Page d'accueil » école » Comprendre le moniteur de processus

    Comprendre le moniteur de processus

    Aujourd'hui, dans cette édition de Geek School, nous allons vous expliquer comment l'utilitaire Process Monitor vous permet de jeter un coup d'œil sous le capot et de voir ce que font vraiment vos applications préférées en arrière-plan: quels fichiers sont-ils en train d'accéder, les clés de registre qu'ils utilisent utiliser, et plus.

    NAVIGATION SCOLAIRE
    1. Quels sont les outils SysInternals et comment les utilisez-vous??
    2. Comprendre Process Explorer
    3. Utilisation de Process Explorer pour résoudre et diagnostiquer
    4. Comprendre le moniteur de processus
    5. Utilisation de Process Monitor pour résoudre des problèmes et trouver des traces de registre
    6. Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants
    7. Utilisation de BgInfo pour afficher des informations système sur le bureau
    8. Utilisation de PsTools pour contrôler d’autres PC à partir de la ligne de commande
    9. Analyse et gestion de vos fichiers, dossiers et lecteurs
    10. Récapitulation et utilisation des outils ensemble

    Contrairement à l'utilitaire Process Explorer que nous avons passé quelques jours à couvrir, Process Monitor se veut un regard passif sur tout ce qui se passe sur votre ordinateur, et non un outil actif pour la suppression de processus ou la fermeture de poignées. C'est comme jeter un coup d'œil sur un fichier journal global pour chaque événement qui se produit sur votre PC Windows.

    Vous voulez comprendre les clés de registre dans lesquelles votre application préférée stocke réellement leurs paramètres? Vous voulez savoir quels fichiers un service est en train de toucher et à quelle fréquence? Vous voulez savoir quand une application se connecte au réseau ou ouvre un nouveau processus? C'est Process Monitor à la rescousse.

    Nous ne faisons plus beaucoup d'articles de piratage du registre, mais lorsque nous avons commencé, nous utilisions Process Monitor pour déterminer les clés de registre auxquelles nous accédions, puis nous les modifions pour voir ce qui se passerait. Si vous vous êtes déjà demandé comment un geek a découvert un piratage de registre que personne n'a jamais vu, c'est probablement par le biais de Process Monitor..

    L'utilitaire Process Monitor a été créé en combinant deux utilitaires de la vieille école différents, Filemon et Regmon, qui ont été utilisés pour surveiller les fichiers et l'activité du registre comme l'indiquent leurs noms. Bien que ces utilitaires soient toujours disponibles, et qu’ils répondent à vos besoins particuliers, Process Monitor serait beaucoup mieux avec Process Monitor, car il peut mieux gérer un grand nombre d’événements grâce à sa conception..

    Il convient également de noter que Process Monitor requiert toujours le mode administrateur car il charge un pilote du noyau sous le capot pour capturer tous ces événements. Sous Windows Vista et versions ultérieures, une boîte de dialogue UAC vous demandera, mais pour XP ou 2003, vous devrez vous assurer que le compte que vous utilisez dispose des privilèges d'administrateur..

    Les événements qui traitent les captures du moniteur

    Process Monitor capture une tonne de données, mais ne capture pas tout ce qui se passe sur votre PC. Par exemple, Process Monitor ne se soucie pas de déplacer votre souris et il ne sait pas si vos pilotes fonctionnent de manière optimale. Il ne détectera pas quels processus sont ouverts et gaspille de la CPU sur votre ordinateur - c'est le travail de Process Explorer, après tout.

    Son objectif est de capturer des types spécifiques d'opérations d'E / S (entrée / sortie), qu'elles se produisent via le système de fichiers, le registre ou même le réseau. Il suivra en outre quelques autres événements de manière limitée. Cette liste couvre les événements qu’elle capture:

    • Enregistrement - Il peut s’agir de créer des clés, de les lire, de les supprimer ou de les interroger. Vous serez surpris à quelle fréquence cela se produit.
    • Système de fichiers - cela peut être la création de fichiers, l'écriture, la suppression, etc., et cela peut être à la fois pour les disques durs locaux et les lecteurs réseau.
    • Réseau - cela montrera la source et la destination du trafic TCP / UDP, mais malheureusement, il ne montre pas les données, ce qui le rend un peu moins utile.
    • Processus - Il s’agit d’événements pour des processus et des threads pour lesquels un processus est démarré, un thread commence ou se ferme, etc. Ces informations peuvent être utiles dans certains cas, mais vous voudrez souvent les examiner dans Process Explorer..
    • Profilage - Process Monitor saisit ces événements pour vérifier la durée du processeur utilisée par chaque processus et l'utilisation de la mémoire. Encore une fois, vous voudrez probablement utiliser Process Explorer pour suivre ces choses la plupart du temps, mais c'est utile ici si vous en avez besoin.

    Ainsi, Process Monitor peut capturer n’importe quel type d’opération d’E / S, qu’il s’agisse du registre, du système de fichiers ou même du réseau - bien que les données en cours d’écriture ne soient pas capturées. Nous examinons simplement le fait qu'un processus écrit dans l'un de ces flux afin de pouvoir en savoir plus sur ce qui se passe.

    L'interface de moniteur de processus

    Lorsque vous chargez pour la première fois l'interface Process Monitor, un très grand nombre de lignes de données vous sont présentées, et davantage de données arrivent rapidement, ce qui peut être écrasant. La clé est d’avoir au moins une idée de ce que vous regardez et de ce que vous recherchez. Ce n'est pas le type d'outil que vous passez une journée de détente à parcourir, car dans un laps de temps très court, vous verrez des millions de lignes..

    La première chose à faire est de filtrer ces millions de lignes en un sous-ensemble beaucoup plus petit de données que vous voulez voir. Nous allons vous apprendre à créer des filtres et à préciser exactement ce que vous voulez trouver. . Mais d’abord, vous devez comprendre l’interface et les données réellement disponibles..

    Regarder les colonnes par défaut

    Les colonnes par défaut affichent une tonne d'informations utiles, mais vous aurez certainement besoin d'un contexte pour comprendre les données que chacune contient, car certaines d'entre elles pourraient ressembler à quelque chose de grave qui s'est passé alors qu'il s'agit d'événements réellement innocents qui se produisent tout le temps sous la menace. capuche. Voici à quoi sert chacune des colonnes par défaut:

    • Temps - cette colonne est assez explicite, elle indique l'heure exacte à laquelle un événement s'est produit.
    • Nom du processus - le nom du processus qui a généré l'événement. Cela ne montre pas le chemin complet du fichier par défaut, mais si vous passez le curseur de votre souris sur le champ, vous pourrez voir exactement le processus utilisé..
    • PID - l'ID de processus du processus qui a généré l'événement. Ceci est très utile si vous essayez de comprendre quel processus svchost.exe a généré l'événement. C'est également un excellent moyen d'isoler un processus unique de surveillance, en supposant que ce processus ne se relance pas..
    • Opération - il s'agit du nom de l'opération consignée et une icône correspondant à l'un des types d'événement (registre, fichier, réseau, processus). Cela peut être un peu déroutant, comme RegQueryKey ou WriteFile, mais nous essaierons de vous aider à traverser la confusion..
    • Chemin - ce n'est pas le chemin du processus, c'est le chemin de tout ce qui a été travaillé par cet événement. Par exemple, s'il y a eu un événement WriteFile, ce champ affichera le nom du fichier ou du dossier en cours de traitement. S'il s'agissait d'un événement de registre, la clé complète utilisée serait affichée..
    • Résultat - Cela montre le résultat de l'opération, quels codes sont comme SUCCESS ou ACCESS DENIED. Bien que vous puissiez être tenté de présumer automatiquement qu'un TAMPON TROP PEU signifie que quelque chose de vraiment grave s'est passé, ce n'est pas le cas la plupart du temps..
    • Détail - informations supplémentaires qui souvent ne se traduisent pas dans le monde habituel du dépannage geek.

    Vous pouvez également ajouter des colonnes supplémentaires à l'affichage par défaut en allant dans Options -> Sélectionner des colonnes. Ce ne serait pas notre recommandation pour votre premier arrêt lorsque vous commencerez à tester, mais puisque nous expliquons des colonnes, il convient de le mentionner déjà..

    L'une des raisons pour ajouter des colonnes supplémentaires à l'affichage est que vous pouvez filtrer très rapidement en fonction de ces événements sans être submergé de données. Voici quelques-unes des colonnes supplémentaires que nous utilisons, mais vous pouvez en trouver d'autres dans la liste en fonction de la situation..

    • Ligne de commande - Bien que vous puissiez double-cliquer sur n'importe quel événement pour voir les arguments de la ligne de commande du processus qui a généré chaque événement, il peut être utile de voir d'un coup d'œil toutes les options..
    • Nom de la compagnie - La raison principale pour laquelle cette colonne est utile est que vous pouvez simplement exclure rapidement tous les événements Microsoft et limiter votre surveillance à tout ce qui ne fait pas partie de Windows. (Vous voudrez cependant vous assurer que vous n'avez aucun processus bizarre rundll32.exe en cours d'exécution à l'aide de Process Explorer, car ceux-ci pourraient cacher des logiciels malveillants).
    • Parent PID - Cela peut être très utile lorsque vous dépannez un processus qui contient de nombreux processus enfants, comme un navigateur Web ou une application qui continue de lancer des éléments fragmentaires en tant que processus supplémentaire. Vous pouvez ensuite filtrer par le PID parent pour vous assurer de tout capturer.

    Il est intéressant de noter que vous pouvez filtrer les données de colonne même si la colonne n'est pas affichée, mais il est beaucoup plus facile de cliquer avec le bouton droit de la souris et de filtrer que de le faire manuellement. Et oui, nous avons à nouveau mentionné les filtres même si nous ne les avons pas encore expliqués.

    Examiner un seul événement

    Afficher des éléments dans une liste est un excellent moyen de voir rapidement un grand nombre de points de données différents à la fois, mais ce n’est certainement pas le moyen le plus simple d’examiner un élément de données unique. liste. Heureusement, vous pouvez double-cliquer sur n'importe quel événement pour accéder à un trésor d'informations supplémentaires.

    L'onglet Evénement par défaut vous fournit des informations très similaires à ce que vous avez vu dans la liste, mais ajoutera un peu plus d'informations à la fête. Si vous consultez un événement de système de fichiers, vous pourrez voir certaines informations telles que les attributs, l'heure de création du fichier, l'accès tenté lors d'une opération d'écriture, le nombre d'octets écrits et la durée..

    Le passage à l'onglet Processus vous fournit de nombreuses informations utiles sur le processus qui a généré l'événement. Bien que vous souhaitiez généralement utiliser Process Explorer pour gérer les processus, il peut s'avérer très utile de disposer de nombreuses informations sur le processus spécifique qui a généré un événement spécifique, notamment s'il s'agit d'un événement qui s'est produit très rapidement et a ensuite disparu de la liste. liste des processus. De cette façon, les données sont capturées.

    L'onglet Pile est quelque chose qui sera parfois extrêmement utile, mais souvent les temps ne le seront pas du tout. La raison pour laquelle vous voudriez examiner la pile est que vous pouvez résoudre ce problème en examinant la colonne Module à la recherche de tout élément qui ne semble pas très correct.

    A titre d'exemple, imaginons qu'un processus tente constamment d'interroger ou d'accéder à un fichier qui n'existe pas, mais vous ne savez pas pourquoi. Vous pouvez regarder dans l'onglet Pile et voir s'il y a des modules qui ne semblent pas bien, puis les rechercher. Vous pouvez trouver un composant obsolète, ou même un logiciel malveillant, à l'origine du problème.

    Ou alors, vous constaterez peut-être qu’il n’ya rien d’utile ici, et c’est très bien aussi. Il y a beaucoup d'autres données à regarder.

    Remarques sur les dépassements de mémoire tampon

    Avant même d'aller plus loin, nous allons noter un code de résultat que vous allez commencer à voir souvent dans la liste, et sur la base de toutes vos connaissances en matière de geek jusqu'à présent, vous pourriez vous effrayer un peu. Donc, si vous commencez à voir BUFFER OVERFLOW dans la liste, ne supposez pas que quelqu'un essaie de pirater votre ordinateur..

    Page suivante: Filtrage des données qui traitent les captures du moniteur