דף הבית » בית ספר » הבנת תהליך מעקב

    הבנת תהליך מעקב

    היום במהדורה זו של בית הספר חנון אנחנו הולכים ללמד אותך על איך כלי השירות צג מאפשר לך להציץ מתחת למכסה המנוע ולראות מה היישומים האהובים עליך באמת עושה מאחורי הקלעים - מה הקבצים הם ניגשים, מפתחות הרישום הם שימוש, ועוד.

    בית הספר ניווט
    1. מה הם SysInternals כלים וכיצד אתה משתמש בהם?
    2. הבנת תהליך Explorer
    3. באמצעות סייר התהליך כדי לפתור ולאבחן
    4. הבנת תהליך מעקב
    5. באמצעות תהליך לפקח על בעיות ולמצוא פריצות הרישום
    6. באמצעות Autoruns להתמודד עם תהליכי אתחול ותוכנות זדוניות
    7. באמצעות BgInfo להציג מידע מערכת על שולחן העבודה
    8. שימוש PsTools לשלוט מחשבים אחרים משורת הפקודה
    9. ניתוח וניהול קבצים, תיקיות וכוננים
    10. גלישת למעלה ושימוש בכלים יחד

    שלא כמו תהליך Explorer השירות כי בילינו כמה ימים כיסוי, תהליך צג נועד להיות מבט פסיבי על כל מה שקורה במחשב שלך, לא כלי פעיל להריגת תהליכים או סגירה ידיות. זה כמו לקחת להציץ logfile העולמי עבור כל אירוע יחיד שקורה במחשב Windows.

    רוצה להבין אילו מפתחות רישום היישום האהוב עליך הוא בעצם לאחסן את ההגדרות שלהם? רוצה להבין אילו קבצים שירות נוגע וכמה פעמים? רוצה לראות מתי יישום מתחבר לרשת או פותח תהליך חדש? זה תהליך לפקח על ההצלה.

    אנחנו לא עושים הרבה מאמרים גרזן הרישום יותר, אבל בחזרה כאשר התחלנו הראשון היינו משתמשים תהליך לפקח כדי להבין מה מפתחות הרישום היו לגשת, ולאחר מכן ללכת לצבוט את מפתחות הרישום כדי לראות מה יקרה. אם אי פעם תהית איך כמה חנון הבנתי את הרישום גרזן שאף אחד לא ראה אי פעם, זה היה כנראה באמצעות תהליך צג.

    כלי השירות Process Monitor נוצר על-ידי שילוב של שני כלי עזר שונים של בית הספר יחד, Filemon ו- Regmon, אשר שימשו לניטור קבצים ופעולות רישום כפי ששמו מרמז. בעוד כלי שירות אלה עדיין זמין בחוץ, ובעוד הם עשויים להתאים לצרכים הספציפיים שלך, אתה תהיה הרבה יותר טוב עם תהליך צג, כי זה יכול להתמודד עם נפח גדול של אירועים טוב יותר בשל העובדה כי הוא נועד לעשות זאת.

    זה גם שווה לציין כי תהליך לפקח תמיד דורש מצב מנהל כי זה טוען הנהג הקרנל מתחת למכסה המנוע כדי ללכוד את כל האירועים האלה. ב- Windows Vista ואילך, תתבקש להציג תיבת דו-שיח של UAC, אך עבור XP או 2003, יהיה עליך לוודא שהחשבון שבו אתה משתמש כולל הרשאות מנהל.

    האירועים לפקח תהליך לוכדת

    תהליך צג לוכדת טון של נתונים, אבל זה לא ללכוד כל דבר שקורה במחשב. לדוגמה, תהליך צג לא אכפת אם אתה מזיז את העכבר מסביב, וזה לא יודע אם הנהגים שלך עובדים בצורה אופטימלית. זה לא הולך לעקוב אחר אילו תהליכים פתוחים לבזבז CPU במחשב - זה התפקיד של Explorer Explorer, אחרי הכל.

    מה זה עושה הוא ללכוד סוגים ספציפיים של I / O (קלט / פלט) פעולות, אם הם קורים דרך מערכת הקבצים, הרישום, או אפילו את הרשת. זה יהיה בנוסף לעקוב אחר כמה אירועים אחרים באופן מוגבל. רשימה זו מכסה את האירועים שהיא עושה ללכוד:

    • רישום - זה יכול להיות יצירת מפתחות, לקרוא אותם, למחוק אותם, או שאילתה אותם. אתה תהיה מופתע רק כמה פעמים זה קורה.
    • מערכת קבצים - זה יכול להיות יצירת קובץ, כתיבה, מחיקה, וכו ', וזה יכול להיות גם עבור כוננים קשיחים מקומיים כונני רשת.
    • רשת - זה יציג את המקור ואת היעד של TCP / UDP התנועה, אבל לצערי זה לא מראה את הנתונים, מה שהופך אותו קצת פחות שימושי.
    • תהליך - אלה הם אירועים עבור תהליכים וחוטים שבהם מתחיל תהליך, חוט מתחיל או יוצא וכו 'זה יכול להיות מידע שימושי במקרים מסוימים, אבל הוא לעתים קרובות משהו שאתה רוצה להסתכל ב Process Explorer במקום.
    • פרופיל - אירועים אלה הם שנתפסו על ידי תהליך צג כדי לבדוק את כמות הזמן מעבד בשימוש על ידי כל תהליך, ואת השימוש בזיכרון. שוב, אתה בטח רוצה להשתמש Process Explorer למעקב אחר הדברים האלה רוב הזמן, אבל זה שימושי כאן אם אתה צריך את זה.

    אז תהליך לפקח יכול ללכוד כל סוג של I / O המבצע, בין אם זה קורה דרך הרישום, מערכת הקבצים, או אפילו את הרשת - למרות הנתונים בפועל שנכתב לא נתפס. אנחנו רק מסתכלים על העובדה כי תהליך הוא כותב לאחד הזרמים האלה, כך שנוכל מאוחר יותר להבין יותר על מה שקורה.

    ממשק תהליך תהליך

    כאשר אתה הראשון לטעון את ממשק צג תהליך, אתה תוצג עם מספר עצום של שורות נתונים, עם נתונים נוספים טס במהירות, וזה יכול להיות מכריע. המפתח הוא לקבל מושג כלשהו, ​​לפחות, על מה אתה מסתכל, כמו גם את מה שאתה מחפש. זה לא סוג של כלי שאתה מבלה יום מרגיע גלישה דרך, כי בתוך פרק זמן קצר מאוד, אתה תהיה מסתכל על מיליוני שורות.

    הדבר הראשון שתרצה לעשות הוא לסנן את מיליוני השורות האלה אל קבוצת המשנה הקטנה יותר של הנתונים שברצונך לראות, ואנו נלמד אותך כיצד ליצור מסננים ולאפס בדיוק את מה שאתה רוצה למצוא . אבל קודם, אתה צריך להבין את הממשק ומה הנתונים זמין בפועל.

    מבט על עמודות ברירת המחדל

    עמודות ברירת המחדל מציגות טון של מידע שימושי, אבל בהחלט תצטרך קצת הקשר כדי להבין מה הנתונים כל אחד מכיל למעשה, כי חלקם עשויים להיראות כמו משהו רע קרה כאשר הם באמת אירועים חפים מפשע שקורים כל הזמן תחת מכסה המנוע. הנה מה שכל אחת מהעמודות המשמשות כברירת מחדל משמשת עבור:

    • זמן - עמודה זו היא די מובן מאליו, היא מציגה את השעה המדויקת שבה אירע אירוע.
    • שם התהליך - את שם התהליך שיצר את האירוע. פעולה זו אינה מציגה את הנתיב המלא לקובץ כברירת מחדל, אך אם אתה מעביר את העכבר מעל השדה, תוכל לראות בדיוק איזה תהליך הוא היה.
    • PID - את מזהה התהליך של התהליך שיצר את האירוע. זה מאוד שימושי אם אתה מנסה להבין איזה תהליך svchost.exe שנוצר האירוע. זוהי גם דרך מצוינת לבודד תהליך יחיד לניטור, בהנחה כי התהליך אינו מחדש את עצמו.
    • פעולה - זהו שם הפעולה שנרשמת, ויש סמל שמתאים לאחד מסוגי האירועים (רישום, קובץ, רשת, תהליך). אלה יכולים להיות קצת מבלבל, כמו RegQueryKey או WriteFile, אבל ננסה לעזור לך דרך הבלבול.
    • נתיב - זה לא נתיב של התהליך, זה הדרך לכל מה היה עובד על ידי האירוע הזה. לדוגמה, אם היה אירוע WriteFile, שדה זה יציג את שם הקובץ או התיקיה הנגועים. אם זה היה אירוע הרישום, זה יראה את המפתח המלא להיות גישה.
    • תוצאה - זה מראה את התוצאה של המבצע, אשר קודי כמו הצלחה או גישה DENIED. למרות שאתה עלול להתפתות להניח באופן אוטומטי כי buffer TOO SMALL פירושו משהו ממש רע קרה, זה לא ממש המקרה רוב הזמן.
    • פרט - מידע נוסף שלעתים קרובות אינו מתורגם לעולם החומרה הרגיל.

    ניתן גם להוסיף כמה עמודות נוספות לתצוגת ברירת המחדל על ידי מעבר אל אפשרויות -> בחר עמודות. זה לא יהיה ההמלצה שלנו עבור התחנה הראשונה שלך כאשר אתה מתחיל לבדוק, אבל מאז אנחנו מסבירים עמודות, כדאי להזכיר כבר.

