich mohou vypadat jako něco, co se stalo špatným, když jsou skutečně nevinné události, které se stávají po celou dobu kapuce. Zde je postup, který se používá pro každý z výchozích sloupců:
- Čas - tento sloupec je docela jasný, ukazuje přesný čas, kdy došlo k události.
- Název procesu - název procesu, který událost generoval. Toto nezobrazuje výchozí cestu k souboru, ale pokud přesunete kurzor nad pole, můžete vidět přesně jaký proces byl.
- PID - ID procesu procesu generování události. To je velmi užitečné, pokud se snažíte pochopit, který proces svchost.exe generoval událost. Je to také skvělý způsob, jak izolovat jediný proces sledování, za předpokladu, že proces se znovu neprovozuje.
- Úkon - toto je název operace, která je zaznamenána a existuje ikona, která odpovídá jednomu z typů událostí (registru, soubor, síť, proces). Mohou to být trochu zmatené, jako RegQueryKey nebo WriteFile, ale pokusíme se vám pomoci zmatením.
- Cesta - to není cesta procesu, je to cesta k tomu, na čem byla tato událost zpracována. Pokud například dojde k události WriteFile, zobrazí se toto pole název dotyčného souboru nebo složky. Pokud by se jednalo o událost registru, zobrazí se přístup k úplnému klíči.
- Výsledek - Zobrazuje výsledek operace, která kóduje jako SUCCESS nebo ACCESS DENIED. Zatímco byste mohli být v pokušení automaticky předpokládat, že BUFFER TOO SMALL znamená něco opravdu špatného se stalo, to vlastně není ve většině případů.
- Detail - další informace, které se často netýkají běžného světa řešení problémů s geekem.
Na předvolené zobrazení můžete také přidat další sloupce - přejděte na položku Možnosti -> Vybrat sloupce. To by nebylo naším doporučením k vaší první zastávce, když začnete testovat, ale protože vysvětlujeme sloupce, stojí za zmínku již.
Jedním z důvodů přidání dalších sloupců na displej je, abyste mohli rychle filtrovat tyto události, aniž byste byli ohromeni datami. Zde je několik dalších sloupců, které používáme, ale v závislosti na situaci byste mohli najít některé další uživatele v seznamu.
- Příkazový řádek - zatímco můžete poklepat na libovolnou událost a vidět argumenty příkazového řádku pro proces, který vygeneroval každou událost, může být užitečné vidět na první pohled všechny možnosti.
- Jméno společnosti - hlavní důvod, proč je tento sloupec užitečný, je, že můžete jednoduše vyloučit všechny události společnosti Microsoft a zúžit sledování všech ostatních, které nejsou součástí systému Windows. (Budete se chtít ujistit, že nemáte žádné podivné procesy rundll32.exe spuštěné pomocí Process Explorer, protože by mohly být skryté malware).
- Rodičovský PID - to může být velmi užitečné, když odstraňujete proces, který obsahuje mnoho podřízených procesů, jako je například webový prohlížeč nebo aplikace, která stále spouští spiklenecké věci jako další proces. Potom můžete filtrovat pomocí PID nadřazeného zařízení, abyste zajistili, že vše zachycujete.
Stojí za to poznamenat, že můžete filtrovat údaje podle sloupců, i když se sloupec nezobrazuje, ale je mnohem jednodušší kliknout pravým tlačítkem myši a filtrovat než ručně. A ano, opět jsme se zmínili o filtrech, i když jsme je dosud nevysvětlili.
Zkoumání jediné události
Prohlížení věcí v seznamu je skvělý způsob, jak rychle vidět spoustu různých datových bodů najednou, ale určitě nejde o nejjednodušší způsob, jak prozkoumat jednotlivá data, a je zde jen tolik informací, které můžete vidět v seznam. Naštěstí můžete poklepat na libovolnou událost a získat přístup k pokladu dodatečných informací.
Výchozí záložka Událost vám poskytuje informace, které jsou do značné míry podobné informacím, které jste viděli v seznamu, ale stranou přidáte trochu více informací. Pokud se díváte na událost systému souborů, budete mít možnost vidět určité informace, jako jsou atributy, čas vytvoření souboru, přístup, který byl pokoušen během operace zápisu, počet bajtů, které byly napsány, a trvání.
Přepnutím na kartu Proces získáte spoustu skvělých informací o procesu generování události. Zatímco obvykle budete chtít Process Explorer zpracovávat s procesy, může být velmi užitečné mít mnoho informací o konkrétním procesu, který generoval konkrétní událost, zejména pokud se jedná o něco, co se stalo velmi rychle a pak zmizelo z seznam procesů. Tímto způsobem jsou data zachycena.
Záložka Zásobník je něco, co bude někdy mimořádně užitečné, ale často to nebude vůbec užitečné. Důvodem, proč byste se chtěli podívat na zásobník, je, abyste mohli vyřešit problém pomocí prohlížení sloupce modulu pro cokoliv, co nevypadá zcela správně.
Jako příklad si představte, že proces se neustále pokoušel o dotaz nebo přístup k souboru, který neexistuje, ale nevíte, proč. Mohli jste se podívat na záložku Stack a zjistit, jestli existují nějaké moduly, které nevypadaly správně, a pak je prozkoumat. Možná zjistíte, že součást zastaralá, nebo dokonce malware, způsobuje problém.
Nebo možná zjistíte, že pro vás není nic užitečného, a to je také v pořádku. K dispozici je spousta dalších údajů.
Poznámky k přetečení vyrovnávací paměti
Než budeme pokračovat dále, budeme chtít zaznamenat kód výsledku, který začnete vidět hodně na seznamu a na základě všech vašich geek znalostí tak daleko, můžete trochu vydělat trochu. Takže pokud začnete v seznamu zobrazit BUFFER OVERFLOW, nepředpokládejte, že se někdo pokouší hackovat počítač.
Další stránka: Filtrování dat, které zpracovává monitorovací zařízení