2024 مؤلف: Peter John Melton | [email protected]. آخر تعديل: 2023-12-16 04:48
ملاحة المدرسة
- ما هي أدوات SysInternals وكيف تستخدمها؟
- فهم عملية اكسبلورر
- باستخدام عملية اكسبلورر لاستكشاف وتشخيص
- فهم عملية المراقبة
- باستخدام عملية مراقبة لاستكشاف وإصلاح المأجورون التسجيل
- استخدام Autoruns للتعامل مع عمليات بدء التشغيل والبرامج الضارة
- استخدام BgInfo لعرض معلومات النظام على سطح المكتب
- باستخدام PsTools للسيطرة على أجهزة الكمبيوتر الأخرى من سطر الأوامر
- تحليل وإدارة الملفات والمجلدات ومحركات الأقراص
- التفاف واستخدام الأدوات معا
على عكس الأداة المساعدة Process Explorer التي قضيناها بضعة أيام في التغطية ، يُقصد من عملية المراقبة أن تكون نظرة سلبية على كل ما يحدث على جهاز الكمبيوتر الخاص بك ، وليس أداة فعالة لقتل العمليات أو إغلاق المقابض. هذا مثل إلقاء نظرة على ملف تسجيل عالمي لكل حدث واحد يحدث على جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows.
هل ترغب في فهم مفاتيح التسجيل التي يقوم تطبيقك المفضل بالفعل بتخزين إعداداتها فيها؟ هل تريد معرفة الملفات التي تلمسها الخدمة ومدى تكرارها؟ هل تريد معرفة متى يتم توصيل التطبيق بالشبكة أو فتح عملية جديدة؟ إنها عملية مراقبة لإنقاذ.
لم نعد نقوم بعد الآن بالكثير من مقالات اختراق السجل ، ولكن عندما بدأنا في البداية ، سنستخدم "مراقبة العمليات" لمعرفة مفاتيح التسجيل التي يتم الوصول إليها ، ثم نضغط على مفاتيح التسجيل هذه لنرى ما سيحدث. إذا كنت قد تساءلت يومًا كيف اكتشف بعض المهووسين اختراق السجل الذي لم يشاهده أحد على الإطلاق ، فربما كان ذلك من خلال Process Monitor.
تم إنشاء أداة مراقبة العملية من خلال الجمع بين اثنين من أدوات المدرسة القديمة المختلفة معاً ، وهما Filemon و Regmon ، اللذان تم استخدامهما لرصد الملفات ونشاط السجل كما تدل على أسمائها. في حين أن هذه المرافق لا تزال متاحة هناك ، وعلى الرغم من أنها قد تناسب احتياجاتك الخاصة ، إلا أنه سيكون أفضل حالاً مع مراقبة العمليات ، لأنها يمكن أن تتعامل مع حجم كبير من الأحداث بشكل أفضل بسبب حقيقة أنها صممت للقيام بذلك.
تجدر الإشارة أيضًا إلى أن Process Monitor دائمًا ما يتطلب وضع المسؤول نظرًا لأنه يحمّل برنامج تشغيل kernel تحت غطاء المحرك لالتقاط جميع تلك الأحداث. في نظام التشغيل Windows Vista والإصدارات الأحدث ، ستتم مطالبتك باستخدام مربع حوار UAC ، ولكن بالنسبة لـ XP أو 2003 ، ستحتاج إلى التأكد من أن الحساب الذي تستخدمه له امتيازات المسؤول.
الأحداث التي تلتقطها عملية المراقبة
تلتقط عملية المراقبة كمية هائلة من البيانات ، ولكنها لا تلتقط كل شيء يحدث على جهاز الكمبيوتر. على سبيل المثال ، لا يهتم نظام مراقبة العمليات في حالة تحريك الماوس ، ولا يعرف ما إذا كانت برامج التشغيل تعمل على النحو الأمثل أم لا. لن يتم تتبع العمليات المفتوحة وإهدار وحدة المعالجة المركزية على جهاز الكمبيوتر - هذه هي مهمة Process Explorer ، بعد كل شيء.
ما يفعله هو التقاط أنواع معينة من عمليات الإدخال / الإخراج (I / O) ، سواء حدثت من خلال نظام الملفات أو التسجيل أو حتى الشبكة. بالإضافة إلى ذلك ، سيتم تتبع بعض الأحداث الأخرى بطريقة محدودة. تغطي هذه القائمة الأحداث التي تلتقطها:
- سجل - قد يؤدي ذلك إلى إنشاء مفاتيح أو قراءتها أو حذفها أو الاستعلام عنها. سوف يفاجأ كم مرة يحدث هذا.
- نظام الملفات - قد يكون ذلك إنشاء الملفات والكتابة والحذف وما إلى ذلك ، ويمكن أن يكون لكل من محركات الأقراص الثابتة ومحركات أقراص الشبكة المحلية.
- شبكة الاتصال - سيعرض هذا مصدر ووجهة حركة مرور TCP / UDP ، ولكن للأسف لا يعرض البيانات ، مما يجعلها أقل فائدة.
- معالجة - هذه هي أحداث العمليات والخيوط عند بدء العملية ، أو بدء سلسلة المحادثات أو خروجه ، وما إلى ذلك. يمكن أن تكون هذه المعلومات مفيدة في بعض الحالات ، ولكنها غالبًا ما تكون بحاجة إلى البحث في Process Explorer بدلاً من ذلك.
- جانبي - يتم التقاط هذه الأحداث بواسطة "مراقبة العمليات" للتحقق من مقدار وقت المعالج المستخدمة من قبل كل عملية واستخدام الذاكرة. مرة أخرى ، قد ترغب في استخدام Process Explorer لتتبع هذه الأشياء في معظم الأوقات ، ولكنها مفيدة هنا إذا كنت بحاجة إليها.
لذلك يمكن أن يقوم "مراقبة العمليات" بالتقاط أي نوع من عمليات الإدخال / الإخراج ، سواء حدث ذلك من خلال التسجيل أو نظام الملفات أو حتى الشبكة - على الرغم من أن البيانات الفعلية التي يتم كتابتها لا يتم التقاطها. نحن ننظر فقط إلى حقيقة أن هناك عملية تتم كتابتها إلى أحد هذه التدفقات ، لذا يمكننا لاحقًا معرفة المزيد عما يحدث.
واجهة عملية المراقبة
أول شيء تريد القيام به هو تصفية تلك الملايين من الصفوف إلى مجموعة أصغر من البيانات التي تريد رؤيتها ، وسنقوم بتعليمك كيفية إنشاء الفلاتر والتركيز على ما تريد أن تجده بالضبط. لكن أولاً ، يجب أن تفهم الواجهة وما هي البيانات المتوفرة بالفعل.
النظر في الأعمدة الافتراضية
تعرض الأعمدة الافتراضية عددًا كبيرًا من المعلومات المفيدة ، ولكنك ستحتاج بالتأكيد إلى بعض السياق لفهم البيانات التي تحتويها كل واحدة بالفعل ، لأن بعضها قد يبدو وكأنه حدث سيء عندما تكون أحداثًا بريئة حقًا تحدث طوال الوقت تحت غطاء محرك السيارة. في ما يلي كل من الأعمدة الافتراضية المستخدمة في:
- زمن - هذا العمود لا يحتاج إلى شرح إلى حد ما ، حيث يعرض الوقت المحدد الذي حدث فيه الحدث.
- اسم العملية - اسم العملية التي ولدت الحدث. لا يعرض هذا المسار الكامل للملف افتراضيًا ، ولكن إذا مررت فوق الحقل ، يمكنك مشاهدة العملية التي كانت عليه بالضبط.
- PID - معرف العملية للعملية التي ولّدت الحدث. هذا مفيد جداً إذا كنت تحاول فهم عملية svchost.exe التي تم إنشاؤها في الحدث. إنها أيضًا طريقة رائعة لعزل عملية واحدة للمراقبة ، بافتراض أن هذه العملية لا تعيد إطلاق نفسها.
- عملية - هذا هو اسم العملية التي يتم تسجيلها ، وهناك رمز يتطابق مع أحد أنواع الأحداث (التسجيل ، الملف ، الشبكة ، العملية). قد يكون هذا مربكًا بعض الشيء ، مثل RegQueryKey أو WriteFile ، ولكننا سنحاول مساعدتك خلال هذا الارتباك.
- مسار - هذا ليس مسار العملية ، بل هو الطريق إلى أي شيء كان يعمل في هذا الحدث. على سبيل المثال ، إذا كان هناك حدث WriteFile ، فسيعرض هذا الحقل اسم الملف أو المجلد الذي يتم لمسه. إذا كان هذا حدث تسجيل ، فسيعرض المفتاح الكامل الذي يتم الوصول إليه.
- نتيجة - يعرض هذا نتيجة العملية ، التي تحمل رموزًا مثل SUCCESS أو ACCESS DENIED. في حين قد تميل إلى الافتراض تلقائياً أن BUFFER TOO SMALL تعني أن هناك شيئاً سيئاً حقاً ، إلا أن هذا لا يحدث في معظم الأحيان.
- التفاصيل - معلومات إضافية غالبًا لا تترجم إلى عالم استكشاف الأخطاء وإصلاحها العادي.
يمكنك أيضًا إضافة بعض الأعمدة الإضافية إلى الشاشة الافتراضية بالانتقال إلى Options -> Select Columns. لن تكون هذه التوصية بالنسبة لمحطتك الأولى عند بدء الاختبار ، ولكن بما أننا نوضح الأعمدة ، فمن الجدير بالذكر بالفعل.
- سطر الأوامر - بينما يمكنك النقر نقرًا مزدوجًا على أي حدث لمشاهدة وسيطات سطر الأوامر للعملية التي ولدت كل حدث ، قد يكون من المفيد أن ترى في لمحة سريعة جميع الخيارات.
- اسم الشركة - السبب الرئيسي وراء فائدة هذا العمود هو أنه يمكنك ببساطة استبعاد جميع أحداث Microsoft بسرعة وتضييق نطاق المراقبة إلى كل شيء آخر لا يمثل جزءًا من Windows. (سترغب في التأكد من عدم وجود أي عمليات rundll32.exe غريبة تعمل باستخدام Process Explorer بالرغم من ذلك ، نظرًا لأن تلك العمليات قد تخفي البرامج الضارة).
- PID الأم - قد يكون ذلك مفيدًا جدًا عند تحرّي الخلل وإصلاحه في عملية تحتوي على العديد من العمليات الفرعية ، مثل متصفح ويب أو تطبيق يستمر في تشغيل أشياء غامضة كعملية أخرى. يمكنك بعد ذلك التصفية بواسطة PID الأصل للتأكد من التقاط كل شيء.
تجدر الإشارة إلى أنه يمكنك التصفية حسب بيانات الأعمدة حتى إذا كان العمود لا يظهر ، ولكن من الأسهل جدًا النقر بزر الماوس الأيمن والفلترة بدلاً من ذلك يدويًا. ونعم ، ذكرنا الفلاتر مرة أخرى على الرغم من أننا لم نوضحها بعد.
دراسة حدث واحد
إن مشاهدة الأشياء في قائمة هي طريقة رائعة لرؤية الكثير من نقاط البيانات المختلفة دفعة واحدة ، ولكنها بالتأكيد ليست أسهل طريقة لفحص جزء واحد من البيانات ، وهناك فقط الكثير من المعلومات التي يمكنك رؤيتها في قائمة. لحسن الحظ يمكنك النقر المزدوج على أي حدث للوصول إلى كنز من المعلومات الإضافية.
تقدم لك علامة التبويب "الأحداث" الافتراضية معلومات تشبه إلى حد كبير ما رأيت في القائمة ، ولكنها ستضيف معلومات أكثر قليلاً إلى الطرف. إذا كنت تبحث في حدث نظام ملفات ، فستتمكن من رؤية بعض المعلومات مثل السمات ، وقت إنشاء الملف ، والوصول الذي تمت محاولة تشغيله أثناء عملية الكتابة ، وعدد البايتات التي تمت كتابتها ، والمدة.
على سبيل المثال ، تخيل أن هناك عملية تحاول باستمرار البحث عن ملف غير موجود أو الوصول إليه ، ولكنك لم تكن متأكدًا من السبب.يمكنك البحث في علامة التبويب "مكدس الذاكرة" ومعرفة ما إذا كانت هناك أي وحدات لا تبدو سليمة ، ثم ابحث عنها. قد تجد مكونًا قديمًا ، أو حتى برامج ضارة ، يتسبب في حدوث المشكلة.
ملاحظات حول تجاوز سعة المخزن المؤقت
قبل أن ننتقل إلى أبعد من ذلك ، سنرغب في ملاحظة رمز النتيجة الذي سيبدأ في رؤية الكثير في القائمة ، وبناءً على كل معرفتك المهووسة حتى الآن ، قد تفزع قليلاً. لذا إذا بدأت في رؤية BUFFER OVERFLOW في القائمة ، فيُرجى عدم افتراض أن هناك شخصًا ما يحاول اختراق جهاز الكمبيوتر.
الصفحة التالية: تصفية البيانات التي تلتقطها عمليات المراقبة
موصى به:
كيفية الحفاظ على المسار للعناصر ومستحضرات التجميل الحدث في المراقبة من جانب
من Overwatch هي كبيرة جدا. وباعتباره مطلق النار الجماعي متعدد اللاعبين ، فإنه يفعل كل شيء على ما يرام: مجموعة متنوعة من الألعاب المتنوعة السريعة ، والبطل المجاني وتحديثات الخرائط ، وعلى عكس سلفه الروحي Team Fortress 2 ، يحصل جميع اللاعبين على إمكانية الوصول الفوري إلى كل سلاح وتقنية.
فهم عملية اكسبلورر
يغطي هذا الدرس في سلسلة "مدرسة المهوس" الخاصة بنا Process Explorer ، ربما هو التطبيق الأكثر استخدامًا وفائدة في مجموعة أدوات SysInternals. ولكن ما مدى معرفتك لهذه الأداة؟
كيفية إعداد المراقبة الأبوية على أجهزة Chromebook
في يوم من الأيام ، كانت أجهزة Chromebook مدمجة في أدوات الرقابة الأبوية. أزالتها Google ولكنها أضافت دعمًا إلى Family Link - برنامج الرقابة الأبوية لهواتف Android والأجهزة اللوحية. إليك طريقة عملها على أجهزة Chromebook.
كيفية استخدام المراقبة الأبوية وملامح الطفل على قرص النار الأمازون
يوفر Amazon Fire Tablet كلا من أدوات الرقابة الأبوية من أجل قفل الجهاز بسرعة بالإضافة إلى "ملفات تعريف الأطفال" الدقيقة. تستخدم ملفات تعريف الطفل هذه (أو المراهقة) ميزة Kindle FreeTime ، والتي ربما تكون أكثر حلول التحكم الأبوي تعقيدًا لنظام التشغيل اللوحي
كيفية استخدام المراقبة الأبوية في OS X لحماية أطفالك
تعد أدوات الرقابة الأبوية رائعة بمجرد إعدادها واستخدامها. يصبح الآباء المشغولون أكثر سهولة في التنفس ، وطالما بقيوا على رأس الأشياء ، حتى الضوابط الأبوية الأساسية كتلك الموجودة في OS X ، يجب أن تكون أكثر من كافية.