Как использовать Process Monitor для отслеживания изменений в реестре и файловой системе

Process Monitor - отличный инструмент для устранения неполадок от Windows Sysinternals, который отображает файлы и ключи реестра, к которым приложения обращаются в режиме реального времени. Результаты могут быть сохранены в файл журнала, который вы можете отправить эксперту для анализа проблемы и ее устранения.

Вот руководство о том, как фиксировать обращения к реестру и файловой системе приложениями и генерировать файл журнала, используя Process Monitor для дальнейшего анализа.

Используйте Process Monitor для отслеживания изменений в реестре и файловой системе

Сценарий. Предположим, что вы не можете успешно записать файл HOSTS в Windows и хотите узнать, что происходит внутри. Каждый шаг в следующей статье вращается вокруг этого примера сценария.

Шаг 1: Запуск Process Monitor и настройка фильтров

  1. Загрузите Process Monitor с сайта Windows Sysinternals .
  2. Извлеките содержимое файла zip в папку по вашему выбору.
  3. Запустите приложение Process Monitor
  4. Включите процессы, которые вы хотите отслеживать действия. В этом примере вы хотите включить Notepad.exe в (Включить) Фильтры.

  5. Нажмите « Добавить» и нажмите « ОК» .

    Совет: Вы также можете добавить несколько записей, если хотите отслеживать еще несколько процессов вместе с Notepad.exe . Чтобы упростить этот пример, давайте будем отслеживать только Notepad.exe .

    (Теперь вы увидите главное окно Process Monitor, отслеживающее список обращений к реестру и файлам по процессам в режиме реального времени, а также по каким причинам они происходят.)

  6. В меню « Параметры» выберите « Выбрать столбцы» .
  7. В разделе «Сведения о событии» включите порядковый номер и нажмите « ОК» .

Шаг 2: Захват событий

  1. Откройте Блокнот.
  2. Переключиться в окно Process Monitor.
  3. Включите режим «Захват» (если он еще не включен). Вы можете увидеть состояние режима «Захват» через панель инструментов Process Monitor.

    Выделенная кнопка выше - это кнопка «Захват», которая в данный момент отключена. Вам нужно нажать эту кнопку (или использовать последовательность клавиш Ctrl + E), чтобы включить захват событий.

  4. Очистите существующий список событий с помощью комбинации клавиш Ctrl + X (важно) и начните заново
  5. Теперь переключитесь на Блокнот и попробуйте воспроизвести проблему .

    Чтобы воспроизвести проблему (для этого примера), попробуйте записать файл HOSTS ( C:\Windows\System32\Drivers\Etc\HOSTS ) и сохранить его. Windows предлагает сохранить файл (показывая диалоговое окно «Сохранить как») под другим именем или в другом месте .

    $config[ads_text6] not found

    Итак, что происходит под капотом при сохранении в файл HOSTS? Монитор процессов показывает это точно.

  6. Переключитесь в окно Process Monitor и выключите Capturing (Ctrl + E), как только вы воспроизведете проблему. Важное примечание: не занимайте много времени, чтобы воспроизвести проблему после включения захвата. Аналогичным образом отключите захват, как только закончите воспроизведение проблемы. Это сделано для того, чтобы Process Monitor не мог записывать другие ненужные данные (что усложняет анализ). Вы должны сделать все это как можно быстрее.

    Решение. Приведенный выше файл журнала сообщает, что при записи в файл HOSTS Notepad обнаружил ошибку ACCESS DENIED . Решением было бы просто запустить Notepad с повышенными правами (щелкните правой кнопкой мыши и выберите «Запуск от имени администратора»), чтобы иметь возможность успешно записывать в файл HOSTS .

Шаг 3: Сохранение вывода

  1. В окне «Монитор процессов» выберите меню « Файл» и нажмите « Сохранить».
  2. Выберите Native Process Monitor Format (PML), укажите имя выходного файла и путь, сохраните файл.

  3. Щелкните правой кнопкой Logfile.PML файл Logfile.PML, щелкните «Отправить» и выберите Compressed (zipped) folder . Это сжимает файл на ~90% . Посмотрите на рисунок ниже. Вы, конечно, хотите сжать файл журнала перед отправкой кому-то.

Примечание редактора: я обычно предлагаю своим клиентам сохранить журнал с опцией Все события, чтобы я мог получить широкие возможности для эффективного устранения неполадок компьютера. Если вы собираетесь отправить мне журнал Process Monitor, убедитесь, что вы включили опцию Все события при сохранении файла журнала. Также не забудьте сжать (.zip) файл журнала перед отправкой.

Вот и все, читатели. Чтобы упростить документирование, я использовал самый простой пример, чтобы конечный пользователь четко понимал, как эффективно отслеживать события в реестре и файловой системе с помощью Process Monitor и создавать файл журнала.

ПОХОЖИЕ СТАТЬИ