Как использовать Process Monitor для отслеживания изменений реестра и файловой системы

Process Monitor — отличный инструмент для устранения неполадок от Windows Sysinternals, который отображает файлы и ключи реестра, к которым приложения получают доступ, в режиме реального времени. Результаты можно сохранить в файл журнала, который вы можете отправить эксперту для анализа проблемы и ее устранения.if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-medrectangle-3-0′)};if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-box-3-0’)};

Вот руководство о том, как фиксировать доступ приложений к реестру и файловой системе и создавать файл журнала с помощью Process Monitor для дальнейшего анализа.

Используйте Process Monitor для отслеживания изменений реестра и файловой системы

Сценарий: предположим, что вы не можете успешно выполнить запись в файл HOSTS в Windows и хотите знать, что происходит под капотом. Каждый шаг в следующей статье основан на этом примере сценария.if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-large-leaderboard-2-0’)};

Шаг 1. Запуск монитора процессов и настройка фильтров

  1. Загрузите Process Monitor с сайта Windows Sysinternals.
  2. Распакуйте содержимое zip-файла в любую папку по вашему выбору.
  3. Запустите приложение Process Monitor
  4. Включите процессы, активность которых вы хотите отслеживать. В этом примере вы хотите включить Notepad.exe в фильтрах (Включить).
  5. Щелкните «Добавить», затем щелкните «ОК».Совет: вы также можете добавить несколько записей, если вы хотите отслеживать еще несколько процессов вместе с Notepad.exe. Чтобы упростить этот пример, давайте отслеживать только Notepad.exe.
  6. В меню «Параметры» нажмите «Выбрать столбцы».
  7. В разделе «Сведения о событии» включите «Порядковый номер» и нажмите «ОК».

Шаг 2: захват событий

  1. Откройте Блокнот.
  2. Переключитесь в окно монитора процессов.
  3. Включите режим «Захват» (если он еще не включен). Вы можете увидеть статус режима «Захват» через панель инструментов Process Monitor.

    Выделенная кнопка выше — это кнопка «Захват», которая в настоящее время отключена. Вам нужно нажать эту кнопку (или использовать Ctrl + E последовательность клавиш), чтобы включить захват событий.

    (Теперь вы увидите главное окно Process Monitor, в котором фиксируются события реестра и файлов по процессам в режиме реального времени по мере их возникновения.)

  4. Очистите существующий список событий, используя Ctrl + Икс последовательность клавиш (Важный) и начать заново
  5. Теперь переключитесь в Блокнот и попробуйте воспроизвести проблему.Чтобы воспроизвести проблему (для этого примера), попробуйте записать в файл HOSTS (C: \ Windows \ System32 \ Drivers \ Etc \ HOSTS) и сохраняя его. Windows предлагает сохранить файл (открыв диалоговое окно «Сохранить как») под другим именем или в другом месте..

    Итак, что происходит под капотом при сохранении в файл HOSTS? Process Monitor точно это показывает.

  6. Переключитесь в окно Process Monitor и отключите захват (Ctrl + E), как только воспроизведете проблему.Важно: не занимайте много времени, чтобы воспроизвести проблему после включения записи. Точно так же отключите захват, как только закончите воспроизведение проблемы. Это сделано для того, чтобы Process Monitor не записывал другие ненужные данные (что усложняет анализ). Все это нужно делать как можно быстрее.

    Решение: файл журнала выше сообщает нам, что Блокнот обнаружил В ДОСТУПЕ ОТКАЗАНО ошибка при записи в ХОСТЫ файл. Решением было бы просто запустить Блокнот с повышенными привилегиями (щелкните правой кнопкой мыши и выберите «Запуск от имени администратора»), чтобы иметь возможность писать в ХОСТЫ файл успешно.

Шаг 3: Сохранение вывода

  1. В окне Process Monitor выберите меню File и нажмите Save.
  2. Выберите Native Process Monitor Format (PML), укажите имя выходного файла и путь, сохраните файл.
  3. Щелкните правой кнопкой мыши Logfile.PML файл, щелкните Отправить и выберите Сжатая (заархивированная) папка. Это сжимает файл на ~90%. Посмотрите на рисунок ниже. Вы обязательно захотите заархивировать файл журнала, прежде чем отправлять его кому-либо.

Примечание редактора: я обычно предлагаю своим клиентам сохранять журнал с опцией «Все события», чтобы диагноз был более точным. Если вы собираетесь отправить мне журнал Process Monitor, убедитесь, что вы включили опцию All Events при сохранении файла журнала. Также не забудьте сначала сжать (.zip) файл журнала.if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-box-4-0’)};

if(typeof __ez_fad_position!=’undefined’){__ez_fad_position(‘div-gpt-ad-winhelponline_com-medrectangle-4-0’)};

Вот и все, читатели. Чтобы упростить документацию, я использовал самый простой пример, чтобы конечный пользователь четко понимал, как эффективно отслеживать события реестра и файловой системы с помощью Process Monitor и генерировать файл журнала.

Похожие записи:

  1. Исправить ошибку Malwarebytes «Защита от вредоносных веб-сайтов отключена ..»
  2. Найдите, какая программа использует вашу веб-камеру в настоящее время
  3. [Исправлено] Дублирующиеся учетные записи пользователей появляются на экране входа в Windows 10
  4. [Исправить] Ошибка «WLXPhotoBase.dll is missing» при запуске Movie Maker

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *