Utilisation de Process Monitor pour résoudre des problèmes et trouver des traces de registre

Dans l'édition d'aujourd'hui de Geek School, nous allons vous apprendre à utiliser Process Monitor pour effectuer le dépannage et identifier les piratages de registre que vous ne sauriez pas autrement..

1. Quels sont les outils SysInternals et comment les utilisez-vous??
2. Comprendre Process Explorer
3. Utilisation de Process Explorer pour résoudre et diagnostiquer
4. Comprendre le moniteur de processus
5. Utilisation de Process Monitor pour résoudre des problèmes et trouver des traces de registre
6. Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants
7. Utilisation de BgInfo pour afficher des informations système sur le bureau
8. Utilisation de PsTools pour contrôler d’autres PC à partir de la ligne de commande
9. Analyse et gestion de vos fichiers, dossiers et lecteurs
10. Récapitulation et utilisation des outils ensemble

Process Monitor est l’un des outils les plus impressionnants de votre boîte à outils, car il n’ya pratiquement aucun autre moyen de voir ce que fait réellement une application sous le capot. C'est le seul moyen de savoir quels fichiers sont écrits dans quel processus, où les choses sont stockées dans le registre et quels fichiers y ont accès.

Nous allons commencer par la leçon d'aujourd'hui en cherchant comment trouver des clés de registre à l'aide des boîtes de dialogue de configuration Windows et de Process Monitor, puis nous passerons en revue un scénario de dépannage réel que nous avons rencontré sur l'un de nos ordinateurs du laboratoire et que nous avons facilement résolu. en utilisant Process Monitor.

Utilisation de Process Explorer pour rechercher des clés de registre pour des paramètres communs

Tout le monde a cliqué sur une case à cocher ou modifié la valeur d'une liste déroulante à un moment donné, mais vous êtes-vous déjà demandé où ces valeurs sont réellement stockées? De nombreuses applications, et pratiquement tout dans Windows, sont stockées dans le registre… quelque part.

Dans l'exemple d'aujourd'hui, nous allons utiliser la première option du premier volet des propriétés de la barre des tâches et de la navigation, une boîte de dialogue devant exister dans toutes les versions de Windows. Alors maintenant, notre mission est de déterminer où ce paramètre est réellement stocké dans le registre. Vous pouvez suivre ce paramètre en particulier ou essayer l’un des autres paramètres de la même boîte de dialogue - ou n’importe où ailleurs où vous souhaitez trouver l’emplacement de paramètre masqué pour.

La première chose que vous voudrez faire chaque fois que vous tenterez de capturer un ensemble de données consiste à lancer Process Monitor, puis à modifier le paramètre. À ce stade, vous pouvez empêcher Process Monitor de continuer à capturer des événements, afin que la liste ne devienne pas hors de contrôle. (Indice: le menu Fichier a l'option, ou c'est la troisième icône à partir de la gauche).

Maintenant que nous avons une tonne de données dans la liste, il est temps de filtrer la liste afin de réduire le nombre de lignes que nous devrons parcourir. Étant donné que nous examinons une valeur de registre en cours de modification, nous devons filtrer par «RegSetValue», méthode utilisée par Windows pour définir une clé de registre sur un nouveau paramètre. Utilisez l'option "Inclure" pour afficher seulement ces événements.

Votre liste devrait maintenant être limitée aux seules clés de registre qui ont été modifiées. Il est donc temps d'examiner les événements et d'essayer de déterminer quelle clé de registre il peut s'agir. Puisque nous vérifions le paramètre «Verrouiller la barre des tâches» et que l'une des clés de registre en cours de définition contient le mot «Barre des tâches», c'est un bon point de départ. Faites un clic droit sur le chemin et choisissez Aller à l'emplacement.

Process Monitor ouvre l'éditeur de registre et met en surbrillance la clé dans la liste. Maintenant, nous devons nous assurer que c'est bien la bonne clé, ce qui est assez facile à comprendre. Examinez les paramètres, puis examinez la clé. Pour l'instant, le réglage est activé et la clé est définie sur 0.

Modifiez donc le paramètre, cliquez sur Appliquer dans la boîte de dialogue, puis utilisez la touche F5 pour actualiser la fenêtre de l’Éditeur du Registre. Dans notre cas, nous avons définitivement choisi le bon paramètre. Vous pouvez donc maintenant voir que la valeur TaskbarSizeMove est définie sur 1.

Si vous n'avez pas sélectionné la bonne valeur, vous ne verrez aucun changement lorsque vous refaitrez le test de réglage. Alors, allez chercher le prochain logique, et recommencez.

Dépannage des problèmes avec Process Monitor

Il n'est pas vraiment possible d'illustrer dans un seul article comment résoudre tout problème rencontré avec Process Monitor ou tout autre outil. Il y a beaucoup trop de combinaisons de problèmes qui pourraient éventuellement mal tourner.

Ce que nous pouvons faire, cependant, est de montrer comment nous avons utilisé Process Monitor pour résoudre un problème réel survenu sur l’un de nos ordinateurs de test. Nous avions installé des crapware, puis avons décidé de nettoyer l’ordinateur. Le problème était une entrée du panneau des programmes de désinstallation qui ne voulait tout simplement pas disparaître..

Page suivante: Résolution des problèmes liés à Process Monitor