In dieser Ausgabe der Geek School werden wir Ihnen heute zeigen, wie Sie mithilfe des Process Monitor-Dienstprogramms unter die Haube schauen können, um zu sehen, was Ihre Lieblingsanwendungen hinter den Kulissen wirklich tun - auf welche Dateien sie zugreifen und auf welche Registrierungsschlüssel sie zugreifen verwenden und mehr.

SCHULNAVIGATION
  1. Was sind die SysInternals-Tools und wie verwenden Sie sie?
  2. Prozess-Explorer verstehen
  3. Verwenden von Process Explorer zur Fehlerbehebung und Diagnose
  4. Prozessmonitor verstehen
  5. Verwenden von Process Monitor zur Problembehandlung und zum Suchen von Registrierungs-Hacks
  6. Verwenden von Autoruns zur Behandlung von Startvorgängen und Malware
  7. Verwenden von BgInfo zum Anzeigen von Systeminformationen auf dem Desktop
  8. Verwenden von PsTools zum Steuern anderer PCs über die Befehlszeile
  9. Analysieren und Verwalten von Dateien, Ordnern und Laufwerken
  10. Zusammenfassen und Verwenden der Tools

Im Gegensatz zum Process Explorer-Dienstprogramm, an dem wir einige Tage gearbeitet haben, ist Process Monitor ein passiver Blick auf alles, was auf Ihrem Computer passiert, und kein aktives Werkzeug zum Beenden von Prozessen oder Schließen von Ziehpunkten. Dies ist wie ein Blick auf eine globale Protokolldatei für jedes einzelne Ereignis, das auf Ihrem Windows-PC auftritt.

Möchten Sie wissen, in welchen Registrierungsschlüsseln Ihre Lieblingsanwendung ihre Einstellungen speichert? Möchten Sie herausfinden, welche Dateien ein Dienst berührt und wie oft? Möchten Sie sehen, wann eine Anwendung eine Verbindung zum Netzwerk herstellt oder einen neuen Prozess öffnet? Es ist Process Monitor zur Rettung.

Wir machen nicht mehr viele Registry-Hack-Artikel, aber als wir anfingen, haben wir Process Monitor verwendet, um herauszufinden, auf welche Registrierungsschlüssel zugegriffen wurde, und dann diese Registrierungsschlüssel zu optimieren, um zu sehen, was passieren würde. Wenn Sie sich jemals gefragt haben, wie ein Geek einen Registry-Hack herausfand, den niemand je gesehen hat, war dies wahrscheinlich der Prozessmonitor.

Das Process Monitor-Dienstprogramm wurde erstellt, indem zwei verschiedene Old-School-Dienstprogramme, Filemon und Regmon, kombiniert wurden, die zum Überwachen von Dateien und Registrierungsaktivitäten verwendet wurden, wie ihre Namen implizieren. Diese Dienstprogramme stehen zwar immer noch zur Verfügung und sind möglicherweise auf Ihre speziellen Anforderungen zugeschnitten. Mit Process Monitor ist es jedoch viel besser, da es eine große Anzahl von Ereignissen besser verarbeiten kann, da es dafür entwickelt wurde .

Es ist auch erwähnenswert, dass Process Monitor immer den Administratormodus erfordert, da ein Kerneltreiber unter der Haube geladen wird, um all diese Ereignisse zu erfassen. Unter Windows Vista und höher wird ein Dialogfeld mit der Benutzerkontensteuerung angezeigt. Bei XP oder 2003 müssen Sie jedoch sicherstellen, dass das verwendete Konto über Administratorrechte verfügt.

Die Ereignisse, die der Prozessmonitor erfasst

Process Monitor erfasst eine Unmenge von Daten, erfasst jedoch nicht jedes einzelne Ereignis auf Ihrem PC. Process Monitor kümmert sich beispielsweise nicht darum, ob Sie Ihre Maus bewegen, und es weiß nicht, ob Ihre Treiber optimal arbeiten. Es wird nicht nachverfolgen, welche Prozesse geöffnet sind und CPU auf Ihrem Computer verschwenden - das ist schließlich die Aufgabe von Process Explorer.

Dabei werden bestimmte Arten von E / A-Vorgängen (Eingabe / Ausgabe) erfasst, unabhängig davon, ob sie über das Dateisystem, die Registrierung oder sogar das Netzwerk ausgeführt werden. Darüber hinaus werden einige andere Ereignisse in begrenztem Umfang verfolgt. Diese Liste deckt die Ereignisse ab, die erfasst werden:

  • Registry - Dies kann Schlüssel erstellen, lesen, löschen oder abfragen. Sie werden überrascht sein, wie oft dies passiert.
  • Dateisystem - Dies kann das Erstellen, Schreiben, Löschen usw. von Dateien sein, und zwar sowohl für lokale Festplatten als auch für Netzwerklaufwerke.
  • Netzwerk - Dies zeigt die Quelle und das Ziel des TCP / UDP-Datenverkehrs an, aber leider werden die Daten nicht angezeigt, was sie weniger nützlich macht.
  • Verarbeiten - Hierbei handelt es sich um Ereignisse für Prozesse und Threads, bei denen ein Prozess gestartet wird, ein Thread gestartet oder beendet wird usw. Dies kann in bestimmten Fällen nützliche Informationen sein, die Sie jedoch häufig in Process Explorer anzeigen möchten.
  • Profilierung - Diese Ereignisse werden vom Prozessmonitor erfasst, um zu überprüfen, wie viel Prozessorzeit jeder Prozess benötigt, und wie viel Speicherplatz benötigt wird. Wieder möchten Sie wahrscheinlich Process Explorer verwenden, um diese Dinge meistens nachverfolgen zu können. Dies ist jedoch nützlich, wenn Sie es benötigen.

