NAVEGAÇÃO ESCOLAR
- Quais são as ferramentas SysInternals e como você as usa?
- Entendendo o Process Explorer
- Usando o Process Explorer para solucionar problemas e diagnosticar
- Entendendo o Process Monitor
- Usando o Process Monitor para solucionar problemas e localizar os Hacks do Registro
- Usando o Autoruns para lidar com processos de inicialização e malware
- Usando o BgInfo para exibir informações do sistema na área de trabalho
- Usando o PsTools para controlar outros PCs a partir da linha de comando
- Analisando e gerenciando seus arquivos, pastas e unidades
- Encerrando e usando as ferramentas juntas
Ao contrário do utilitário Process Explorer, que passamos alguns dias cobrindo, o Process Monitor é uma visão passiva de tudo o que acontece no seu computador, não uma ferramenta ativa para matar processos ou fechar alças. É como dar uma olhada em um arquivo de log global para cada evento que acontece no seu PC Windows.
Quer entender quais chaves de registro seu aplicativo favorito está realmente armazenando suas configurações? Quer descobrir quais arquivos um serviço está tocando e com que frequência? Quer ver quando um aplicativo está se conectando à rede ou abrindo um novo processo? É o Process Monitor para o resgate.
Não fazemos mais muitos artigos de hack do registro, mas, quando começamos, usávamos o Process Monitor para descobrir quais chaves de registro estavam sendo acessadas e depois ajustávamos as chaves de registro para ver o que aconteceria. Se você já se perguntou como alguns nerds descobriram um hack do registro que ninguém nunca viu, provavelmente foi através do Process Monitor.
O utilitário Process Monitor foi criado pela combinação de dois utilitários diferentes da escola antiga, o Filemon e o Regmon, que eram usados para monitorar os arquivos e a atividade do registro, como seus nomes implicam. Embora esses utilitários ainda estejam disponíveis por aí, e embora possam atender às suas necessidades específicas, você ficaria muito melhor com o Process Monitor, porque ele pode lidar com um grande volume de eventos melhor devido ao fato de ter sido projetado para isso.
Também vale a pena observar que o Process Monitor sempre requer o modo de administrador, pois ele carrega um driver de kernel sob o capô para capturar todos esses eventos. No Windows Vista e versões posteriores, você receberá uma caixa de diálogo do UAC, mas, para o XP ou o 2003, precisará garantir que a conta usada tenha privilégios de administrador.
Os eventos que processam capturas do monitor
O Process Monitor captura uma tonelada de dados, mas não captura todas as coisas que acontecem no seu PC. Por exemplo, o Process Monitor não se importa se você movimenta o mouse e não sabe se os drivers estão funcionando da maneira ideal. Não vai acompanhar quais processos estão abertos e desperdiçando CPU no seu computador - afinal, esse é o trabalho do Process Explorer.
O que ele faz é capturar tipos específicos de operações de E / S (Entrada / Saída), independentemente de acontecerem através do sistema de arquivos, do registro ou até mesmo da rede. Além disso, irá acompanhar alguns outros eventos de forma limitada. Esta lista cobre os eventos que ela captura:
- Registro - isso pode criar chaves, lê-las, excluí-las ou consultá-las. Você ficará surpreso com a frequência com que isso acontece.
- Sistema de arquivo - isso pode ser criação, gravação, exclusão de arquivos, etc, e pode ser tanto para discos rígidos locais quanto para unidades de rede.
- Rede - isso mostrará a origem e o destino do tráfego TCP / UDP, mas, infelizmente, ele não mostra os dados, tornando-os um pouco menos úteis.
- Processo - Estes são eventos para processos e encadeamentos nos quais um processo é iniciado, um encadeamento é iniciado ou encerrado, etc. Isso pode ser uma informação útil em determinadas instâncias, mas geralmente é algo que você gostaria de ver no Process Explorer.
- Profiling - Esses eventos são capturados pelo Process Monitor para verificar a quantidade de tempo do processador usada por cada processo e o uso da memória. Novamente, você provavelmente desejaria usar o Process Explorer para rastrear essas coisas a maior parte do tempo, mas é útil aqui se você precisar.
Portanto, o Process Monitor pode capturar qualquer tipo de operação de E / S, seja por meio do registro, do sistema de arquivos ou até mesmo da rede, embora os dados reais que estão sendo gravados não sejam capturados. Estamos apenas observando o fato de que um processo está sendo gravado em um desses fluxos, para que possamos descobrir mais sobre o que está acontecendo.
A interface do monitor de processo
Quando você carrega a interface do Process Monitor pela primeira vez, você verá um grande número de linhas de dados, com mais dados voando rapidamente e pode ser esmagador. A chave é ter alguma idéia, pelo menos, sobre o que você está olhando, bem como o que você está procurando. Este não é o tipo de ferramenta que você passa um dia relaxante navegando, porque dentro de um período de tempo muito curto, você verá milhões de linhas.
A primeira coisa que você vai querer fazer é filtrar esses milhões de linhas até o subconjunto muito menor de dados que você deseja ver, e vamos ensiná-lo a criar filtros e analisar exatamente o que você quer encontrar. Mas primeiro, você deve entender a interface e quais dados estão realmente disponíveis.
Olhando para as colunas padrão
As colunas padrão mostram uma tonelada de informações úteis, mas você definitivamente precisará de algum contexto para entender quais dados cada um realmente contém, porque alguns deles podem parecer que algo ruim aconteceu quando eles são eventos realmente inocentes que acontecem o tempo todo sob o capuz. Veja o que cada uma das colunas padrão é usada para:
- Tempo - esta coluna é bastante autoexplicativa, mostra a hora exata em que um evento ocorreu.
- Nome do processo - o nome do processo que gerou o evento. Isso não mostra o caminho completo para o arquivo por padrão, mas se você passar o mouse sobre o campo, poderá ver exatamente qual processo foi.
- PID - o ID do processo do processo que gerou o evento. Isso é muito útil se você estiver tentando entender qual processo svchost.exe gerou o evento. Também é uma ótima maneira de isolar um único processo para monitoramento, presumindo que o processo não seja reiniciado.
- Operação - este é o nome da operação que está sendo registrada, e há um ícone que corresponde a um dos tipos de eventos (registro, arquivo, rede, processo). Estes podem ser um pouco confusos, como RegQueryKey ou WriteFile, mas vamos tentar ajudá-lo com a confusão.
- Caminho - este não é o caminho do processo, é o caminho para o que estava sendo trabalhado por este evento. Por exemplo, se houver um evento WriteFile, esse campo mostrará o nome do arquivo ou pasta que está sendo tocado. Se este fosse um evento de registro, ele mostraria a chave completa sendo acessada.
- Resultado - Isso mostra o resultado da operação, que codifica como SUCESSO ou ACESSO NEGADO. Enquanto você pode ser tentado a assumir automaticamente que um BUFFER TOO SMALL significa que algo realmente ruim aconteceu, na verdade não é o caso na maioria das vezes.
- Detalhe - informações adicionais que muitas vezes não se traduzem no mundo da solução de problemas normal.
Você também pode adicionar algumas colunas adicionais à exibição padrão acessando Opções -> Selecionar Colunas. Essa não seria nossa recomendação para sua primeira parada quando você começar os testes, mas, como estamos explicando as colunas, vale a pena mencionar já.
- Linha de comando - enquanto você pode clicar duas vezes em qualquer evento para ver os argumentos da linha de comando para o processo que gerou cada evento, pode ser útil ver rapidamente todas as opções.
- Nome da empresa - A principal razão pela qual esta coluna é útil é que você pode simplesmente excluir todos os eventos da Microsoft rapidamente e restringir seu monitoramento a tudo o que não faz parte do Windows. No entanto, certifique-se de que você não tem nenhum processo rundll32.exe estranho usando o Process Explorer, pois eles podem estar ocultando malware.
- Pai PID - isso pode ser muito útil quando você está solucionando um processo que contém muitos processos filho, como um navegador da Web ou um aplicativo que continua lançando coisas incompletas como outro processo. Você pode filtrar pelo PID Pai para ter certeza de capturar tudo.
Vale a pena notar que você pode filtrar por dados da coluna mesmo que a coluna não esteja sendo exibida, mas é muito mais fácil clicar e filtrar com o botão direito do que manualmente. E sim, mencionamos os filtros novamente, embora ainda não os tenhamos explicado.
Examinando um único evento
Visualizar as coisas em uma lista é uma ótima maneira de ver rapidamente muitos pontos de dados diferentes de uma só vez, mas definitivamente não é a maneira mais fácil de examinar um único dado, e há tanta informação que você pode ver na lista. Lista. Felizmente, você pode clicar duas vezes em qualquer evento para acessar um tesouro de informações extras.
A guia Evento padrão fornece informações muito semelhantes às que você viu na lista, mas adicionará um pouco mais de informações à parte. Se você estiver vendo um evento do sistema de arquivos, poderá ver determinadas informações, como atributos, tempo de criação do arquivo, o acesso que foi tentado durante uma operação de gravação, o número de bytes que foram gravados e a duração.
Por exemplo, imagine que um processo estava constantemente tentando consultar ou acessar um arquivo que não existe, mas você não tinha certeza do motivo.Você pode procurar na guia "Pilha" e ver se havia algum módulo que não parecia certo e pesquisá-lo. Você pode descobrir que um componente desatualizado, ou até malware, está causando o problema.
Notas sobre transbordamentos de buffer
Antes de prosseguirmos, gostaríamos de anotar um código de resultado que você vai começar a ver muito na lista, e com base em todo o seu conhecimento de nerd até agora, você pode se assustar um pouco. Então, se você começar a ver o BUFFER OVERFLOW na lista, não presuma que alguém está tentando invadir seu computador.
Próxima página: Filtrando os dados que processam capturas do monitor