Korištenje Process Monitora za rješavanje problema i pronalaženje hakova u registru

SysInternals 5



U današnjem izdanju Geek School naučit ćemo vas kako koristiti Process Monitor za stvarno rješavanje problema i otkrivanje hakova u registru za koje inače ne biste znali.

ŠKOLSKA NAVIGACIJA
  1. Što su SysInternals alati i kako ih koristite?
  2. Razumijevanje Process Explorera
  3. Korištenje Process Explorera za rješavanje problema i dijagnosticiranje
  4. Razumijevanje Process Monitora
  5. Korištenje Process Monitora za rješavanje problema i pronalaženje hakova u registru
  6. Korištenje automatskog pokretanja za rješavanje procesa pokretanja i zlonamjernog softvera
  7. Korištenje BgInfo za prikaz informacija o sustavu na radnoj površini
  8. Korištenje PsTools za upravljanje drugim računalima iz naredbenog retka
  9. Analiza i upravljanje vašim datotekama, mapama i diskovima
  10. Završavanje i zajedničko korištenje alata

Process Monitor jedan je od najimpresivnijih alata koje možete imati u svom kompletu alata, jer gotovo da ne postoji drugi način da vidite što aplikacija zapravo radi ispod haube. To je jedini način da saznate u koje datoteke se zapisuje koji proces i gdje su stvari pohranjene u registru i koje datoteke im pristupaju.





Započet ćemo s današnjom lekcijom gledajući kako pronaći ključeve registra pomoću dijaloških okvira za postavke sustava Windows i Process Monitora, a zatim ćemo proći kroz stvarni scenarij rješavanja problema na koji smo naišli na jednom od naših računala u laboratoriju i koji smo ga lako riješili pomoću Process Monitora.

Korištenje Process Explorera za pronalaženje ključeva registra za uobičajene postavke

Svatko je u nekom trenutku kliknuo potvrdni okvir ili promijenio vrijednost padajućeg okvira, ali jeste li se ikada zapitali gdje su te vrijednosti zapravo pohranjene? Mnoge aplikacije, i gotovo sve u sustavu Windows, pohranjeno je u Registry... negdje.



Za današnji primjer koristit ćemo prvu opciju u prvom oknu svojstava trake zadataka i navigacije, što je dijaloški okvir koji bi trebao postojati u svim verzijama sustava Windows. Dakle, sada je naša misija otkriti gdje je ta postavka zapravo pohranjena u registru. Možete pratiti ovu konkretnu postavku ili možete isprobati neku od drugih postavki u istom dijaloškom okviru - ili bilo gdje drugdje za koje želite pronaći skriveno mjesto postavki.

Oglas

Prva stvar koju ćete htjeti učiniti svaki put kada pokušate uhvatiti skup podataka jest pokrenuti Process Monitor, a zatim promijeniti postavku. U tom trenutku možete zaustaviti Process Monitor da nastavi bilježiti događaje, tako da popis ne izmakne kontroli. (Savjet: izbornik Datoteka ima opciju, ili je to treća ikona slijeva).



Sada kada imamo gomilu podataka na popisu, vrijeme je da filtriramo popis kako bismo smanjili broj redaka koje ćemo morati pregledavati. Budući da gledamo vrijednost registra koja se mijenja, morat ćemo filtrirati prema RegSetValue, što je ono što Windows koristi da zapravo postavi ključ registra na novu postavku. Za prikaz koristite opciju Uključi samo te događaje.

Vaš bi popis sada trebao biti ograničen samo na ključeve registra koji su promijenjeni, pa je vrijeme da pogledate događaje i pokušate shvatiti koji bi ključ registra mogao biti. Budući da provjeravamo postavku Zaključaj traku zadataka, a jedan od ključeva registra koji se postavlja uključuje riječ Taskbar u nazivu, to je dobro mjesto za početak. Desnom tipkom miša kliknite put i odaberite Skok na lokaciju.

Process Monitor će otvoriti uređivač registra i označiti ključ na popisu. Sada se moramo uvjeriti da je ovo zapravo pravi ključ, što je prilično lako shvatiti. Pogledajte postavku, a zatim pogledajte ključ. Trenutno je postavka uključena, a ključ je postavljen na 0.

Stoga promijenite postavku, pritisnite Primijeni u dijaloškom okviru, a zatim upotrijebite tipku F5 da osvježite prozor uređivača registra. U našem slučaju definitivno smo odabrali pravu postavku, tako da sada možete vidjeti da je vrijednost TaskbarSizeMove postavljena na 1.

Ako niste odabrali pravu vrijednost, nećete vidjeti promjenu kada ponovno izvršite test podešavanja. Stoga idite i pronađite sljedeću logičnu i počnite ispočetka.

Rješavanje problema s Process Monitorom

Nije moguće u jednom članku ilustrirati kako riješiti bilo koji problem s Process Monitorom ili bilo kojim drugim alatom u tom smislu. Previše je kombinacija problema koje bi mogle poći po zlu.

Oglas

Međutim, ono što možemo učiniti jest pokazati kako smo zapravo koristili Process Monitor za rješavanje stvarnog problema koji se zapravo dogodio na jednom od naših testnih računala. Instalirali smo neki crapware, a onda smo odlučili pokušati očistiti računalo. Problem je bio unos na ploči Uninstall Programs koji jednostavno nije nestao.

Svaki put kada biste kliknuli da biste promijenili kako biste je mogli ukloniti, prikazat će vam se pogreška koja kaže Došlo je do pogreške prilikom pokušaja deinstaliranja AwfulApp-a. Možda je već deinstaliran. Želite li ukloniti AwfulApp s popisa programa i značajki?.

To bi bilo sjajno, osim što smo tada dobili pogrešku koja kaže da nemate dovoljan pristup za uklanjanje OutfoxTV-a s popisa programa i značajki. Obratite se administratoru sustava.

Prvo što ste trebali učiniti bilo je ponovno pokušati s procesom deinstaliranja s pokrenutim Process Monitorom, koji je zahvatio ogromnu količinu podataka. Ovaj put odlučili smo koristiti značajku Find (CTRL + F) kako bismo brzo pronašli ono što smo tražili na popisu. Možete koristiti i filtar ako želite, ali ovo se činilo jednostavnim i srećom je uspjelo prvi put.

Nakon što smo pogledali prvu stavku na popisu, primijetili smo pogrešku: Windows je pokušavao pristupiti ključevima registra koji se odnose na program za deinstalaciju, ali oni zapravo nisu bili u registru na prvom mjestu koje je Windows tražio. Ako pogledate nekoliko tipki dolje, vidjet ćete događaj RegOpenKey s USPJEH rezultatom za nešto pod HKLMSoftwareWow6432Node.

Pretraživanje po tom ključu registra vrlo brzo nas je dovelo do izvora problema: poruke ODBIJENI PRISTUP kada je Windows pokušao izvršiti čišćenje popisa pomoću operacije RegDeleteKey. Zanimljiv!

Oglas

Prva stvar koju ste trebali učiniti je korištenje značajke Skoči na da biste pronašli ključ u registru i pogledali.

Naravno, pogledajte sve one ključeve registra tamo! Nije ni čudo da se još uvijek pojavljuje na popisu.

Samo da bismo bili sigurni, otvorili smo direktorij C:Program Files da vidimo je li neka od datoteka još uvijek tu, ali očito je da je aplikacija već obrisana s računala.

Rješenje je bilo vrlo jednostavno: samo smo ručno izbrisali ključ registra s kojim je Windows imao problema s brisanjem. Da smo primili poruku odbijenog pristupa, mogli smo upotrijebiti postavku Dopuštenja kako bismo bili sigurni da imamo pristup i pokušali ponovno.

Srećom, brisanje je odmah uspjelo, a naš popis programa za deinstaliranje sada je bio jasan.

Oglas

Ovo su samo neki od mnogih načina na koje možete koristiti Process Monitor – to je iznimno važan i koristan uslužni program za koji će trebati neko vrijeme da ga savladate, ali kada to učinite, može vam stvarno pomoći u rješavanju mnogih problema.

Sljedeća lekcija

Počevši od ponedjeljka sa sljedećom lekcijom, ispitat ćemo mnoge druge uslužne programe u SysInternals Toolkit-u, uključujući neke od moćnih alata naredbenog retka.

PROČITAJTE SLJEDEĆE
  • › Funkcije u odnosu na formule u Microsoft Excelu: u čemu je razlika?
  • › Mapa računala je 40: Kako je Xerox Star stvorio radnu površinu
  • & rsaquo; Cyber ​​ponedjeljak 2021.: Najbolje tehničke ponude
  • › Kako pronaći svoj Spotify omotan 2021
  • › Što je MIL-SPEC zaštita od pada?
  • › 5 web stranica koje svaki korisnik Linuxa treba označiti
Fotografija profila za Lowell Heddings Lowell Heddings
Lowell je osnivač i izvršni direktor How-To Geek. On vodi emisiju od stvaranja stranice 2006. Tijekom posljednjeg desetljeća, Lowell je osobno napisao više od 1000 članaka koje je pogledalo preko 250 milijuna ljudi. Prije nego što je započeo How-To Geek, Lowell je proveo 15 godina radeći u IT-u baveći se poslovima savjetovanja, kibernetičke sigurnosti, upravljanja bazama podataka i programiranja.
Pročitajte cijelu biografiju

Zanimljivi Članci