sysinternals pro:プロセスモニタの理解

今日のGeek Schoolのこのエディションでは、Process Monitorユーティリティを使用して、どのようなファイルがアクセスしているか、それらのレジストリキー使用、およびもっと。

プロセスエクスプローラユーティリティとは異なり、プロセスモニタは、プロセスを終了させる、またはハンドルを閉じるためのアクティブなツールではなく、コンピュータ上で発生するすべてのものをパッシブに表示することを目的としています。これは、Windows PCで発生するすべてのイベントに対して、グローバルログファイルを表示するようなものです。

お気に入りのアプリケーションが実際に設定を保存しているレジストリキーを理解したいですか?サービスがどのファイルに触れているか、どのくらいの頻度でファイルを把握したいですか?アプリケーションがネットワークに接続しているか、新しいプロセスを開いているかを確認したいですか?それは救助者へのプロセスモニターです。

レジストリのハッキング記事はもう多くはありませんが、最初に始めたのはProcess Monitorを使用して、どのレジストリキーにアクセスしているのか把握し、レジストリキーを調整して何が起こるかを確認することです。誰かが今まで見たことのないレジストリのハックをどうやって見つけたのか疑問に思ったことがあれば、それはおそらくProcess Monitorによるものでした。

プロセスモニタユーティリティは、2つの異なる古い学校のユーティリティを組み合わせて作成されました。その名前は、ファイルとレジストリのアクティビティを監視するために使用されたFilemonとRegmonです。それらのユーティリティはまだそこにありますが、あなたの特定のニーズに合っているかもしれませんが、Process Monitorでは、そうするように設計されているため、大量のイベントをより効果的に処理できます。

また、Process Monitorは管理者モードを必要とします。なぜなら、これらのイベントをすべてキャプチャするためにカーネルドライバをロードするからです。 Windows Vista以降では、UACダイアログが表示されますが、XPまたは2003では、使用するアカウントに管理者権限があることを確認する必要があります。

プロセスモニタは大量のデータをキャプチャしますが、PC上で発生するすべてのものをキャプチャしません。たとえば、Process Monitorはマウスを動かせば気にせず、ドライバが最適に動作しているかどうかはわかりません。結局のところ、どのプロセスが開いているのか、コンピュータ上にCPUを無駄にしているのかを追跡することはありません。プロセスエクスプローラの仕事なのです。

ファイルシステム、レジストリ、またはネットワークを介して発生するかどうかにかかわらず、I / O(入力/出力)操作の特定のタイプを取得します。さらに、限定的な方法で他のいくつかのイベントを追跡します。このリストには、キャプチャしたイベント

したがって、レジストリ、ファイルシステム、またはネットワークを介して行われるあらゆるタイプのI / O操作を、プロセスモニタでキャプチャできますが、実際のデータはキャプチャされません。プロセスがこれらのストリームの1つに書き込みを行っているという事実だけを見ているので、後で何が起こっているのかを詳しく知ることができます。

最初にProcess Monitorインターフェイスをロードすると、膨大な数のデータ行が表示され、より多くのデータが素早く飛ぶようになり、圧倒的な可能性があります。キーは、あなたが探しているものと、あなたが探しているものについて、少なくとも、何か考えを持っていることです。これは、非常に短い時間内に何百万行も見ているので、リラックスした一日の閲覧に費やすツールのタイプではありません。

まず最初にすべきことは、何百万行ものデータをフィルタリングして、見たいデータのサブセットをはるかに小さくすることです。フィルタを作成する方法と、探したいものをゼロにする方法を教えていきます。しかし、まず、インタフェースと実際に利用可能なデータを理解する必要があります。

デフォルトの列には大量の有益な情報が表示されますが、実際にどのようなデータが含まれているかを理解するためには、何らかのコンテキストが必要です。フード。それぞれのデフォルト列がどのように使用されているか

Options – > Select Columnsに移動して、デフォルトの表示に追加の列を追加することもできます。これはテストを開始するときの最初の停止のための推奨ではありませんが、列を説明しているので既に言及する価値があります。

ディスプレイに列を追加する理由の1つは、データに圧倒されることなく、それらのイベントを素早くフィルタリングすることができるためです。ここではいくつかの余分な列を使用していますが、状況によってはリスト内の他の列に使用することもできます。

列が表示されていなくても列データでフィルタリングできますが、手動で行うよりも右クリックとフィルタリングがはるかに簡単です。そして、はい、我々はまだそれらを説明していないにもかかわらず、フィルタについて再度言及しました。

リスト内のものを見ることは、一度に多くの異なるデータポイントをすばやく表示するのに最適な方法ですが、1つのデータを調べる最も簡単な方法ではないことは間違いありません。リスト。ありがたいことに、任意のイベントをダブルクリックすると、追加情報の宝庫にアクセスできます。

デフォルトの[イベント]タブには、リストに表示されている情報とほとんど同じ情報が表示されますが、パーティーに情報が追加されます。ファイルシステムイベントを見ている場合は、属性、ファイル作成時間、書き込み操作中に試行されたアクセス、書き込まれたバイト数、および継続時間などの特定の情報を表示できます。

[プロセス]タブに切り替えると、イベントを生成したプロセスに関する多くの素晴らしい情報が得られます。プロセスエクスプローラを使用してプロセスを処理するのが一般的ですが、特定のイベントを生成した特定のプロセスに関する多くの情報を得ることは非常に便利です。特に、非常に迅速に発生し、プロセスリスト。この方法でデータがキャプチャされます。

「スタック」タブは時には非常に便利なものですが、しばしば時間が役に立たないことがあります。スタックを調べる理由は、Module列を正しく見えないものについて調べることでトラブルシューティングを行うことができるからです。

例として、プロセスが存在しないファイルを常に照会またはアクセスしようとしていたが、その理由がわからないとします。 「スタック」タブを見て、正しく見えなかったモジュールがあるかどうかを調べて、それらを調べることができます。期限切れのコンポーネント、またはマルウェアであっても、問題の原因となっている可能性があります。

または、あなたのためにここで役に立つものがないことがわかるかもしれません。見るべき他の多くのデータがあります。

さらに進める前に、リストで多く見られるようになる結果コードを書き留めたいと思っています。これまでのあなたのオタク知識に基づいて、ちょっと気になるかもしれません。だから、あなたがリストにBUFFER OVERFLOWを見始めるなら、誰かがあなたのコンピュータをハックしようとしているとは思わないでください。

次のページ:プロセスモニタキャプチャのデータのフィルタリング

SysInternalsスイートのシリーズは素晴らしいです!私は各レッスンを勉強するだけでなく、コンピュータとSIファイルの両方にリンクを保存しています。私はコンピュータの情報のために私に尋ねたすべての人にレッスンを勧めています…あなたは本当にすごいことになる素晴らしいサービスをしています!ありがとう、ピーター

Oprah Winfrey(米国の昼間のトークショーの名声)は、生まれたばかりのOrpah Winfrey(聖書の人物Orpahの名前にちなんで命名)に命名されたが、何年もの間、彼女の名前のスペルミスがあった。