Как использовать Process Monitor для отслеживания изменений реестра и файловой системы - Winhelponline

How Use Process Monitor Track Registry

Process Monitor - отличный инструмент для устранения неполадок от Windows Sysinternals, который отображает файлы и ключи реестра, к которым приложения получают доступ, в режиме реального времени. Результаты могут быть сохранены в файле журнала, который вы можете отправить эксперту для анализа проблемы и ее устранения.





Вот руководство о том, как фиксировать доступ приложений к реестру и файловой системе и создавать файл журнала с помощью Process Monitor для дальнейшего анализа.



Используйте Process Monitor для отслеживания изменений реестра и файловой системы

Сценарий: Предположим, вы не можете написать Хосты файл успешно в Windows, и хотите знать, что происходит под капотом. Каждый шаг в следующей статье основан на этом примере сценария.

Шаг 1. Запуск монитора процессов и настройка фильтров

  1. Скачать Монитор процесса из Windows Sysinternals сайт.
  2. Распакуйте содержимое zip-файла в любую папку по вашему выбору.
  3. Запустите приложение Process Monitor
  4. Включите процессы, активность которых вы хотите отслеживать. В этом примере вы хотите включить Notepad.exe в фильтрах (Включить).
  5. Нажмите Добавить и щелкните ОК .

    Наконечник: Вы также можете добавить несколько записей, если вы хотите отслеживать еще несколько процессов вместе с Notepad.exe . Чтобы упростить этот пример, давайте отслеживать Notepad.exe .

    (Теперь вы увидите главное окно Process Monitor, отслеживающее список обращений к реестру и файлам процессами в режиме реального времени по мере их возникновения.)



  6. От Опции меню, щелкните Выбрать столбцы .
  7. В разделе «Сведения о мероприятии» включите Порядковый номер и щелкните ОК .

Шаг 2: захват событий

  1. Откройте Блокнот.
  2. Переключитесь в окно монитора процессов.
  3. Включите режим «Захват» (если он еще не включен). Вы можете увидеть статус режима «Захват» через панель инструментов Process Monitor.
    Выделенная кнопка выше - это кнопка «Захват», которая в настоящее время отключена. Вам нужно нажать эту кнопку (или использовать комбинацию клавиш Ctrl + E), чтобы включить запись событий.
  4. Очистите существующий список событий, используя последовательность клавиш Ctrl + X (Важный) и начать заново
  5. Теперь переключитесь в Блокнот и попробуйте воспроизвести проблему .

    Чтобы воспроизвести проблему (для этого примера), попробуйте записать в файл HOSTS ( C: Windows System32 Drivers Etc HOSTS ) и сохраняя его. Windows предлагает сохранить файл (открыв диалоговое окно «Сохранить как») под другим именем или в другом месте. .

    Итак, что происходит под капотом при сохранении в файл HOSTS? Process Monitor точно это показывает.

  6. Переключитесь в окно Process Monitor и выключите захват (Ctrl + E), как только воспроизведете проблему. Важная заметка: Не занимайте много времени, чтобы воспроизвести проблему после включения захвата. Точно так же отключите захват, как только закончите воспроизведение проблемы. Это сделано для того, чтобы Process Monitor не записывал другие ненужные данные (что усложняет анализ). Все это нужно делать как можно быстрее.

    Решение: Приведенный выше файл журнала сообщает нам, что Блокнот обнаружил ДОСТУП ЗАПРЕЩЕН ошибка при записи в Хосты файл. Решением будет просто запустить Блокнот с повышенными привилегиями (щелкните правой кнопкой мыши и выберите «Запуск от имени администратора»), чтобы иметь возможность писать в Хосты файл успешно.

Шаг 3: Сохранение вывода

  1. В окне Process Monitor выберите файл меню и щелкните Сохранить
  2. Выбрать Собственный формат монитора процессов (PML) , укажите имя выходного файла и путь, сохраните файл.
  3. Щелкните правой кнопкой мыши Logfile.PML файл, щелкните Отправить и выберите Сжатая (заархивированная) папка . Это сжимает файл на ~ 90% . Посмотрите на рисунок ниже. Вы обязательно захотите заархивировать файл журнала, прежде чем отправлять его кому-нибудь.

Примечание редактора: Обычно я предлагаю своим клиентам сохранять журнал с Все события вариант, чтобы я мог получить широкие возможности для эффективного устранения неполадок рассматриваемого компьютера. Если вы собираетесь отправить мне журнал Process Monitor, убедитесь, что вы включили Все события опция при сохранении файла журнала. Также не забудьте сжать (.zip) файл журнала перед отправкой.

Вот и все, читатели. Чтобы упростить документацию, я использовал самый простой пример, чтобы конечный пользователь четко понимал, как эффективно отслеживать события реестра и файловой системы с помощью Process Monitor и создавать файл журнала.


Одна небольшая просьба: если вам понравился этот пост, поделитесь им?

Одна «крошечная» публикация от вас серьезно помогла бы росту этого блога. Несколько отличных предложений:
  • Приколи это!
  • Поделитесь этим в своем любимом блоге + Facebook, Reddit
  • Напишите об этом в Твиттере!
Так что большое спасибо за вашу поддержку, мой читатель. Это займет не более 10 секунд вашего времени. Кнопки «Поделиться» находятся прямо внизу. :)