Hur man använder Process Monitor för att spåra register- och filsystemändringar

Process Monitor är ett utmärkt felsökningsverktyg från Windows Sysinternals som visar de filer och registernycklar som applikationerna kommer åt i realtid. Resultaten kan sparas i en loggfil, som du kan skicka till en expert för att analysera ett problem och felsöka det.

Här är en guide för hur man fångar åtkomst till register- och filsystem genom applikationer och genererar en loggfil med hjälp av Process Monitor för ytterligare analys.

Använd Process Monitor för att spåra register- och filsystemändringar

Scenario: Låt oss anta att du inte kan skriva till HOSTS- filen framgångsrikt i Windows och vill veta vad som händer under huven. Varje steg i följande artikel kretsar kring detta exempelscenario.

Steg 1: Kör processmonitor och konfigurera filter

  1. Ladda ner Process Monitor från webbplatsen för Windows Sysinternals .
  2. Extrahera innehållet i zip-filen till en mapp du väljer.
  3. Kör Process Monitor-applikationen
  4. Inkludera de processer som du vill spåra aktiviteten på. I det här exemplet vill du inkludera Notepad.exe i (inkludera) -filtren.

  5. Klicka på Lägg till och klicka på OK .

    Tips: Du kan också lägga till flera poster också, om du vill spåra några fler processer tillsammans med Notepad.exe . För att hålla detta exempel enklare, låt oss bara spåra Notepad.exe .

    (Du kommer nu att se huvudfönstret för Process Monitor som spårar listan över register- och filtillträden av processer i realtid, när och vassle de uppstår.)

  6. Klicka på Välj kolumner från menyn Alternativ .
  7. Under "Eventdetaljer" aktiverar du sekvensnummer och klickar på OK .

Steg 2: Fånga händelser

  1. Öppna anteckningar.
  2. Byt till Process Monitor-fönstret.
  3. Aktivera läget “Capture” (om det inte redan är PÅ). Du kan se status för "Capture" -läget via Process Monitor-verktygsfältet.

    Den markerade knappen ovan är "Capture" -knappen, som är aktuell inaktiverad. Du måste klicka på den knappen (eller använda Ctrl + E-tangentsekvensen) för att aktivera fångst av händelser.

  4. Rensa den befintliga händelselistan med Ctrl + X-tangentsekvensen (viktigt) och börja om igen
  5. Byt nu till Notepad och försök att återge problemet .

    För att återge problemet (för det här exemplet), prova att skriva till HOSTS-filen ( C:\Windows\System32\Drivers\Etc\HOSTS ) och spara den. Windows erbjuder att spara filen (genom att spara dialogrutan Spara som) med ett annat namn, eller på en annan plats .

    $config[ads_text6] not found

    Så, vad händer under huven när du sparar till HOSTS-fil? Process Monitor visar det exakt.

  6. Växla till Process Monitor-fönstret och stäng av Capturing (Ctrl + E) så snart du reproduserar problemet. Viktig anmärkning: Ta inte mycket tid att reproducera problemet efter att du har aktiverat inspelning. Stäng av på samma sätt fångarna så snart du är klar med att reproducera problemet. Detta för att förhindra Process Monitor från att registrera andra onödiga data (vilket gör analysen svårare). Du måste göra allt så snabbt du kan.

    Lösning: Loggfilen ovan berättar att Notepad stötte på ett ACCESS DENIED fel vid skrivning till HOSTS filen. Lösningen skulle vara att helt enkelt köra Notepad upphöjd (högerklicka och välj “Kör som administratör”) för att kunna skriva till HOSTS filen framgångsrikt.

Steg 3: Spara utgången

  1. I fönstret Process Monitor väljer du Arkiv- menyn och klickar på Spara
  2. Välj Native Process Monitor Format (PML), ange utdatafilnamnet och sökväg, spara filen.

  3. Högerklicka på Logfile.PML filen, klicka på Skicka till och välj Compressed (zipped) folder . Detta komprimerar filen med ~90% . Titta på bilden nedan. Du vill verkligen zipa loggfilen innan du skickar den till någon.

Redaktörens anmärkning: Jag föreslår vanligtvis mina klienter att spara loggen med alternativet Alla händelser så att jag kan få stora alternativ för att felsöka ämnesdatorn effektivt. Om du ska skicka mig en Process Monitor-logg, se till att du aktiverar alternativet Alla händelser när du sparar loggfilen. Glöm inte heller komprimera (.zip) loggfilen innan du skickar.

Det är det, läsare. För att hålla dokumentationen enkel har jag använt det enklaste exemplet så att en slutanvändare förstår tydligt hur man effektivt spårar register- och filsystemhändelser med hjälp av Process Monitor & genererar loggfilen.

Relaterade Artiklar