So kann Process Monitor alle Arten von E / A-Vorgängen erfassen, unabhängig davon, ob dies über die Registrierung, das Dateisystem oder sogar das Netzwerk geschieht. Die eigentlichen geschriebenen Daten werden jedoch nicht erfasst. Wir betrachten gerade die Tatsache, dass ein Prozess in einen dieser Streams schreibt, sodass wir später mehr darüber erfahren können, was passiert.

Die Prozessmonitor-Schnittstelle

Wenn Sie die Process Monitor-Oberfläche zum ersten Mal laden, wird eine enorme Anzahl von Datenzeilen angezeigt, und es werden schnell mehr Daten eingeblendet, und das kann überwältigend sein. Der Schlüssel ist, zumindest eine Vorstellung davon zu haben, was Sie sich ansehen und was Sie suchen. Dies ist nicht die Art von Werkzeug, an dem Sie einen entspannten Tag verbringen, weil Sie innerhalb kürzester Zeit Millionen von Zeilen betrachten werden.

Das erste, was Sie tun müssen, ist das Filtern dieser Millionen von Zeilen auf die viel kleinere Teilmenge der Daten, die Sie sehen möchten, und wir werden Ihnen zeigen, wie Sie Filter erstellen und genau festlegen, was Sie suchen . Zunächst sollten Sie jedoch die Schnittstelle verstehen und wissen, welche Daten tatsächlich verfügbar sind.

Betrachten der Standardspalten

Die Standardspalten enthalten eine Menge nützlicher Informationen, aber Sie benötigen auf jeden Fall einen Kontext, um zu verstehen, welche Daten tatsächlich enthalten sind. Einige von ihnen sehen aus, als wäre etwas Unglückliches passiert, wenn es sich um wirklich unschuldige Ereignisse handelt, die die ganze Zeit unter passieren Kapuze. Hierfür wird jede der Standardspalten verwendet:

  • Zeit - Diese Spalte ist ziemlich selbsterklärend. Sie gibt den genauen Zeitpunkt an, zu dem ein Ereignis aufgetreten ist.
  • Prozessname - der Name des Prozesses, der das Ereignis generiert hat. Standardmäßig wird nicht der vollständige Pfad zur Datei angezeigt. Wenn Sie jedoch den Mauszeiger über das Feld bewegen, können Sie genau sehen, welcher Prozess es war.
  • PID - die Prozess-ID des Prozesses, der das Ereignis generiert hat. Dies ist sehr nützlich, wenn Sie versuchen zu verstehen, welcher Prozess svchost.exe das Ereignis generiert hat. Es ist auch eine gute Möglichkeit, einen einzelnen Prozess für die Überwachung zu isolieren, vorausgesetzt, der Prozess wird nicht erneut gestartet.
  • Operation - Dies ist der Name des Vorgangs, der protokolliert wird, und es gibt ein Symbol, das mit einem der Ereignistypen (Registrierung, Datei, Netzwerk, Prozess) übereinstimmt. Diese können etwas verwirrend sein, wie RegQueryKey oder WriteFile, aber wir werden versuchen, Ihnen durch die Verwirrung zu helfen.
  • Pfad - Dies ist nicht der Pfad des Prozesses, sondern der Pfad zu dem, woran gerade dieses Ereignis gearbeitet hat. Wenn beispielsweise ein WriteFile-Ereignis aufgetreten ist, wird in diesem Feld der Name der Datei oder des Ordners angezeigt, die berührt werden soll. Wenn es sich um ein Registrierungsereignis handelt, wird der vollständige Schlüssel angezeigt, auf den zugegriffen wird.
  • Ergebnis - Dies zeigt das Ergebnis der Operation, die Codes wie SUCCESS oder ACCESS DENIED enthalten. Während Sie in der Versuchung sein könnten, automatisch davon auszugehen, dass ein zu kleiner BUFFER bedeutet, dass etwas wirklich Schlimmes passiert ist, ist dies meistens nicht der Fall.
  • Detail - zusätzliche Informationen, die häufig nicht in die Welt der normalen Fehlerbehebung für Geek übertragen werden.

Sie können der Standardanzeige auch zusätzliche Spalten hinzufügen, indem Sie Optionen -> Spalten auswählen auswählen. Dies wäre nicht unsere Empfehlung für Ihren ersten Stopp, wenn Sie mit dem Testen beginnen, aber da wir die Spalten erläutern, ist es erwähnenswert, dass

Einer der Gründe für das Hinzufügen zusätzlicher Spalten zur Anzeige besteht darin, dass Sie sehr schnell nach diesen Ereignissen filtern können, ohne mit Daten überfordert zu werden. Hier sind einige der zusätzlichen Spalten, die wir verwenden. In der Liste können Sie je nach Situation jedoch auch andere verwenden.

  • Befehlszeile - Sie können zwar auf jedes Ereignis doppelklicken, um die Befehlszeilenargumente für den Prozess anzuzeigen, der jedes Ereignis generiert hat, es kann jedoch nützlich sein, alle Optionen auf einen Blick zu sehen.
  • Name der Firma - Der Hauptgrund für diese Spalte ist, dass Sie einfach alle Microsoft-Ereignisse schnell ausschließen und Ihre Überwachung auf alles andere beschränken können, das nicht zu Windows gehört. (Sie möchten jedoch sicherstellen, dass mit Process Explorer keine seltsamen rundll32.exe-Prozesse ausgeführt werden, da diese möglicherweise Malware verbergen).
  • Übergeordnete PID - Dies kann sehr nützlich sein, wenn Sie Probleme mit einem Prozess beheben, der viele untergeordnete Prozesse enthält, z. B. einen Webbrowser oder eine Anwendung, die immer wieder skizzenhafte Dinge als einen anderen Prozess startet. Sie können dann nach der übergeordneten PID filtern, um sicherzustellen, dass Sie alles erfassen.

Es ist erwähnenswert, dass Sie nach Spaltendaten filtern können, auch wenn die Spalte nicht angezeigt wird. Es ist jedoch viel einfacher, mit der rechten Maustaste zu klicken und zu filtern, als manuell zu tun. Und ja, wir haben wieder Filter erwähnt, obwohl wir sie noch nicht erklärt haben.

Untersuchung eines einzelnen Ereignisses

Das Anzeigen von Dingen in einer Liste ist eine großartige Möglichkeit, eine Vielzahl verschiedener Datenpunkte auf einmal zu sehen. Es ist jedoch definitiv nicht die einfachste Möglichkeit, einzelne Daten zu untersuchen, und es gibt nur so viele Informationen, die Sie in der Liste sehen können Liste. Dankenswerterweise können Sie auf jedes Ereignis doppelklicken, um auf eine Schatztruhe zusätzlicher Informationen zuzugreifen.

Die Standard-Registerkarte "Ereignis" enthält Informationen, die weitgehend den in der Liste angezeigten Informationen entsprechen, fügt jedoch dem Teilnehmer ein wenig mehr Informationen hinzu. Wenn Sie ein Dateisystemereignis betrachten, können Sie bestimmte Informationen wie die Attribute, die Erstellungszeit der Datei, den Zugriff, der während eines Schreibvorgangs versucht wurde, die Anzahl der geschriebenen Bytes und die Dauer anzeigen.

Wenn Sie zur Registerkarte "Prozess" wechseln, erhalten Sie viele nützliche Informationen zu dem Prozess, der das Ereignis generiert hat. Während Sie Process Explorer im Allgemeinen für Prozesse verwenden möchten, kann es sehr nützlich sein, über viele Informationen zu dem bestimmten Prozess zu verfügen, der ein bestimmtes Ereignis generiert hat, insbesondere wenn dies sehr schnell geschieht und dann aus dem Prozess verschwindet Prozessliste. Auf diese Weise werden die Daten erfasst.

Die Registerkarte "Stapel" ist manchmal sehr nützlich, oft jedoch überhaupt nicht. Der Grund, warum Sie sich den Stack ansehen möchten, besteht darin, dass Sie eine Problembehandlung durchführen können, indem Sie die Spalte "Module" auf alles prüfen, was nicht ganz richtig aussieht.

Stellen Sie sich beispielsweise vor, ein Prozess habe ständig versucht, eine nicht vorhandene Datei abzufragen oder darauf zuzugreifen, aber Sie waren sich nicht sicher, warum.Sie können durch die Registerkarte Stapel schauen, ob es Module gibt, die nicht richtig aussehen, und dann nach ihnen suchen. Möglicherweise stellen Sie fest, dass eine veraltete Komponente oder sogar Malware das Problem verursacht.

Oder Sie stellen fest, dass hier nichts für Sie nützlich ist, und das ist auch gut so. Es gibt viele andere Daten, die Sie sich ansehen können.

Hinweise zu Pufferüberläufen

Bevor wir weitermachen, möchten wir einen Ergebniscode notieren, über den Sie eine Menge in der Liste sehen werden. Aufgrund Ihres bisherigen Geek-Wissens könnten Sie ein bisschen ausflippen. Wenn Sie also BUFFER OVERFLOW in der Liste sehen, gehen Sie nicht davon aus, dass jemand versucht, Ihren Computer zu hacken.

Nächste Seite: Filtern der Daten, die Process Monitor erfasst

Top-Tipps:
Kommentare: