NAVIGASI SEKOLAH
- Apa Alat SysInternals dan Bagaimana Anda Menggunakannya?
- Memahami Proses Explorer
- Menggunakan Process Explorer untuk Memecahkan Masalah dan Mendiagnosis
- Memahami Proses Monitor
- Menggunakan Monitor Proses untuk Mengatasi Masalah dan Menemukan Peretasan Registry
- Menggunakan Autoruns untuk Menangani Proses Startup dan Malware
- Menggunakan BgInfo untuk Menampilkan Informasi Sistem di Desktop
- Menggunakan PsTools untuk Mengontrol PC Lain dari Command Line
- Menganalisis dan Mengelola File, Folder, dan Drive Anda
- Membungkus dan Menggunakan Alat Bersama
Tidak seperti utilitas Proses Explorer yang telah kami habiskan beberapa hari, Monitor Proses dimaksudkan sebagai tampilan pasif pada semua yang terjadi di komputer Anda, bukan alat aktif untuk proses pembunuhan atau penanganan penutup. Ini seperti mengintip di logfile global untuk setiap peristiwa yang terjadi pada PC Windows Anda.
Ingin memahami kunci registri mana aplikasi favorit Anda sebenarnya menyimpan pengaturannya? Ingin mencari tahu file apa yang disentuh oleh layanan dan seberapa sering? Ingin melihat saat aplikasi terhubung ke jaringan atau membuka proses baru? Ini Memantau Proses untuk menyelamatkan.
Kami tidak melakukan banyak artikel rooting registri lagi, tetapi kembali ketika kami pertama kali memulai, kami akan menggunakan Proses Monitor untuk mencari tahu kunci registri apa yang sedang diakses, dan kemudian pergi men-tweak kunci registri tersebut untuk melihat apa yang akan terjadi. Jika Anda pernah bertanya-tanya bagaimana beberapa geek menemukan hack registry yang belum pernah dilihat oleh siapa pun, itu mungkin melalui Proses Monitor.
Utilitas Memantau Proses dibuat dengan menggabungkan dua utilitas lama sekolah yang berbeda bersama-sama, Filemon dan Regmon, yang digunakan untuk memantau file dan aktivitas registri seperti namanya. Sementara utilitas tersebut masih tersedia di luar sana, dan sementara mereka mungkin sesuai dengan kebutuhan khusus Anda, Anda akan jauh lebih baik dengan Proses Monitor, karena dapat menangani volume besar peristiwa lebih baik karena fakta bahwa itu dirancang untuk melakukannya.
Juga perlu diperhatikan bahwa Proses Monitor selalu membutuhkan mode administrator karena memuat driver kernel di bawah kap untuk menangkap semua peristiwa tersebut. Pada Windows Vista dan yang lebih baru, Anda akan diminta dengan dialog UAC, tetapi untuk XP atau 2003, Anda harus memastikan akun yang Anda gunakan memiliki hak istimewa Administrator.
Peristiwa yang Memantau Proses Captures
Process Monitor menangkap satu ton data, tetapi tidak menangkap setiap hal yang terjadi pada PC Anda. Misalnya, Monitor Proses tidak peduli jika Anda menggerakkan mouse, dan tidak tahu apakah driver Anda bekerja secara optimal. Ini tidak akan melacak proses mana yang terbuka dan membuang-buang CPU di komputer Anda - itulah tugas Process Explorer, setelah semua.
Apa yang dilakukannya adalah menangkap jenis spesifik I / O (Input / Output) operasi, apakah mereka terjadi melalui sistem file, registri, atau bahkan jaringan. Ini juga akan melacak beberapa acara lainnya dengan cara terbatas. Daftar ini mencakup peristiwa yang ditangkapnya:
- Registry - ini bisa membuat kunci, membacanya, menghapusnya, atau mempertanyakannya. Anda akan terkejut betapa sering hal ini terjadi.
