sysinternals Pro: usando monitor de processo para solucionar problemas e encontrar hacks registro

Na edição de hoje do Geek escola nós vamos ensiná-lo a usar o monitor do processo para realmente realizar solução de problemas e descobrir hacks registro que você não sabe sobre o contrário.

Process Monitor é uma das ferramentas mais impressionantes que você pode ter no seu kit de ferramentas, como quase não há outra maneira de ver o que um aplicativo está realmente fazendo sob o capô. É a única maneira de saber quais arquivos estão sendo gravados pelo qual processo e onde as coisas estão armazenadas no registro e quais arquivos estão acessando-los.

Vamos começar com a lição de hoje, olhando para como encontrar chaves de registro usando o Windows diálogos de configuração e Process Monitor, e então vamos passar por um cenário real solução de problemas que encontramos em um de nossos computadores no laboratório, e facilmente resolvido usando o Process monitor.

Todo mundo já clicou uma caixa de seleção ou alterado o valor de uma caixa drop-down, em algum momento, mas você já se perguntou onde esses valores são realmente armazenados? Muitos aplicativos, e praticamente tudo no Windows, é armazenado no Registro … em algum lugar.

Por exemplo de hoje vamos usar a primeira opção no primeiro painel da barra de tarefas e de navegação Propriedades, que é uma caixa de diálogo que deve existir em todas as versões do Windows. Então, agora a nossa missão é descobrir onde essa configuração é armazenado no Registro. Você pode seguir junto com esta configuração particular, ou você pode tentar uma das outras configurações na mesma caixa de diálogo – ou em qualquer outro lugar que você gostaria de encontrar o local configuração escondida para.

A primeira coisa que você vai querer fazer sempre tentando capturar um conjunto de dados é lançar o monitor do processo, e, em seguida, alterar a configuração. Nesse ponto, você pode parar o monitor do processo de continuar a capturar eventos, de modo que a lista não ficar fora de controle. (Dica: no menu Arquivo tem a opção, ou é o terceiro ícone da esquerda).

Agora que temos uma tonelada de dados na lista, é hora de filtrar a lista para reduzir o número de linhas que nós vamos ter que olhar. Desde que nós estamos olhando para um valor do registro que está sendo alterado, vamos precisar para filtrar por “RegSetValue”, que é o que o Windows utiliza para realmente definir uma chave de registo para uma nova configuração. Use a opção “Incluir” para mostrar apenas os eventos.

Sua lista deve agora ser limitado a chaves de registo apenas que foram alterados, por isso é hora de dar uma olhada nos eventos e tentar descobrir qual chave do registro que poderia ser. Desde que nós estamos verificando a configuração “Bloquear a barra de tarefas”, e uma das chaves de registro a ser criado inclui a palavra “Barra de Tarefas” no nome, que é um bom lugar para começar. Clique com o botão direito do mouse sobre o caminho e escolher para saltar para o local.

Process Monitor vai abrir o Editor do Registro e realce a chave na lista. Agora, precisamos ter certeza de que esta é realmente a chave certa, que é bastante fácil de descobrir. Dê uma olhada na definição e, em seguida, tomar uma olhada na chave. Agora o cenário está ligado, ea chave é definido como 0.

Assim alterar a configuração, clique em Aplicar na caixa de diálogo, e em seguida use a tecla F5 para atualizar a janela do Editor do Registro. No nosso caso, nós definitivamente escolheu a configuração correta, então agora você pode ver que o valor TaskbarSizeMove é definido como 1.

Se você não escolher o valor correto, você não vai ver uma mudança quando você faz o teste de configuração novamente. Então, vá e encontrar o caminho lógico seguinte, e começar de novo.

Não é realmente possível ilustrar num único artigo como solucionar qualquer problema com o Monitor de processo, ou qualquer outra ferramenta para essa matéria. Há apenas uma maneira muito muitas combinações de problemas que poderia dar errado.

O que podemos fazer, entretanto, é mostrar como nós realmente utilizado o monitor do processo para solucionar um problema real que realmente aconteceu com um dos nossos computadores de teste. Nós tínhamos vindo a instalar alguns crapware, e então decidiu tentar limpar o computador para cima. O problema era uma entrada no painel Desinstalar programas que simplesmente não ia embora.

Próxima Página: Solucionando Problemas com o monitor do processo

Aqui está um par de capturas de tela, estou perdido. Eu acho que not.It não vai me deixar. Eu acho que vai mexer com PM alguns filtros more.What você está usando? Porque eu colocar em operação é RegSetValue, e então eu droga do bulls-eye sobre a janela de barra de tarefas e eu recebo expoler.exe HKCU, o usuário ajudar, mas nada com barra de tarefas no caminho. Então eu tentei caminho contém barra de tarefas e nada vem à tona.

Fico feliz em saber os Sysinternals série está ficando mais de uma semana. Há muito mais do que apenas Process Explorer e monitor de processo, mesmo que aqueles por conta própria são ferramentas muito épicas.

@geek – Você se importa de nos dar uma idéia de quais as ferramentas de linha de comando que você planeja apresentando?

Ainda assim decidir, eu realmente não tenho terminado a segunda metade da série ainda. Todas as preferências? Há definitivamente uma tonelada de ferramentas, e eu não sei se mais 5 partes será tempo suficiente para cobri-los todos.

Parece que você tem um monte de os grandes já coberto, ou na torneira. Em “usando PsTools” Eu poderia sugerir que abrange PsLoggedOn. É provavelmente mais útil para administradores empresariais do que os geeks em casa, mas também provavelmente a ferramenta SysInternals de linha de comando Eu pessoalmente uso o mais.

Outro dos juros pode ser Desktops – o gerenciador de desktop virtual. Não tentei me (a ideia de várias áreas de trabalho nunca pegou comigo), mas eu tenho certeza que há outras pessoas que estariam interessados.

ShellRunAs é legal, mas em decadência com Shift + botão direito do mouse no Win7 (e talvez Vista).

Eu não tenho certeza qual é o propósito de PsShutdown é, desde o Windows já tem um utilitário de desligamento integrado utilizável via CLI ou GUI – e funciona através da rede também. Talvez seja a partir de um tempo antes de que fazia parte da compilação padrão.

TCPView! Como é que eu esqueço TCPView ?!

TCPView é bastante impressionante.

O animal do logotipo do Firefox não é realmente uma raposa, é um panda vermelho.