Pagina principala » şcoală » Utilizarea monitorului de proces pentru a depana și a găsi hack-uri de registru

    Utilizarea monitorului de proces pentru a depana și a găsi hack-uri de registru

    În ediția de astăzi a Școlii Geek vă vom învăța cum să utilizați Procesul de monitorizare pentru a realiza de fapt depanarea și imaginarea hack-urilor de registru pe care nu le-ați fi știut despre altfel.

    ȘCOLAREA NAVIGAȚIEI
    1. Care sunt instrumentele SysInternals și cum le folosiți?
    2. Înțelegerea Process Explorer
    3. Utilizând Process Explorer pentru depanarea și diagnosticarea
    4. Înțelegerea procesului de monitorizare
    5. Utilizarea monitorului de proces pentru a depana și a găsi hack-uri de registru
    6. Utilizarea autorunelor pentru a face față proceselor de pornire și a programelor malware
    7. Folosind BgInfo pentru a afișa informații despre sistem pe desktop
    8. Utilizarea PsTools pentru a controla alte PC-uri de la linia de comandă
    9. Analizați și gestionați fișierele, folderele și driverele
    10. Înfășurarea și utilizarea împreună a uneltelor

    Monitorizarea proceselor este unul dintre cele mai impresionante instrumente pe care le puteți avea în setul de instrumente, deoarece nu există aproape nici o altă modalitate de a vedea ce face o aplicație sub capotă. Este singura modalitate de a ști ce fișiere sunt scrise la care proces și unde lucrurile sunt stocate în registru și ce fișiere le accesează.

    Vom începe cu lecția de astăzi, uitandu-ne la cum să găsim cheile de registry utilizând dialogurile de setare Windows și Process Monitor și apoi vom trece printr-un scenariu real de depanare pe care l-am întâlnit la unul dintre computerele noastre din laborator și am rezolvat cu ușurință utilizând Monitor de proces.

    Utilizarea Process Explorer pentru a găsi cheile de registry pentru setările comune

    Toată lumea a făcut clic pe o casetă de selectare sau a modificat valoarea unei casete drop-down la un moment dat, dar ați întrebat vreodată unde aceste valori sunt efectiv stocate? Multe aplicații și, practic, totul în Windows, sunt stocate în Registru ... undeva.

    Pentru exemplul zilei de astăzi vom folosi prima opțiune din primul panou al Taskbar și Navigation Properties, care este un dialog care ar trebui să existe în toate versiunile de Windows. Deci, acum misiunea noastră este să dăm seama unde este setată această setare în registru. Puteți urmări împreună cu această setare particulară sau puteți încerca una dintre celelalte setări din același dialog - sau oriunde ați dori să găsiți locația de setare ascunsă pentru.

    Primul lucru pe care veți dori să îl faceți de fiecare dată când încercați să capturați un set de date este să lansați Monitorul de proces și să schimbați setarea. În acest moment, puteți opri procesul de monitorizare de a continua să capteze evenimente, astfel încât lista să nu scape de sub control. (Sugestie: meniul Fișier are opțiunea sau este a treia pictogramă din stânga).

    Acum, că avem o mulțime de date în listă, este timpul să filtram lista pentru a reduce numărul de rânduri pe care trebuie să le analizăm. Deoarece analizăm o valoare a registrului care este modificată, va trebui să filtram după "RegSetValue", ceea ce este folosit de Windows pentru a seta de fapt o cheie de registry la o nouă setare. Utilizați opțiunea "Include" pentru a afișa numai acele evenimente.

    Lista dvs. ar trebui să se limiteze acum doar la cheile de registry care au fost modificate, deci este timpul să examinați evenimentele și să încercați să aflați ce cheie de registry ar putea fi. Deoarece verificăm setarea "Blocați bara de sarcini" și una dintre cheile de registry care sunt setate include cuvântul "Bara de sarcini" în nume, acesta este un loc bun pentru a începe. Faceți clic dreapta pe cale și alegeți Salt la locație.

    Monitorul de proces va deschide Editorul de registri și va evidenția cheia din listă. Acum trebuie să ne asigurăm că aceasta este de fapt cheia corectă, care este destul de ușor de constatat. Uitați-vă la setare și apoi aruncați o privire la cheie. În acest moment, setarea este activată, iar tasta este setată la 0.

    Deci, schimbați setarea, apăsați Aplicați în dialog, apoi utilizați tasta F5 pentru a actualiza fereastra Editor Registry. În cazul nostru, am ales cu siguranță setarea corectă, astfel încât acum puteți vedea că valoarea TaskbarSizeMove este setată la 1.

    Dacă nu ați ales valoarea potrivită, nu veți vedea o modificare când efectuați din nou testul de setare. Deci, du-te și găsiți următoarea logică și începeți din nou.

    Depanarea problemelor cu Monitorul de proces

    Nu este într-adevăr posibil să ilustrăm într-un singur articol cum să depanem orice problemă cu Monitorul de proces sau orice alt instrument pentru acea problemă. Există doar prea multe combinații de probleme care ar putea merge prost.

    Ce putem face, totuși, este să arătăm cum am folosit de fapt Process Monitor pentru a depana o problemă reală care sa întâmplat de fapt cu unul dintre computerele noastre de testare. Am instalat niște crapware, apoi am decis să încercăm să curățăm calculatorul. Problema a fost o intrare în panoul Uninstall Programs, care pur și simplu nu ar dispărea.

    Pagina următoare: Rezolvarea problemelor cu Monitorizarea proceselor