Trang chủ » trường học » Hiểu quy trình giám sát

    Hiểu quy trình giám sát

    Hôm nay trong phiên bản Geek School này, chúng tôi sẽ dạy cho bạn về cách tiện ích Process Monitor cho phép bạn nhìn trộm dưới mui xe và xem những ứng dụng yêu thích của bạn thực sự hoạt động đằng sau hậu trường - những tệp nào họ đang truy cập, các khóa đăng ký họ sử dụng, và nhiều hơn nữa.

    CHUYỂN ĐỔI TRƯỜNG
    1. Công cụ SysIternals là gì và bạn sử dụng chúng như thế nào?
    2. Hiểu quy trình Explorer
    3. Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
    4. Hiểu quy trình giám sát
    5. Sử dụng Trình giám sát quy trình để khắc phục sự cố và Tìm Hacks Registry
    6. Sử dụng Autorun để xử lý các quy trình khởi động và phần mềm độc hại
    7. Sử dụng BgInfo để hiển thị thông tin hệ thống trên máy tính để bàn
    8. Sử dụng PsTools để điều khiển các PC khác từ Dòng lệnh
    9. Phân tích và quản lý tập tin, thư mục và ổ đĩa của bạn
    10. Kết hợp và sử dụng các công cụ với nhau

    Không giống như tiện ích Process Explorer mà chúng tôi đã dành vài ngày, Process Monitor có nghĩa là một cái nhìn thụ động đối với mọi thứ xảy ra trên máy tính của bạn, không phải là một công cụ hoạt động để tiêu diệt các tiến trình hoặc đóng tay cầm. Điều này giống như xem qua một logfile toàn cầu cho mọi sự kiện xảy ra trên PC Windows của bạn.

    Bạn muốn hiểu khóa đăng ký nào mà ứng dụng yêu thích của bạn thực sự đang lưu trữ cài đặt của chúng? Bạn muốn tìm ra những tập tin mà một dịch vụ đang chạm vào và tần suất như thế nào? Bạn muốn xem khi một ứng dụng đang kết nối với mạng hoặc mở một quy trình mới? Đó là quy trình giám sát để giải cứu.

    Chúng tôi không còn thực hiện nhiều bài viết hack registry nữa, nhưng trở lại khi chúng tôi bắt đầu sử dụng Process Monitor để tìm ra khóa đăng ký nào đang được truy cập, sau đó điều chỉnh các khóa registry đó để xem điều gì sẽ xảy ra. Nếu bạn đã từng tự hỏi làm thế nào một số người đam mê tìm ra một bản hack registry mà chưa ai từng thấy, thì có lẽ đó là thông qua Process Monitor.

    Tiện ích Monitor Monitor được tạo bằng cách kết hợp hai tiện ích trường học cũ khác nhau với nhau, Filemon và Regmon, được sử dụng để giám sát các tệp và hoạt động đăng ký như tên của chúng. Mặc dù các tiện ích đó vẫn có sẵn ngoài đó và mặc dù chúng có thể phù hợp với nhu cầu cụ thể của bạn, nhưng bạn sẽ thấy tốt hơn với Process Monitor, vì nó có thể xử lý một khối lượng lớn các sự kiện tốt hơn do thực tế là nó được thiết kế để làm như vậy.

    Cũng đáng lưu ý rằng Trình giám sát quy trình luôn yêu cầu chế độ quản trị viên vì nó tải trình điều khiển hạt nhân dưới mui xe để ghi lại tất cả các sự kiện đó. Trên Windows Vista trở lên, bạn sẽ được nhắc với hộp thoại UAC, nhưng đối với XP hoặc 2003, bạn sẽ cần đảm bảo tài khoản bạn sử dụng có đặc quyền Quản trị viên.

    Các sự kiện mà quá trình giám sát bắt giữ

    Process Monitor thu được rất nhiều dữ liệu, nhưng nó không thu thập được mọi thứ xảy ra trên PC của bạn. Chẳng hạn, Process Monitor không quan tâm nếu bạn di chuyển chuột và nó không biết liệu trình điều khiển của bạn có hoạt động tối ưu hay không. Nó sẽ không theo dõi quá trình nào đang mở và lãng phí CPU trên máy tính của bạn - rốt cuộc đó là công việc của Process Explorer.

    Những gì nó làm là nắm bắt các loại hoạt động I / O (Đầu vào / Đầu ra) cụ thể, cho dù chúng xảy ra thông qua hệ thống tệp, sổ đăng ký hoặc thậm chí cả mạng. Nó cũng sẽ theo dõi một vài sự kiện khác trong một thời gian hạn chế. Danh sách này bao gồm các sự kiện mà nó nắm bắt:

    • Đăng ký - điều này có thể là tạo khóa, đọc chúng, xóa chúng hoặc truy vấn chúng. Bạn sẽ ngạc nhiên khi tần suất này xảy ra.
    • Hệ thống tập tin - đây có thể là tạo tệp, ghi, xóa, v.v. và nó có thể dành cho cả ổ cứng cục bộ và ổ đĩa mạng.
    • Mạng - điều này sẽ hiển thị nguồn và đích của lưu lượng TCP / UDP, nhưng thật đáng buồn là nó không hiển thị dữ liệu, làm cho nó ít hữu ích hơn một chút.
    • Quá trình - Đây là các sự kiện cho các quy trình và luồng trong đó quy trình được bắt đầu, luồng bắt đầu hoặc thoát, v.v ... Đây có thể là thông tin hữu ích trong một số trường hợp nhất định, nhưng thường là thứ bạn muốn xem trong Process Explorer thay thế.
    • Hồ sơ - Các sự kiện này được Process Monitor ghi lại để kiểm tra lượng thời gian của bộ xử lý được sử dụng bởi mỗi quy trình và việc sử dụng bộ nhớ. Một lần nữa, có lẽ bạn sẽ muốn sử dụng Process Explorer để theo dõi những thứ này hầu hết thời gian, nhưng nó hữu ích ở đây nếu bạn cần nó.

    Vì vậy, Process Monitor có thể nắm bắt bất kỳ loại hoạt động I / O nào, cho dù điều đó xảy ra thông qua sổ đăng ký, hệ thống tệp hoặc thậm chí cả mạng - mặc dù dữ liệu thực tế được ghi không được ghi lại. Chúng ta chỉ nhìn vào thực tế là một quá trình đang viết cho một trong những luồng này, vì vậy sau này chúng ta có thể tìm hiểu thêm về những gì đang xảy ra.

    Giao diện giám sát quá trình

    Khi bạn lần đầu tiên tải lên giao diện Trình theo dõi tiến trình, bạn sẽ được cung cấp một số lượng lớn dữ liệu, với nhiều dữ liệu bay vào nhanh hơn và có thể quá tải. Điều quan trọng là có một số ý tưởng, ít nhất, về những gì bạn đang xem, cũng như những gì bạn đang tìm kiếm. Đây không phải là loại công cụ mà bạn dành một ngày thư giãn để duyệt qua, bởi vì trong một khoảng thời gian rất ngắn, bạn sẽ nhìn vào hàng triệu hàng.

    Điều đầu tiên bạn muốn làm là lọc hàng triệu hàng đó xuống tập hợp dữ liệu nhỏ hơn nhiều mà bạn muốn xem và chúng tôi sẽ hướng dẫn bạn cách tạo bộ lọc và không chính xác những gì bạn muốn tìm . Nhưng trước tiên, bạn nên hiểu giao diện và dữ liệu nào thực sự có sẵn.

    Nhìn vào các cột mặc định

    Các cột mặc định hiển thị rất nhiều thông tin hữu ích, nhưng bạn chắc chắn sẽ cần một số ngữ cảnh để hiểu dữ liệu mà mỗi người thực sự chứa, bởi vì một số trong đó có thể trông giống như một cái gì đó tồi tệ đã xảy ra khi chúng là những sự kiện vô tội xảy ra mọi lúc mui xe. Đây là những gì mỗi cột mặc định được sử dụng cho:

    • Thời gian - cột này khá tự giải thích, nó cho thấy thời gian chính xác mà một sự kiện đã xảy ra.
    • Tên quy trình - tên của quá trình tạo ra sự kiện. Điều này không hiển thị đường dẫn đầy đủ đến tệp theo mặc định, nhưng nếu bạn di chuột qua trường, bạn có thể thấy chính xác đó là quá trình.
    • PID - ID tiến trình của quá trình tạo ra sự kiện. Điều này rất hữu ích nếu bạn đang cố gắng hiểu quá trình svchost.exe nào đã tạo ra sự kiện. Đây cũng là một cách tuyệt vời để cô lập một quy trình duy nhất để giám sát, giả sử rằng quy trình đó không tự khởi chạy lại.
    • Hoạt động - đây là tên của hoạt động đang được ghi lại và có một biểu tượng khớp với một trong các loại sự kiện (đăng ký, tệp, mạng, quy trình). Đây có thể là một chút khó hiểu, như RegQueryKey hoặc WriteFile, nhưng chúng tôi sẽ cố gắng giúp bạn vượt qua sự nhầm lẫn.
    • Con đường - đây không phải là con đường của quá trình, nó là con đường dẫn đến bất cứ điều gì đang được thực hiện bởi sự kiện này. Chẳng hạn, nếu có một sự kiện WriteFile, trường này sẽ hiển thị tên của tệp hoặc thư mục được chạm vào. Nếu đây là một sự kiện đăng ký, nó sẽ hiển thị toàn bộ khóa được truy cập.
    • Kết quả - Điều này cho thấy kết quả của hoạt động, mã mà SUCCESS hoặc ACCESS DENIED. Mặc dù bạn có thể bị cám dỗ tự động cho rằng BUFFER QUÁ NHỎ có nghĩa là điều gì đó thực sự tồi tệ đã xảy ra, nhưng thực tế đó không phải là trường hợp thường xuyên.
    • Chi tiết - thông tin bổ sung thường không chuyển sang thế giới xử lý sự cố thông thường.

    Bạn cũng có thể thêm một số cột bổ sung vào màn hình mặc định bằng cách đi tới Tùy chọn -> Chọn Cột. Đây không phải là đề xuất của chúng tôi cho điểm dừng đầu tiên của bạn khi bạn bắt đầu thử nghiệm, nhưng vì chúng tôi đang giải thích các cột, nên đã đề cập đến.

    Một trong những lý do để thêm các cột bổ sung vào màn hình là vì vậy bạn có thể nhanh chóng lọc theo các sự kiện đó mà không bị quá tải dữ liệu. Dưới đây là một số cột bổ sung mà chúng tôi sử dụng, nhưng bạn có thể tìm thấy sử dụng cho một số cột khác trong danh sách tùy thuộc vào tình huống.

    • Dòng lệnh - trong khi bạn có thể nhấp đúp vào bất kỳ sự kiện nào để xem các đối số dòng lệnh cho quá trình tạo ra mỗi sự kiện, có thể hữu ích để xem nhanh tất cả các tùy chọn.
    • Tên công ty - lý do chính khiến cột này hữu ích là vì vậy bạn có thể nhanh chóng loại trừ tất cả các sự kiện của Microsoft và thu hẹp sự giám sát của bạn với mọi thứ khác không phải là một phần của Windows. (Bạn sẽ muốn đảm bảo rằng bạn không có bất kỳ quy trình rundll32.exe kỳ lạ nào đang chạy bằng Process Explorer, vì chúng có thể ẩn phần mềm độc hại).
    • Phụ huynh - điều này có thể rất hữu ích khi bạn đang khắc phục sự cố một quy trình có chứa nhiều quy trình con, như trình duyệt web hoặc ứng dụng tiếp tục khởi chạy những thứ sơ sài như một quy trình khác. Sau đó, bạn có thể lọc theo Phụ huynh PID để đảm bảo rằng bạn nắm bắt mọi thứ.

    Điều đáng chú ý là bạn có thể lọc theo dữ liệu cột ngay cả khi cột không hiển thị, nhưng nhấp chuột phải và lọc dễ dàng hơn nhiều so với thực hiện thủ công. Và vâng, chúng tôi đã đề cập đến các bộ lọc một lần nữa mặc dù chúng tôi chưa giải thích chúng.

    Kiểm tra một sự kiện duy nhất

    Xem mọi thứ trong danh sách là một cách tuyệt vời để nhanh chóng thấy nhiều điểm dữ liệu khác nhau cùng một lúc, nhưng chắc chắn đó không phải là cách dễ nhất để kiểm tra một mẩu dữ liệu và chỉ có rất nhiều thông tin bạn có thể thấy trong danh sách. Rất may, bạn có thể nhấp đúp vào bất kỳ sự kiện nào để truy cập vào kho thông tin bổ sung.

    Tab Sự kiện mặc định cung cấp cho bạn thông tin gần giống với những gì bạn đã thấy trong danh sách, nhưng sẽ thêm một chút thông tin cho bữa tiệc. Nếu bạn đang xem một sự kiện hệ thống tệp, bạn sẽ có thể thấy một số thông tin nhất định như thuộc tính, thời gian tạo tệp, quyền truy cập đã được thử trong một thao tác ghi, số byte được ghi và thời lượng.

    Chuyển sang tab Process cung cấp cho bạn nhiều thông tin tuyệt vời về quy trình tạo ra sự kiện. Mặc dù bạn thường muốn sử dụng Process Explorer để xử lý các quy trình, nhưng sẽ rất hữu ích khi có nhiều thông tin về quy trình cụ thể đã tạo ra một sự kiện cụ thể, đặc biệt nếu đó là một sự việc xảy ra rất nhanh và sau đó biến mất khỏi danh sách quá trình. Bằng cách này, dữ liệu được thu thập.

    Tab Stack là thứ đôi khi sẽ cực kỳ hữu ích, nhưng thường thì sẽ không hữu ích chút nào. Lý do tại sao bạn muốn xem ngăn xếp là vì vậy bạn có thể khắc phục sự cố bằng cách kiểm tra cột Mô-đun xem có gì không ổn không.

    Ví dụ, hãy tưởng tượng rằng một quá trình liên tục cố gắng truy vấn hoặc truy cập vào một tệp không tồn tại, nhưng bạn không chắc tại sao. Bạn có thể xem qua tab Stack và xem liệu có bất kỳ mô-đun nào trông không đúng, sau đó nghiên cứu chúng. Bạn có thể tìm thấy một thành phần lỗi thời hoặc thậm chí phần mềm độc hại đang gây ra sự cố.

    Hoặc, bạn có thể thấy rằng không có gì hữu ích ở đây cho bạn và điều đó cũng tốt. Có rất nhiều dữ liệu khác để xem xét.

    Ghi chú về tràn bộ đệm

    Trước khi chúng tôi tiếp tục tiến xa hơn, chúng tôi sẽ muốn lưu ý một mã kết quả mà bạn sẽ bắt đầu thấy rất nhiều trong danh sách, và dựa trên tất cả kiến ​​thức chuyên môn của bạn cho đến nay, bạn có thể hơi bối rối. Vì vậy, nếu bạn bắt đầu thấy BUFFER OVERFLOW trong danh sách, vui lòng đừng cho rằng ai đó đang cố gắng hack máy tính của bạn.

    Trang tiếp theo: Lọc dữ liệu mà Giám sát quy trình chụp

    Hiểu về Bộ định tuyến, Chuyển mạch và Phần cứng Mạng
    Hiểu về đồng bộ và không đồng bộ trong JavaScript - Phần 2
    Hiểu các tương tác vi mô trong thiết kế ứng dụng di động
    Bài viết tiếp theo
    Hiểu về yếu tố giả trước và sau
    Bài báo trước
    Hiểu quy trình Explorer