فهم عملية المراقبة

جدول المحتويات:

فيديو: فهم عملية المراقبة

فيديو: فهم عملية المراقبة
فيديو: طريقة فتح حضر شبكه الراوتر (wifi) من الجهاز (اجهزه الاندرويد) 2024, مارس
فهم عملية المراقبة
فهم عملية المراقبة
Anonim
اليوم في هذه الطبعة من Geek School ، سنقوم بتعليمك كيف تسمح لك أداة مراقبة العملية بإلقاء نظرة خاطفة تحت غطاء المحرك والاطلاع على ما تفعله تطبيقاتك المفضلة خلف الكواليس - ما هي الملفات التي تصل إليها ، ومفاتيح التسجيل التي استخدام ، وأكثر من ذلك.
اليوم في هذه الطبعة من Geek School ، سنقوم بتعليمك كيف تسمح لك أداة مراقبة العملية بإلقاء نظرة خاطفة تحت غطاء المحرك والاطلاع على ما تفعله تطبيقاتك المفضلة خلف الكواليس - ما هي الملفات التي تصل إليها ، ومفاتيح التسجيل التي استخدام ، وأكثر من ذلك.

ملاحة المدرسة

  1. ما هي أدوات SysInternals وكيف تستخدمها؟
  2. فهم عملية اكسبلورر
  3. باستخدام عملية اكسبلورر لاستكشاف وتشخيص
  4. فهم عملية المراقبة
  5. باستخدام عملية مراقبة لاستكشاف وإصلاح المأجورون التسجيل
  6. استخدام Autoruns للتعامل مع عمليات بدء التشغيل والبرامج الضارة
  7. استخدام BgInfo لعرض معلومات النظام على سطح المكتب
  8. باستخدام PsTools للسيطرة على أجهزة الكمبيوتر الأخرى من سطر الأوامر
  9. تحليل وإدارة الملفات والمجلدات ومحركات الأقراص
  10. التفاف واستخدام الأدوات معا

على عكس الأداة المساعدة Process Explorer التي قضيناها بضعة أيام في التغطية ، يُقصد من عملية المراقبة أن تكون نظرة سلبية على كل ما يحدث على جهاز الكمبيوتر الخاص بك ، وليس أداة فعالة لقتل العمليات أو إغلاق المقابض. هذا مثل إلقاء نظرة على ملف تسجيل عالمي لكل حدث واحد يحدث على جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows.

هل ترغب في فهم مفاتيح التسجيل التي يقوم تطبيقك المفضل بالفعل بتخزين إعداداتها فيها؟ هل تريد معرفة الملفات التي تلمسها الخدمة ومدى تكرارها؟ هل تريد معرفة متى يتم توصيل التطبيق بالشبكة أو فتح عملية جديدة؟ إنها عملية مراقبة لإنقاذ.

لم نعد نقوم بعد الآن بالكثير من مقالات اختراق السجل ، ولكن عندما بدأنا في البداية ، سنستخدم "مراقبة العمليات" لمعرفة مفاتيح التسجيل التي يتم الوصول إليها ، ثم نضغط على مفاتيح التسجيل هذه لنرى ما سيحدث. إذا كنت قد تساءلت يومًا كيف اكتشف بعض المهووسين اختراق السجل الذي لم يشاهده أحد على الإطلاق ، فربما كان ذلك من خلال Process Monitor.

تم إنشاء أداة مراقبة العملية من خلال الجمع بين اثنين من أدوات المدرسة القديمة المختلفة معاً ، وهما Filemon و Regmon ، اللذان تم استخدامهما لرصد الملفات ونشاط السجل كما تدل على أسمائها. في حين أن هذه المرافق لا تزال متاحة هناك ، وعلى الرغم من أنها قد تناسب احتياجاتك الخاصة ، إلا أنه سيكون أفضل حالاً مع مراقبة العمليات ، لأنها يمكن أن تتعامل مع حجم كبير من الأحداث بشكل أفضل بسبب حقيقة أنها صممت للقيام بذلك.

تجدر الإشارة أيضًا إلى أن Process Monitor دائمًا ما يتطلب وضع المسؤول نظرًا لأنه يحمّل برنامج تشغيل kernel تحت غطاء المحرك لالتقاط جميع تلك الأحداث. في نظام التشغيل Windows Vista والإصدارات الأحدث ، ستتم مطالبتك باستخدام مربع حوار UAC ، ولكن بالنسبة لـ XP أو 2003 ، ستحتاج إلى التأكد من أن الحساب الذي تستخدمه له امتيازات المسؤول.

