Использование Process Monitor для устранения неполадок и поиска взлома реестра

В сегодняшнем выпуске Geek School мы собираемся научить вас, как использовать Process Monitor для фактического устранения неполадок и выявления взломов реестра, о которых вы не знали бы иначе..

1. Что такое инструменты SysInternals и как вы ими пользуетесь?
2. Понимание Process Explorer
3. Использование Process Explorer для устранения неполадок и диагностики
4. Понимание Process Monitor
5. Использование Process Monitor для устранения неполадок и поиска взлома реестра
6. Использование автозапуска для работы с процессами запуска и вредоносными программами
7. Использование BgInfo для отображения системной информации на рабочем столе
8. Использование PsTools для управления другими ПК из командной строки
9. Анализ и управление вашими файлами, папками и дисками
10. Заключение и совместное использование инструментов

Process Monitor - один из самых впечатляющих инструментов, которые вы можете иметь в своем наборе инструментов, так как практически нет другого способа увидеть, что приложение на самом деле делает изнутри. Это единственный способ узнать, в какие файлы записывается, каким процессом и где что-то хранится в реестре, и какие файлы обращаются к ним..

Мы начнем с сегодняшнего урока, посмотрев, как найти разделы реестра с помощью диалоговых окон настроек Windows и Process Monitor, а затем пройдемся по фактическому сценарию устранения неполадок, с которым мы столкнулись на одном из наших компьютеров в лаборатории и легко решаемым. с помощью Process Monitor.

Использование Process Explorer для поиска ключей реестра для общих настроек

Каждый в какой-то момент щелкнул флажок или изменил значение раскрывающегося списка, но задумывались ли вы когда-нибудь, где эти значения на самом деле хранятся? Многие приложения и практически все в Windows хранятся в реестре ... где-то.

Для сегодняшнего примера мы собираемся использовать первый параметр на первой панели панели задач и свойств навигации, который является диалогом, который должен существовать во всех версиях Windows. Итак, теперь наша миссия - выяснить, где этот параметр хранится в реестре. Вы можете следовать за этим конкретным параметром, или вы можете попробовать другие параметры в том же диалоговом окне - или в любом другом месте, где вы хотели бы найти скрытое местоположение настройки для.

Первое, что вы захотите сделать, когда пытаетесь захватить набор данных, - это запустить Process Monitor, а затем изменить настройку. В этот момент вы можете запретить Process Monitor продолжать захват событий, чтобы список не вышел из-под контроля. (Подсказка: в меню «Файл» есть опция или это третий значок слева).

Теперь, когда у нас есть тонна данных в списке, пришло время отфильтровать список, чтобы уменьшить количество строк, которые нам нужно просмотреть. Поскольку мы смотрим на значение реестра, которое изменяется, нам нужно отфильтровать по «RegSetValue», то есть то, что Windows использует, чтобы фактически установить раздел реестра на новый параметр. Используйте опцию «Включить», чтобы показать только эти события.

Теперь ваш список должен быть ограничен только разделами реестра, которые были изменены, поэтому пришло время взглянуть на события и попытаться выяснить, каким разделом реестра это может быть. Так как мы проверяем настройку «Заблокировать панель задач», и один из устанавливаемых разделов реестра включает в себя слово «Панель задач», это хорошее место для начала. Щелкните правой кнопкой мыши путь и выберите «Перейти к месту»..

Process Monitor откроет редактор реестра и выделит ключ в списке. Теперь нам нужно убедиться, что это действительно правильный ключ, который довольно легко понять. Посмотрите на настройки, а затем посмотрите на ключ. Прямо сейчас настройка включена, и ключ установлен в 0.

Поэтому измените настройку, нажмите Применить в диалоговом окне, а затем используйте клавишу F5, чтобы обновить окно редактора реестра. В нашем случае мы определенно выбрали правильную настройку, поэтому теперь вы можете видеть, что значение TaskbarSizeMove установлено в 1.

Если вы не выбрали правильное значение, вы не увидите изменений при повторной проверке настроек. Так что иди и найди следующий логический, и начни сначала.

Устранение неполадок с Process Monitor

На самом деле невозможно в одной статье проиллюстрировать, как устранить любую проблему с Process Monitor или любым другим инструментом в этом отношении. Просто слишком много комбинаций проблем, которые могут пойти не так.

Однако мы можем показать, как мы на самом деле использовали Process Monitor для устранения реальной проблемы, которая фактически произошла с одним из наших тестовых компьютеров. Мы устанавливали какое-то дерьмо, а затем решили попробовать почистить компьютер. Проблема была в записи на панели «Удаление программ», которая просто не исчезла.

Следующая страница: Устранение неполадок с монитором процессов