Използване на процесния монитор за отстраняване на неизправности и търсене на регистър Hacks

В днешното издание на Geek School ще ви научим как да използвате Process Monitor, за да постигнете реално отстраняване на неизправности и да откриете, че не можете да знаете за други неща.

1. Какви са инструментите на SysInternals и как ги използвате?
2. Запознаване с Process Explorer
3. Използване на Process Explorer за отстраняване на неизправности и диагностика
4. Разбиране на процесния монитор
5. Използване на процесния монитор за отстраняване на неизправности и търсене на регистър Hacks
6. Използване на Autoruns да се справят с процеси на стартиране и Malware
7. Използване на BgInfo за показване на системна информация на работния плот
8. Използване на PsTools за контрол на други компютри от командния ред
9. Анализ и управление на вашите файлове, папки и устройства
10. Опаковане и използване на инструментите заедно

Process Monitor е един от най-впечатляващите инструменти, които можете да имате във вашия набор от инструменти, тъй като почти няма друг начин да видите какво действително прави приложението под капака. Това е единственият начин да разберете какви файлове се записват чрез кой процес и къде се съхраняват нещата в системния регистър, и кои файлове имат достъп до тях.

Ще започнем с днешния урок, като погледнем как да намерим ключовете на системния регистър с помощта на диалогови прозорци за настройка на Windows и Process Monitor, след което ще преминем през действителен сценарий за отстраняване на неизправности, който срещнахме на един от нашите компютри в лабораторията и лесно решим с помощта на Process Monitor.

Използване на Process Explorer за намиране на ключове за регистър за общи настройки

Всички са кликнали върху квадратче или са променили стойността на падащото меню в някакъв момент, но се питате дали тези стойности всъщност се съхраняват? Много приложения и почти всичко в Windows се съхраняват в Регистъра… някъде.

За днешния пример ще използваме първата опция в първия прозорец на лентата на задачите и свойствата за навигация, която е диалогов прозорец, който трябва да съществува във всички версии на Windows. Сега нашата мисия е да разберем къде всъщност се съхранява тази настройка в регистъра. Можете да следвате тази конкретна настройка или да опитате една от другите настройки в същия диалогов прозорец - или някъде другаде, където искате да намерите скритото местоположение за задаване на.

Първото нещо, което искате да направите, когато се опитвате да заснемете набор от данни, е да стартирате Process Monitor и след това да промените настройката. В този момент можете да спрете монитора на процеси да продължава да улавя събития, така че списъкът не излиза извън контрол. (Съвет: менюто Файл има опцията или е третата икона отляво).

Сега, когато имаме много данни в списъка, е време да филтрираме списъка, за да намалим броя на редовете, които ще трябва да прегледаме. Тъй като разглеждаме променена стойност на регистъра, ще трябва да филтрираме с „RegSetValue“, което Windows използва, за да зададе нов ключ на системния регистър. Използвайте опцията „Включване“, за да се покаже само тези събития.

Списъкът ви сега трябва да се ограничава само до променени ключове в системния регистър, така че е време да погледнете събитията и да се опитате да разберете кой ключ от системния регистър може да е. Тъй като проверяваме настройката „Заключване на лентата на задачите“ и един от ключовете в системния регистър включва думата „Задача“ в името, това е добро място за започване. Кликнете с десния бутон на мишката върху пътя и изберете Направо към местоположението.

Process Monitor ще отвори редактора на системния регистър и ще маркира ключа в списъка. Сега трябва да се уверим, че това всъщност е правилният ключ, който е доста лесно да се разбере. Разгледайте настройката и след това погледнете ключа. В момента настройката е включена и ключът е настроен на 0.

Така променете настройката, натиснете Apply върху диалоговия прозорец и след това използвайте клавиша F5, за да обновите прозореца на редактора на системния регистър. В нашия случай определено избрахме правилната настройка, така че сега можете да видите, че стойността на TaskbarSizeMove е настроена на 1.

Ако не сте избрали правилната стойност, няма да видите промяна отново, когато направите теста за настройка. Така че отидете и намерете следващото логическо и започнете отначало.

Отстраняване на проблеми с монитора на процеси

В една единствена статия не е възможно да се илюстрира как да се отстранят всички проблеми с Process Monitor или някакъв друг инструмент за този въпрос. Има твърде много комбинации от въпроси, които биха могли да се объркат.

Това, което можем да направим обаче е да покажем как всъщност използвахме Process Monitor за отстраняване на реален проблем, който всъщност се е случил с един от нашите тестови компютри. Бяхме инсталирали някакъв crapware и след това решихме да опитаме да почистим компютъра. Проблемът е вписване в панела Деинсталиране на програми, който просто няма да изчезне.

Следваща страница: Отстраняване на проблеми с монитора на процеси