الأحداث التي تلتقطها عملية المراقبة

تلتقط عملية المراقبة كمية هائلة من البيانات ، ولكنها لا تلتقط كل شيء يحدث على جهاز الكمبيوتر. على سبيل المثال ، لا يهتم نظام مراقبة العمليات في حالة تحريك الماوس ، ولا يعرف ما إذا كانت برامج التشغيل تعمل على النحو الأمثل أم لا. لن يتم تتبع العمليات المفتوحة وإهدار وحدة المعالجة المركزية على جهاز الكمبيوتر - هذه هي مهمة Process Explorer ، بعد كل شيء.

ما يفعله هو التقاط أنواع معينة من عمليات الإدخال / الإخراج (I / O) ، سواء حدثت من خلال نظام الملفات أو التسجيل أو حتى الشبكة. بالإضافة إلى ذلك ، سيتم تتبع بعض الأحداث الأخرى بطريقة محدودة. تغطي هذه القائمة الأحداث التي تلتقطها:

  • سجل - قد يؤدي ذلك إلى إنشاء مفاتيح أو قراءتها أو حذفها أو الاستعلام عنها. سوف يفاجأ كم مرة يحدث هذا.
  • نظام الملفات - قد يكون ذلك إنشاء الملفات والكتابة والحذف وما إلى ذلك ، ويمكن أن يكون لكل من محركات الأقراص الثابتة ومحركات أقراص الشبكة المحلية.
  • شبكة الاتصال - سيعرض هذا مصدر ووجهة حركة مرور TCP / UDP ، ولكن للأسف لا يعرض البيانات ، مما يجعلها أقل فائدة.
  • معالجة - هذه هي أحداث العمليات والخيوط عند بدء العملية ، أو بدء سلسلة المحادثات أو خروجه ، وما إلى ذلك. يمكن أن تكون هذه المعلومات مفيدة في بعض الحالات ، ولكنها غالبًا ما تكون بحاجة إلى البحث في Process Explorer بدلاً من ذلك.
  • جانبي - يتم التقاط هذه الأحداث بواسطة "مراقبة العمليات" للتحقق من مقدار وقت المعالج المستخدمة من قبل كل عملية واستخدام الذاكرة. مرة أخرى ، قد ترغب في استخدام Process Explorer لتتبع هذه الأشياء في معظم الأوقات ، ولكنها مفيدة هنا إذا كنت بحاجة إليها.

لذلك يمكن أن يقوم "مراقبة العمليات" بالتقاط أي نوع من عمليات الإدخال / الإخراج ، سواء حدث ذلك من خلال التسجيل أو نظام الملفات أو حتى الشبكة - على الرغم من أن البيانات الفعلية التي يتم كتابتها لا يتم التقاطها. نحن ننظر فقط إلى حقيقة أن هناك عملية تتم كتابتها إلى أحد هذه التدفقات ، لذا يمكننا لاحقًا معرفة المزيد عما يحدث.

واجهة عملية المراقبة

عندما تحمّل أولاً واجهة معالجة الشاشة ، ستحصل على عدد هائل من صفوف البيانات ، مع المزيد من البيانات التي تتطاير بسرعة ، وقد تكون ساحقة. المفتاح هو أن يكون لديك فكرة ، على الأقل ، حول ما تبحث عنه ، بالإضافة إلى ما تبحث عنه. هذا ليس نوع الأداة التي تقضي يومًا من الاسترخاء أثناء التصفح ، لأنك ستنظر في ملايين من الصفوف خلال فترة زمنية قصيرة جدًا.
عندما تحمّل أولاً واجهة معالجة الشاشة ، ستحصل على عدد هائل من صفوف البيانات ، مع المزيد من البيانات التي تتطاير بسرعة ، وقد تكون ساحقة. المفتاح هو أن يكون لديك فكرة ، على الأقل ، حول ما تبحث عنه ، بالإضافة إلى ما تبحث عنه. هذا ليس نوع الأداة التي تقضي يومًا من الاسترخاء أثناء التصفح ، لأنك ستنظر في ملايين من الصفوف خلال فترة زمنية قصيرة جدًا.

أول شيء تريد القيام به هو تصفية تلك الملايين من الصفوف إلى مجموعة أصغر من البيانات التي تريد رؤيتها ، وسنقوم بتعليمك كيفية إنشاء الفلاتر والتركيز على ما تريد أن تجده بالضبط. لكن أولاً ، يجب أن تفهم الواجهة وما هي البيانات المتوفرة بالفعل.

النظر في الأعمدة الافتراضية

تعرض الأعمدة الافتراضية عددًا كبيرًا من المعلومات المفيدة ، ولكنك ستحتاج بالتأكيد إلى بعض السياق لفهم البيانات التي تحتويها كل واحدة بالفعل ، لأن بعضها قد يبدو وكأنه حدث سيء عندما تكون أحداثًا بريئة حقًا تحدث طوال الوقت تحت غطاء محرك السيارة. في ما يلي كل من الأعمدة الافتراضية المستخدمة في:

  • زمن - هذا العمود لا يحتاج إلى شرح إلى حد ما ، حيث يعرض الوقت المحدد الذي حدث فيه الحدث.
  • اسم العملية - اسم العملية التي ولدت الحدث. لا يعرض هذا المسار الكامل للملف افتراضيًا ، ولكن إذا مررت فوق الحقل ، يمكنك مشاهدة العملية التي كانت عليه بالضبط.
  • PID - معرف العملية للعملية التي ولّدت الحدث. هذا مفيد جداً إذا كنت تحاول فهم عملية svchost.exe التي تم إنشاؤها في الحدث. إنها أيضًا طريقة رائعة لعزل عملية واحدة للمراقبة ، بافتراض أن هذه العملية لا تعيد إطلاق نفسها.
  • عملية - هذا هو اسم العملية التي يتم تسجيلها ، وهناك رمز يتطابق مع أحد أنواع الأحداث (التسجيل ، الملف ، الشبكة ، العملية). قد يكون هذا مربكًا بعض الشيء ، مثل RegQueryKey أو WriteFile ، ولكننا سنحاول مساعدتك خلال هذا الارتباك.
  • مسار - هذا ليس مسار العملية ، بل هو الطريق إلى أي شيء كان يعمل في هذا الحدث. على سبيل المثال ، إذا كان هناك حدث WriteFile ، فسيعرض هذا الحقل اسم الملف أو المجلد الذي يتم لمسه. إذا كان هذا حدث تسجيل ، فسيعرض المفتاح الكامل الذي يتم الوصول إليه.
  • نتيجة - يعرض هذا نتيجة العملية ، التي تحمل رموزًا مثل SUCCESS أو ACCESS DENIED. في حين قد تميل إلى الافتراض تلقائياً أن BUFFER TOO SMALL تعني أن هناك شيئاً سيئاً حقاً ، إلا أن هذا لا يحدث في معظم الأحيان.
  • التفاصيل - معلومات إضافية غالبًا لا تترجم إلى عالم استكشاف الأخطاء وإصلاحها العادي.

يمكنك أيضًا إضافة بعض الأعمدة الإضافية إلى الشاشة الافتراضية بالانتقال إلى Options -> Select Columns. لن تكون هذه التوصية بالنسبة لمحطتك الأولى عند بدء الاختبار ، ولكن بما أننا نوضح الأعمدة ، فمن الجدير بالذكر بالفعل.

أحد أسباب إضافة أعمدة إضافية إلى العرض هو أنه يمكنك التصفية بسرعة بهذه الأحداث دون إغراقها بالبيانات. في ما يلي بعض الأعمدة الإضافية التي نستخدمها ، ولكن قد تجد استخدامها لبعض الآخرين في القائمة اعتمادًا على الموقف.
أحد أسباب إضافة أعمدة إضافية إلى العرض هو أنه يمكنك التصفية بسرعة بهذه الأحداث دون إغراقها بالبيانات. في ما يلي بعض الأعمدة الإضافية التي نستخدمها ، ولكن قد تجد استخدامها لبعض الآخرين في القائمة اعتمادًا على الموقف.
  • سطر الأوامر - بينما يمكنك النقر نقرًا مزدوجًا على أي حدث لمشاهدة وسيطات سطر الأوامر للعملية التي ولدت كل حدث ، قد يكون من المفيد أن ترى في لمحة سريعة جميع الخيارات.
  • اسم الشركة - السبب الرئيسي وراء فائدة هذا العمود هو أنه يمكنك ببساطة استبعاد جميع أحداث Microsoft بسرعة وتضييق نطاق المراقبة إلى كل شيء آخر لا يمثل جزءًا من Windows. (سترغب في التأكد من عدم وجود أي عمليات rundll32.exe غريبة تعمل باستخدام Process Explorer بالرغم من ذلك ، نظرًا لأن تلك العمليات قد تخفي البرامج الضارة).
  • PID الأم - قد يكون ذلك مفيدًا جدًا عند تحرّي الخلل وإصلاحه في عملية تحتوي على العديد من العمليات الفرعية ، مثل متصفح ويب أو تطبيق يستمر في تشغيل أشياء غامضة كعملية أخرى. يمكنك بعد ذلك التصفية بواسطة PID الأصل للتأكد من التقاط كل شيء.

تجدر الإشارة إلى أنه يمكنك التصفية حسب بيانات الأعمدة حتى إذا كان العمود لا يظهر ، ولكن من الأسهل جدًا النقر بزر الماوس الأيمن والفلترة بدلاً من ذلك يدويًا. ونعم ، ذكرنا الفلاتر مرة أخرى على الرغم من أننا لم نوضحها بعد.

دراسة حدث واحد

إن مشاهدة الأشياء في قائمة هي طريقة رائعة لرؤية الكثير من نقاط البيانات المختلفة دفعة واحدة ، ولكنها بالتأكيد ليست أسهل طريقة لفحص جزء واحد من البيانات ، وهناك فقط الكثير من المعلومات التي يمكنك رؤيتها في قائمة. لحسن الحظ يمكنك النقر المزدوج على أي حدث للوصول إلى كنز من المعلومات الإضافية.

تقدم لك علامة التبويب "الأحداث" الافتراضية معلومات تشبه إلى حد كبير ما رأيت في القائمة ، ولكنها ستضيف معلومات أكثر قليلاً إلى الطرف. إذا كنت تبحث في حدث نظام ملفات ، فستتمكن من رؤية بعض المعلومات مثل السمات ، وقت إنشاء الملف ، والوصول الذي تمت محاولة تشغيله أثناء عملية الكتابة ، وعدد البايتات التي تمت كتابتها ، والمدة.

يمنحك التبديل إلى علامة التبويب "معالجة" الكثير من المعلومات الرائعة حول العملية التي أدت إلى إنشاء الحدث. على الرغم من أنك ترغب عمومًا في استخدام Process Explorer للتعامل مع العمليات ، فقد يكون من المفيد جدًا الحصول على الكثير من المعلومات حول العملية المحددة التي أدت إلى إنشاء حدث معين ، خاصةً إذا حدث شيء سريع جدًا ثم اختفى من قائمة العمليات. بهذه الطريقة يتم التقاط البيانات.
يمنحك التبديل إلى علامة التبويب "معالجة" الكثير من المعلومات الرائعة حول العملية التي أدت إلى إنشاء الحدث. على الرغم من أنك ترغب عمومًا في استخدام Process Explorer للتعامل مع العمليات ، فقد يكون من المفيد جدًا الحصول على الكثير من المعلومات حول العملية المحددة التي أدت إلى إنشاء حدث معين ، خاصةً إذا حدث شيء سريع جدًا ثم اختفى من قائمة العمليات. بهذه الطريقة يتم التقاط البيانات.
تعتبر علامة التبويب Stack أمرًا مفيدًا للغاية في بعض الأحيان ، ولكن في كثير من الأحيان لن يكون مفيدًا على الإطلاق. السبب الذي يجعلك ترغب في إلقاء نظرة على المجموعة هو أنه يمكنك استكشاف الأخطاء وإصلاحها من خلال فحص عمود "الوحدة النمطية" لأي شيء لا يبدو صحيحًا تمامًا.
تعتبر علامة التبويب Stack أمرًا مفيدًا للغاية في بعض الأحيان ، ولكن في كثير من الأحيان لن يكون مفيدًا على الإطلاق. السبب الذي يجعلك ترغب في إلقاء نظرة على المجموعة هو أنه يمكنك استكشاف الأخطاء وإصلاحها من خلال فحص عمود "الوحدة النمطية" لأي شيء لا يبدو صحيحًا تمامًا.

على سبيل المثال ، تخيل أن هناك عملية تحاول باستمرار البحث عن ملف غير موجود أو الوصول إليه ، ولكنك لم تكن متأكدًا من السبب.يمكنك البحث في علامة التبويب "مكدس الذاكرة" ومعرفة ما إذا كانت هناك أي وحدات لا تبدو سليمة ، ثم ابحث عنها. قد تجد مكونًا قديمًا ، أو حتى برامج ضارة ، يتسبب في حدوث المشكلة.

أو قد تجد أنه لا يوجد أي شيء مفيد هنا ، وهذا جيد أيضًا. هناك الكثير من البيانات الأخرى للنظر فيها.
أو قد تجد أنه لا يوجد أي شيء مفيد هنا ، وهذا جيد أيضًا. هناك الكثير من البيانات الأخرى للنظر فيها.

ملاحظات حول تجاوز سعة المخزن المؤقت

قبل أن ننتقل إلى أبعد من ذلك ، سنرغب في ملاحظة رمز النتيجة الذي سيبدأ في رؤية الكثير في القائمة ، وبناءً على كل معرفتك المهووسة حتى الآن ، قد تفزع قليلاً. لذا إذا بدأت في رؤية BUFFER OVERFLOW في القائمة ، فيُرجى عدم افتراض أن هناك شخصًا ما يحاول اختراق جهاز الكمبيوتر.

الصفحة التالية: تصفية البيانات التي تلتقطها عمليات المراقبة

موصى به: