Beranda » sekolah » Memahami Proses Monitor

    Memahami Proses Monitor

    Hari ini di Geek School edisi ini kami akan mengajari Anda tentang bagaimana utilitas Process Monitor memungkinkan Anda untuk mengintip di balik tenda dan melihat apa yang sebenarnya dilakukan aplikasi favorit Anda di balik layar - file apa yang mereka akses, kunci registri yang mereka gunakan. gunakan, dan banyak lagi.

    NAVIGASI SEKOLAH
    1. Apa Alat SysInternals dan Bagaimana Cara Anda Menggunakannya?
    2. Memahami Proses Explorer
    3. Menggunakan Process Explorer untuk Mengatasi Masalah dan Diagnosis
    4. Memahami Proses Monitor
    5. Menggunakan Monitor Proses untuk Memecahkan Masalah dan Menemukan Hacks Registry
    6. Menggunakan Autoruns untuk Menangani Proses Startup dan Malware
    7. Menggunakan BgInfo untuk Menampilkan Informasi Sistem di Desktop
    8. Menggunakan PsTools untuk Mengontrol PC Lain dari Baris Perintah
    9. Menganalisis dan Mengelola File, Folder, dan Drive Anda
    10. Membungkus dan Menggunakan Alat Bersama

    Tidak seperti utilitas Process Explorer yang telah kami habiskan selama beberapa hari, Process Monitor dimaksudkan untuk menjadi pasif melihat segala sesuatu yang terjadi di komputer Anda, bukan alat aktif untuk mematikan proses atau pegangan penutup. Ini seperti mengintip logfile global untuk setiap peristiwa yang terjadi pada PC Windows Anda.

    Ingin mengerti kunci registri mana aplikasi favorit Anda sebenarnya menyimpan pengaturan mereka? Ingin mengetahui file apa yang disentuh layanan dan seberapa sering? Ingin melihat kapan aplikasi terhubung ke jaringan atau membuka proses baru? Ini Monitor Proses untuk menyelamatkan.

    Kami tidak melakukan banyak artikel peretasan registri lagi, tetapi ketika kami pertama kali memulai kami akan menggunakan Monitor Proses untuk mencari tahu kunci registri apa yang sedang diakses, dan kemudian men-tweak kunci registri tersebut untuk melihat apa yang akan terjadi. Jika Anda pernah bertanya-tanya bagaimana beberapa geek menemukan hack registri yang belum pernah dilihat siapa pun, itu mungkin melalui Process Monitor.

    Utilitas Monitor Proses dibuat dengan menggabungkan dua utilitas sekolah tua yang berbeda bersama-sama, Filemon dan Regmon, yang digunakan untuk memantau file dan aktivitas registri sesuai namanya. Sementara utilitas tersebut masih tersedia di luar sana, dan meskipun mungkin sesuai dengan kebutuhan khusus Anda, Anda akan jauh lebih baik dengan Process Monitor, karena dapat menangani volume besar acara yang lebih baik karena fakta bahwa itu dirancang untuk melakukannya..

    Perlu juga dicatat bahwa Monitor Proses selalu memerlukan mode administrator karena memuat driver kernel di bawah tenda untuk menangkap semua peristiwa itu. Pada Windows Vista dan yang lebih baru, Anda akan diminta dengan dialog UAC, tetapi untuk XP atau 2003, Anda harus memastikan bahwa akun yang Anda gunakan memiliki hak Administrator..

    Peristiwa yang Memproses Capture Monitor

    Process Monitor menangkap banyak data, tetapi tidak menangkap setiap hal yang terjadi pada PC Anda. Misalnya, Monitor Proses tidak peduli jika Anda menggerakkan mouse Anda, dan tidak tahu apakah driver Anda bekerja secara optimal. Ini tidak akan melacak proses mana yang terbuka dan membuang-buang CPU di komputer Anda - itu adalah tugas Process Explorer.

    Apa yang dilakukannya adalah menangkap tipe spesifik dari operasi I / O (Input / Output), apakah itu terjadi melalui sistem file, registri, atau bahkan jaringan. Selain itu akan melacak beberapa acara lainnya secara terbatas. Daftar ini mencakup peristiwa yang ditangkap:

    • Daftar - ini bisa berupa membuat kunci, membacanya, menghapusnya, atau menanyakannya. Anda akan terkejut betapa seringnya ini terjadi.
    • Berkas sistem - ini bisa berupa pembuatan file, menulis, menghapus, dll, dan bisa untuk hard drive lokal dan drive jaringan.
    • Jaringan - ini akan menunjukkan sumber dan tujuan lalu lintas TCP / UDP, tetapi sayangnya itu tidak menunjukkan data, membuatnya sedikit kurang berguna.
    • Proses - Ini adalah acara untuk proses dan utas di mana proses dimulai, utas dimulai atau keluar, dll. Ini bisa menjadi informasi yang berguna dalam kasus tertentu, tetapi sering kali Anda ingin melihatnya di Process Explorer sebagai gantinya.
    • Pembuatan profil - Peristiwa ini ditangkap oleh Process Monitor untuk memeriksa jumlah waktu prosesor yang digunakan oleh setiap proses, dan penggunaan memori. Sekali lagi, Anda mungkin ingin menggunakan Process Explorer untuk melacak hal-hal ini sebagian besar waktu, tetapi ini berguna di sini jika Anda membutuhkannya.

    Jadi Process Monitor dapat menangkap semua jenis operasi I / O, apakah itu terjadi melalui registri, sistem file, atau bahkan jaringan - meskipun data aktual yang sedang ditulis tidak ditangkap. Kami hanya melihat fakta bahwa suatu proses menulis ke salah satu aliran ini, sehingga kami nanti dapat mencari tahu lebih banyak tentang apa yang terjadi.

    Antarmuka Monitor Proses

    Saat Anda pertama kali memuat antarmuka Proses Monitor, Anda akan dihadapkan dengan sejumlah besar baris data, dengan lebih banyak data terbang dengan cepat, dan itu bisa luar biasa. Kuncinya adalah memiliki beberapa ide, setidaknya, tentang apa yang Anda lihat, serta apa yang Anda cari. Ini bukan jenis alat yang Anda habiskan untuk bersantai seharian menelusuri, karena dalam periode waktu yang sangat singkat, Anda akan melihat jutaan baris.

    Hal pertama yang ingin Anda lakukan adalah memfilter jutaan baris ke subkumpulan data yang jauh lebih kecil yang ingin Anda lihat, dan kami akan mengajarkan Anda cara membuat filter dan menambahkan apa yang ingin Anda temukan . Tetapi pertama-tama, Anda harus memahami antarmuka dan data apa yang sebenarnya tersedia.

    Melihat Kolom Default

    Kolom default menunjukkan satu ton informasi berguna, tetapi Anda pasti akan memerlukan beberapa konteks untuk memahami data apa yang sebenarnya masing-masing berisi, karena beberapa dari mereka mungkin terlihat seperti sesuatu yang buruk terjadi ketika mereka benar-benar peristiwa tidak bersalah yang terjadi sepanjang waktu di bawah kap. Inilah yang digunakan untuk masing-masing kolom default:

    • Waktu - kolom ini cukup jelas, ini menunjukkan waktu yang tepat ketika suatu peristiwa terjadi.
    • Nama proses - nama proses yang menghasilkan acara. Ini tidak menunjukkan path lengkap ke file secara default, tetapi jika Anda mengarahkan kursor ke atas lapangan, Anda dapat melihat proses yang sebenarnya.
    • PID - ID proses dari proses yang menghasilkan acara. Ini sangat berguna jika Anda mencoba memahami proses svchost.exe mana yang menghasilkan peristiwa tersebut. Ini juga merupakan cara yang bagus untuk mengisolasi satu proses tunggal untuk pemantauan, dengan asumsi proses itu tidak diluncurkan kembali dengan sendirinya.
    • Operasi - ini adalah nama operasi yang sedang dicatat, dan ada ikon yang cocok dengan salah satu jenis acara (registri, file, jaringan, proses). Ini bisa sedikit membingungkan, seperti RegQueryKey atau WriteFile, tetapi kami akan mencoba dan membantu Anda melalui kebingungan.
    • Path - ini bukan jalan proses, itu jalan apa pun yang sedang dikerjakan oleh acara ini. Misalnya, jika ada acara WriteFile, bidang ini akan menunjukkan nama file atau folder yang disentuh. Jika ini adalah acara registri, itu akan menunjukkan kunci lengkap sedang diakses.
    • Hasil - Ini menunjukkan hasil operasi, yang kode-kode seperti SUKSES atau AKSES DITOLAK. Meskipun Anda mungkin tergoda untuk secara otomatis menganggap bahwa BUFFER TERLALU KECIL berarti sesuatu yang sangat buruk terjadi, itu sebenarnya tidak selalu terjadi..
    • Detail - informasi tambahan yang sering tidak diterjemahkan ke dalam dunia pemecahan masalah geek biasa.

    Anda juga dapat menambahkan beberapa kolom tambahan ke tampilan default dengan masuk ke Pilihan -> Pilih Kolom. Ini tidak akan menjadi rekomendasi kami untuk pemberhentian pertama Anda saat Anda memulai pengujian, tetapi karena kami sedang menjelaskan kolom, itu sudah layak disebutkan.

    Salah satu alasan untuk menambahkan kolom tambahan ke layar adalah agar Anda dapat dengan cepat memfilter berdasarkan peristiwa tersebut tanpa dibanjiri data. Berikut adalah beberapa kolom tambahan yang kami gunakan, tetapi Anda mungkin menemukan beberapa kolom lain dalam daftar tergantung situasinya.

    • Garis komando - sementara Anda dapat mengklik dua kali pada peristiwa apa pun untuk melihat argumen baris perintah untuk proses yang menghasilkan setiap peristiwa, akan bermanfaat untuk melihat sekilas semua opsi.
    • Nama Perusahaan - alasan utama kolom ini berguna adalah agar Anda dapat mengecualikan semua acara Microsoft dengan cepat dan mempersempit pemantauan Anda ke semua hal lain yang bukan bagian dari Windows. (Anda harus memastikan bahwa Anda tidak memiliki proses rundll32.exe aneh yang berjalan menggunakan Process Explorer, karena itu bisa saja menyembunyikan malware).
    • PID Induk - ini bisa sangat berguna ketika Anda memecahkan masalah proses yang berisi banyak proses anak, seperti browser web atau aplikasi yang terus meluncurkan hal-hal yang samar sebagai proses lain. Anda kemudian dapat memfilter dengan PID Induk untuk memastikan bahwa Anda menangkap semuanya.

    Perlu dicatat bahwa Anda dapat memfilter menurut data kolom meskipun kolom tidak ditampilkan, tetapi lebih mudah untuk mengklik kanan dan memfilter daripada melakukannya secara manual. Dan ya, kami menyebutkan filter lagi meskipun kami belum menjelaskannya.

    Meneliti Acara Tunggal

    Melihat hal-hal dalam daftar adalah cara yang bagus untuk dengan cepat melihat banyak titik data yang berbeda sekaligus, tetapi jelas bukan cara termudah untuk memeriksa satu bagian data, dan hanya ada begitu banyak informasi yang dapat Anda lihat di daftar. Untungnya Anda dapat mengklik dua kali pada acara apa pun untuk mengakses harta karun informasi tambahan.

    Tab Acara default memberi Anda informasi yang sebagian besar mirip dengan apa yang Anda lihat dalam daftar, tetapi akan menambahkan sedikit lebih banyak informasi ke pesta. Jika Anda melihat acara sistem file, Anda akan dapat melihat informasi tertentu seperti atribut, waktu pembuatan file, akses yang dicoba selama operasi penulisan, jumlah byte yang ditulis, dan durasi.

    Beralih ke tab Proses memberi Anda banyak informasi hebat tentang proses yang menghasilkan acara. Meskipun umumnya Anda ingin menggunakan Process Explorer untuk menangani proses, akan sangat berguna untuk memiliki banyak informasi tentang proses spesifik yang menghasilkan peristiwa tertentu, terutama jika itu adalah sesuatu yang terjadi dengan sangat cepat dan kemudian menghilang dari Daftar proses. Dengan cara ini data ditangkap.

    Tab Stack adalah sesuatu yang kadang-kadang akan sangat berguna, tetapi sering kali tidak akan berguna sama sekali. Alasan mengapa Anda ingin melihat tumpukan adalah agar Anda dapat memecahkan masalah dengan memeriksa kolom Modul untuk apa pun yang terlihat tidak beres..

    Sebagai contoh, bayangkan suatu proses terus-menerus mencoba untuk meminta atau mengakses file yang tidak ada, tetapi Anda tidak yakin mengapa. Anda dapat melihat melalui tab Stack dan melihat apakah ada modul yang tidak beres, lalu teliti. Anda mungkin menemukan komponen yang ketinggalan zaman, atau bahkan malware, yang menyebabkan masalah.

    Atau, Anda mungkin menemukan bahwa tidak ada sesuatu yang berguna di sini untuk Anda, dan itu juga baik-baik saja. Ada banyak data lain untuk dilihat.

    Catatan tentang Buffer Overflows

    Bahkan sebelum kita melangkah lebih jauh, kita akan ingin mencatat kode hasil yang Anda akan mulai melihat banyak dalam daftar, dan berdasarkan semua pengetahuan geek Anda sejauh ini, Anda mungkin sedikit panik. Jadi jika Anda mulai melihat BUFFER OVERFLOW dalam daftar, jangan berasumsi bahwa seseorang mencoba meretas komputer Anda.

    Halaman Berikutnya: Memfilter Data yang Memproses Monitor Monitor