Hjemmeside » skole » Bruk Prosess Monitor til Feilsøking og Finn Register Hacks

    Bruk Prosess Monitor til Feilsøking og Finn Register Hacks

    I dagens utgave av Geek School skal vi lære deg hvordan du bruker Process Monitor for å faktisk oppnå feilsøking og finne ut registerhacker som du ikke ville vite om ellers.

    SCHOOL NAVIGASJON
    1. Hva er SysInternals Tools og hvordan bruker du dem?
    2. Forstå Process Explorer
    3. Bruk Prosess Explorer til Feilsøking og diagnostisering
    4. Forstå prosessovervåking
    5. Bruk Prosess Monitor til Feilsøking og Finn Register Hacks
    6. Ved hjelp av Autoruns å håndtere oppstartsprosesser og malware
    7. Bruke BgInfo til å vise systeminformasjon på skrivebordet
    8. Bruke PsTools til å kontrollere andre PCer fra kommandolinjen
    9. Analysere og administrere filer, mapper og stasjoner
    10. Pakke opp og bruke verktøyene sammen

    Process Monitor er et av de mest imponerende verktøyene du kan ha i verktøykassen din, da det er nesten ingen annen måte å se hva et program egentlig gjør under hetten. Det er den eneste måten å vite hvilke filer som skrives til ved hvilken prosess, og hvor ting lagres i registret, og hvilke filer som kommer til dem.

    Vi starter med dagens leksjon ved å se på hvordan du finner registernøkler ved hjelp av Windows-innstillingsdialoger og Process Monitor, og deretter går vi gjennom et faktisk feilsøkingsscenario som vi oppdaget på en av våre datamaskiner i laboratoriet, og løstes lett. bruker Prosess Monitor.

    Bruk Prosess Explorer til å finne registernøkler for vanlige innstillinger

    Alle har klikket på en avkrysningsboks eller endret verdien av en rullegardinboks på et tidspunkt, men har du noen gang lurt på hvor verdiene faktisk lagres? Mange applikasjoner, og nesten alt i Windows, er lagret i registret ... et sted.

    For dagens eksempel skal vi bruke det første alternativet i den første ruten i oppgavelinjen og navigasjonsegenskaper, som er en dialog som bør finnes i alle versjoner av Windows. Så nå er vårt oppdrag å finne ut hvor denne innstillingen faktisk er lagret i registret. Du kan følge med denne bestemte innstillingen, eller du kan prøve en av de andre innstillingene i samme dialog - eller hvor som helst du vil finne den skjulte innstillingsstedet for.

    Det første du vil gjøre når du prøver å fange et sett med data, er å starte Process Monitor, og deretter endre innstillingen. På det tidspunktet kan du stoppe Process Monitor fra å fortsette å fange hendelser, slik at listen ikke går ut av kontroll. (Hint: Filmenyen har alternativet, eller det er det tredje ikonet fra venstre).

    Nå som vi har massevis av data i listen, er det på tide å filtrere listen for å redusere antall rader som vi må se gjennom. Siden vi ser på en registerverdi som endres, må vi filtrere etter "RegSetValue", noe som Windows bruker til å faktisk sette en registernøkkel til en ny innstilling. Bruk "Inkluder" -alternativet til å vise bare de hendelsene.

    Listen din skal nå være begrenset til bare registernøkler som ble endret, så det er på tide å se på hendelsene og prøve å finne ut hvilken registernøkkel det kan være. Siden vi sjekker innstillingen "Lås oppgavelinjen", og en av registernøkkene blir satt, inkluderer ordet "Oppgaveboks" i navnet, det er et bra sted å starte. Høyreklikk på banen og velg å gå til stedet.

    Process Monitor åpner registerredigering og markerer nøkkelen i listen. Nå må vi sørge for at dette faktisk er riktig nøkkel, som er ganske enkelt å finne ut. Ta en titt på innstillingen, og ta en titt på nøkkelen. For øyeblikket er innstillingen på, og nøkkelen er satt til 0.

    Så endre innstillingen, trykk Bruk på dialogboksen, og bruk deretter F5-tasten for å oppdatere vinduet Registerredigering. I vårt tilfelle valgte vi definitivt den riktige innstillingen, så nå kan du se at verdien TaskbarSizeMove er satt til 1.

    Hvis du ikke valgte riktig verdi, vil du ikke se en endring når du gjør innstillingstesten på nytt. Så gå og finn den neste logiske, og start igjen.

    Feilsøkingsproblemer med Prosess Monitor

    Det er egentlig ikke mulig å illustrere i en enkelt artikkel hvordan du feilsøker et problem med Process Monitor, eller noe annet verktøy for den saks skyld. Det er bare altfor mange kombinasjoner av problemer som muligens kan gå galt.

    Det vi kan gjøre, er imidlertid å vise hvordan vi faktisk brukte Process Monitor til å feilsøke et reelt problem som faktisk skjedde med en av våre testdatorer. Vi hadde installert litt crapware, og bestemte oss da for å prøve å rense datamaskinen opp. Problemet var en oppføring i Avinstaller Programmer-panelet som bare ikke ville gå bort.

    Neste side: Feilsøkingsproblemer med Process Monitor