    אחת הסיבות להוספת עמודות נוספות לתצוגה היא כך שתוכל לסנן במהירות רבה על ידי אותם אירועים מבלי להיות מוצפים בנתונים. הנה כמה מהעמודות הנוספות שבהן אנו משתמשים, אך ייתכן שתמצא שימוש עבור חלק אחר ברשימה בהתאם למצב.

    • שורת הפקודה - בעוד שאתה יכול ללחוץ פעמיים על כל אירוע כדי לראות את שורת הפקודה טיעונים עבור תהליך שנוצר כל אירוע, זה יכול להיות שימושי כדי לראות במהירות מבט על כל האפשרויות.
    • שם החברה - הסיבה העיקרית היא כי טור זה הוא שימושי, כך שאתה יכול פשוט לכלול את כל האירועים של Microsoft במהירות לצמצם את הניטור שלך לכל דבר אחר כי הוא לא חלק של Windows. (אתה רוצה לוודא כי אין לך שום תהליכים מוזרים rundll32.exe פועל באמצעות סייר התהליך, שכן אלה יכולים להיות מסתיר תוכנות זדוניות).
    • האב PID - זה יכול להיות מאוד שימושי כאשר אתה פתרון בעיות תהליך המכיל תהליכי ילד רבים, כמו דפדפן אינטרנט או יישום שומר על שיגור דברים דקים כמו תהליך אחר. לאחר מכן תוכל לסנן את ה- PID של האב כדי לוודא שאתה לוכד הכל.

    כדאי לציין שאתה יכול לסנן לפי נתוני עמודות, גם אם העמודה אינה מוצגת, אך קל יותר ללחוץ עליה באמצעות לחצן העכבר הימני ולסנן אותה באופן ידני. וכן, הזכרנו מסננים שוב למרות שאנחנו לא הסביר אותם עדיין.

    בחינת אירוע יחיד

    הצגת דברים ברשימה היא דרך מצוינת לראות במהירות הרבה נקודות נתונים שונות בו זמנית, אבל זה בהחלט לא הדרך הקלה ביותר לבחון פיסת נתונים אחת, ויש רק כל כך הרבה מידע שאתה יכול לראות ב רשימה. תודה שאתה יכול ללחוץ פעמיים על כל אירוע כדי לגשת אוצר של מידע נוסף.

    הכרטיסייה 'אירוע' המוגדרת כברירת מחדל מספקת מידע הדומה במידה רבה למה שראית ברשימה, אך תוסיף מעט מידע נוסף למסיבה. אם אתה מסתכל על אירוע מערכת קבצים, תוכל לראות מידע מסוים כמו תכונות, קובץ ליצור זמן, גישה ניסו במהלך פעולת כתיבה, מספר בתים שנכתבו, ואת משך.

    מעבר ללשונית התהליך מספק לך מידע רב על התהליך שיצר את האירוע. למרות שבדרך כלל תרצה להשתמש בסייר התהליך כדי לטפל בתהליכים, זה יכול להיות מאוד שימושי כדי לקבל מידע רב על התהליך הספציפי שנוצר אירוע מסוים, במיוחד אם זה משהו שקרה מהר מאוד ואז נעלם מן רשימת תהליכים. בדרך זו הנתונים נתפס.

    הכרטיסייה מחסנית היא משהו שלפעמים יהיה שימושי מאוד, אבל פעמים רבות לא יהיה שימושי בכלל. הסיבה שאתה רוצה להסתכל על מחסנית היא כל כך אתה יכול לפתור על ידי בדיקת העמודה מודול עבור כל דבר שאינו נראה די נכון.

    כדוגמה, דמיינו שתהליך ניסה כל הזמן לבצע שאילתות או לגשת לקובץ שאינו קיים, אך לא היית בטוח מדוע. אתה יכול להסתכל דרך הכרטיסייה מחסנית ולראות אם יש מודולים כי לא נראה בסדר, ולאחר מכן לחקור אותם. ייתכן שתמצא רכיב לא מעודכן, או אפילו תוכנה זדונית, גורמת לבעיה.

    או, אתה עלול למצוא כי אין שום דבר שימושי כאן בשבילך, וזה בסדר גמור מדי. יש הרבה נתונים אחרים להסתכל.

    הערות על הצפת מאגר

    לפני שאנחנו אפילו להמשיך הלאה, אנחנו הולכים לרשום קוד תוצאה כי אתה הולך להתחיל לראות הרבה ברשימה, ועל סמך כל הידע חנון שלך עד כה, אתה עלול להתבלט קצת על. אז אם אתה מתחיל לראות BUFFER OVERFLOW ברשימה, אל תניח שמישהו מנסה לפרוץ את המחשב שלך.

    לדף הבא: סינון הנתונים של צג התהליכים