- Berkas sistem - ini bisa berupa pembuatan file, penulisan, penghapusan, dll, dan bisa juga untuk hard drive lokal dan drive jaringan.
- Jaringan - ini akan menunjukkan sumber dan tujuan lalu lintas TCP / UDP, tetapi sayangnya itu tidak menunjukkan data, membuatnya sedikit kurang bermanfaat.
- Proses - Ini adalah acara untuk proses dan untaian tempat proses dimulai, utas dimulai atau keluar, dll. Ini dapat menjadi informasi yang berguna dalam hal tertentu, tetapi sering kali sesuatu yang ingin Anda lihat di Process Explorer sebagai gantinya.
- Profiling - Peristiwa ini ditangkap oleh Proses Monitor untuk memeriksa jumlah waktu prosesor yang digunakan oleh setiap proses, dan penggunaan memori. Sekali lagi, Anda mungkin ingin menggunakan Process Explorer untuk melacak hal-hal ini hampir sepanjang waktu, tetapi berguna di sini jika Anda membutuhkannya.
Jadi Pemantau Proses dapat menangkap semua jenis operasi I / O, baik yang terjadi melalui registri, sistem file, atau bahkan jaringan - meskipun data aktual yang sedang ditulis tidak ditangkap. Kami hanya melihat pada fakta bahwa suatu proses sedang menulis ke salah satu aliran ini, sehingga nantinya kami dapat mengetahui lebih lanjut tentang apa yang sedang terjadi.
Antarmuka Monitor Proses
Hal pertama yang ingin Anda lakukan adalah menyaring jutaan baris tersebut ke subset data yang jauh lebih kecil yang ingin Anda lihat, dan kami akan mengajari Anda cara membuat filter dan membidik pada apa yang ingin Anda temukan. Tetapi pertama-tama, Anda harus memahami antarmuka dan data apa yang sebenarnya tersedia.
Melihat Kolom Default
Kolom default menunjukkan banyak informasi yang berguna, tetapi Anda pasti membutuhkan beberapa konteks untuk memahami data apa yang sebenarnya ada di dalamnya, karena beberapa dari mereka mungkin terlihat seperti sesuatu yang buruk terjadi ketika mereka benar-benar peristiwa tidak bersalah yang terjadi sepanjang waktu di bawah kap. Berikut ini masing-masing kolom default yang digunakan untuk:
- Waktu - Kolom ini cukup jelas, ini menunjukkan waktu yang tepat bahwa suatu peristiwa terjadi.
- Nama proses - nama proses yang menghasilkan acara. Ini tidak menunjukkan jalur lengkap ke file secara default, tetapi jika Anda mengarahkan kursor ke bidang, Anda dapat melihat proses yang tepat.
- PID - ID proses dari proses yang menghasilkan peristiwa. Ini sangat berguna jika Anda mencoba memahami proses svchost.exe yang menghasilkan peristiwa. Ini juga cara yang bagus untuk mengisolasi satu proses untuk pemantauan, dengan asumsi proses itu tidak diluncurkan kembali.
- Operasi - ini adalah nama operasi yang sedang dicatat, dan ada ikon yang cocok dengan salah satu tipe kejadian (registry, file, jaringan, proses). Ini bisa sedikit membingungkan, seperti RegQueryKey atau WriteFile, tetapi kami akan mencoba dan membantu Anda melalui kebingungan.
- Path - ini bukan jalur proses, itu adalah jalan menuju apa pun yang sedang dikerjakan oleh acara ini. Misalnya, jika ada acara WriteFile, bidang ini akan menampilkan nama file atau folder yang disentuh. Jika ini adalah acara registri, itu akan menunjukkan kunci penuh sedang diakses.
- Hasil - Ini menunjukkan hasil operasi, yang mengkode seperti SUCCESS atau ACCESS DENIED. Meskipun Anda mungkin tergoda untuk secara otomatis menganggap bahwa BUFFER TERLALU KECIL berarti sesuatu yang benar-benar buruk terjadi, itu tidak benar-benar terjadi di sebagian besar waktu.
- Detail - informasi tambahan yang sering tidak diterjemahkan ke dalam dunia pemecahan masalah geek biasa.
Anda juga dapat menambahkan beberapa kolom tambahan ke tampilan default dengan masuk ke Pilihan -> Pilih Kolom. Ini tidak akan menjadi rekomendasi kami untuk pemberhentian pertama Anda ketika Anda mulai menguji, tetapi karena kami menjelaskan kolom, itu sudah layak disebutkan.
- Garis komando - sementara Anda dapat mengklik dua kali pada setiap peristiwa untuk melihat argumen baris perintah untuk proses yang menghasilkan setiap peristiwa, akan sangat berguna untuk melihat sekilas semua opsi.
- Nama Perusahaan - alasan utama mengapa kolom ini berguna adalah agar Anda dapat mengecualikan semua acara Microsoft dengan cepat dan mempersempit pemantauan Anda ke semua hal lain yang bukan bagian dari Windows. (Anda akan ingin memastikan bahwa Anda tidak memiliki proses rundll32.exe yang aneh yang berjalan menggunakan Proses Explorer, karena itu mungkin menyembunyikan malware).
- Induk PID - ini bisa sangat berguna ketika Anda memecahkan masalah proses yang berisi banyak proses anak, seperti browser web atau aplikasi yang terus meluncurkan hal-hal samar sebagai proses lain. Anda kemudian dapat memfilter berdasarkan PID Orang Tua untuk memastikan bahwa Anda menangkap semuanya.
Perlu diperhatikan bahwa Anda dapat memfilter berdasarkan data kolom bahkan jika kolom tidak ditampilkan, tetapi jauh lebih mudah untuk mengeklik kanan dan memfilter daripada melakukannya secara manual. Dan ya, kami menyebut filter lagi meskipun kami belum menjelaskannya.
Memeriksa Acara Tunggal
Melihat hal-hal dalam daftar adalah cara yang bagus untuk cepat melihat banyak titik data yang berbeda sekaligus, tetapi ini jelas bukan cara termudah untuk memeriksa satu bagian data, dan hanya ada begitu banyak informasi yang dapat Anda lihat di daftar. Untungnya, Anda dapat mengklik dua kali pada acara apa pun untuk mengakses harta karun berupa informasi tambahan.
Tab Peristiwa default memberi Anda informasi yang sebagian besar mirip dengan apa yang Anda lihat dalam daftar, tetapi akan menambahkan sedikit lebih banyak informasi ke pesta. Jika Anda melihat acara sistem file, Anda akan dapat melihat informasi tertentu seperti atribut, waktu pembuatan file, akses yang dicoba selama operasi tulis, jumlah byte yang ditulis, dan durasi.
Sebagai contoh, bayangkan bahwa suatu proses terus-menerus mencoba untuk meminta atau mengakses file yang tidak ada, tetapi Anda tidak yakin mengapa.Anda dapat melihat melalui tab Stack dan melihat apakah ada modul yang tidak terlihat benar, lalu selidiki mereka. Anda mungkin menemukan komponen kedaluwarsa, atau bahkan malware, menyebabkan masalah.
Catatan tentang Buffer Overflows
Sebelum kami melanjutkan lebih jauh, kami ingin mencatat kode hasil yang akan mulai Anda lihat banyak di daftar, dan berdasarkan semua pengetahuan geek Anda sejauh ini, Anda mungkin sedikit takut tentang hal itu. Jadi, jika Anda mulai melihat BUFFER OVERFLOW dalam daftar, jangan berasumsi bahwa seseorang mencoba meretas komputer Anda.
Halaman Berikutnya: Memfilter Data yang Diproses oleh Proses Monitor