Použití monitorovacího procesu k odstraňování a nalezení hackerů v registru

V dnešním vydání Geek School vás naučíme, jak používat Monitorovací proces, abyste skutečně dosáhli řešení problémů a zjistili, že byste se dozvěděli,.

1. Jaké jsou nástroje SysInternals a jak je používáte?
2. Porozumění procesu průzkumu
3. Použití Process Explorer k odstraňování a diagnostice
4. Porozumění procesu sledování
5. Použití monitorovacího procesu k odstraňování a nalezení hackerů v registru
6. Použití autorunů k řešení spouštěcích procesů a malwaru
7. Pomocí BgInfo zobrazíte informace o systému na ploše
8. Použití PsTools pro ovládání jiných počítačů z příkazového řádku
9. Analýza a správa souborů, složek a disků
10. Zalomení a používání nástrojů společně

Monitorovací proces je jedním z nejpůsobivějších nástrojů, které můžete mít ve své sadě nástrojů, protože neexistuje téměř žádný jiný způsob, jak zjistit, co aplikace skutečně dělá pod kapotou. Je to jediný způsob, jak vědět, na které soubory jsou psány, které procesy a kde jsou uloženy v registru a které soubory jsou k nim přístup.

Začínáme s dnešní lekcí tím, že se podíváme, jak najít klíče registru pomocí dialogů pro nastavení Windows a Process Monitor, a pak projdeme skrze skutečný scénář řešení problémů, který jsme se setkali v jednom z našich počítačů v laboratoři a snadno vyřešili pomocí monitoru procesu.

Pomocí Průzkumníka pro hledání klíčů registru pro běžné nastavení

Všichni klikli na zaškrtávací políčko nebo v určitém okamžiku změnili hodnotu rozevíracího seznamu, přemýšleli jste někdy o tom, kde jsou tyto hodnoty skutečně uloženy? Mnoho aplikací a prakticky všechno v systému Windows je uloženo v registru ... někde.

Pro dnešní příklad použijeme první možnost na prvním panelu panelu Vlastnosti a navigační vlastnosti, což je dialog, který by měl existovat ve všech verzích systému Windows. Takže nyní je naší misí zjistit, kde je toto nastavení skutečně uloženo v registru. S tímto konkrétním nastavením můžete sledovat nebo můžete vyzkoušet jedno z dalších nastavení ve stejném dialogu - nebo kdekoliv jinde byste chtěli najít skryté umístění.

První věc, kterou budete chtít provést při pokusu o zachycení sady dat, je spuštění aplikace Process Monitor a změňte nastavení. V tomto okamžiku můžete sledování procesů zastavit a pokračovat v zachycování událostí, takže se seznam nedostane mimo kontrolu. (Tip: nabídka Soubor má možnost nebo je to třetí ikona vlevo).

Nyní, když máme v seznamu řadu dat, je čas nafiltrování seznamu, abychom snížili počet řádků, které se budeme muset podívat. Protože se díváme na hodnotu registru, která je změněna, budeme muset filtrovat podle "RegSetValue", což je to, co používá systém Windows k tomu, aby skutečně nastavil klíč registru do nového nastavení. Použijte možnost Zahrnout možnost Zahrnout pouze tyto události.

Váš seznam by měl být nyní omezen pouze na změny klíčů registru, takže je čas podívat se na události a pokusit se zjistit, který klíč registru by mohl být. Protože kontrolujeme nastavení "Zamknout panelu úkolů" a jeden z klíčů registru, který je nastaven, obsahuje slovo "Hlavní panel" v názvu, je to dobré místo pro spuštění. Klepněte pravým tlačítkem na cestu a vyberte možnost Přejít do umístění.

Monitor procesu otevře Editor registru a zvýrazní klíč v seznamu. Teď se musíme ujistit, že je to skutečně ten správný klíč, který je docela snadné zjistit. Podívejte se na nastavení a podívejte se na klíč. Právě nyní je nastavení zapnuté a klíč je nastaven na hodnotu 0.

Změňte nastavení, klepněte na tlačítko Použít v dialogovém okně a pomocí klávesy F5 aktualizujte okno Editoru registru. V našem případě jsme rozhodně vybrali správné nastavení, takže nyní vidíte, že hodnota TaskbarSizeMove je nastavena na hodnotu 1.

Pokud jste nezadali správnou hodnotu, nezobrazí se změna, jakmile znovu provedete test nastavení. Takže jděte a najděte další logický a začněte znovu.

Odstraňování potíží s procesním monitorem

V jediném článku není opravdu možné ilustrovat, jak řešit problémy se systémem Process Monitor nebo jakýmkoli jiným nástrojem. Existuje prostě příliš mnoho kombinací otázek, které by se mohly pokazit.

Co však můžeme udělat, je ukázat, jak jsme skutečně používali procesní monitor pro řešení skutečného problému, ke kterému došlo skutečně v jednom z našich testovacích počítačů. Instalovali jsme nějaké crapware a pak jsme se rozhodli zkusit počítač vyčistit. Problém byl položka v panelu Odinstalovat programy, která prostě nezůstala.

Další stránka: Řešení potíží s procesním monitorem