Sysinternals pro: het gebruik van Process Monitor problemen op te lossen en te vinden registry hacks

In de huidige editie van Geek School gaan we je leren hoe je Process Monitor gebruiken voor het oplossen van problemen en het uitzoeken registry hacks die je niet zou weten anders daadwerkelijk te bereiken.

Process Monitor is een van de meest indrukwekkende tools die u in uw toolkit kan hebben, want er is bijna geen andere manier om te zien wat een toepassing daadwerkelijk aan het doen is onder de motorkap. Het is de enige manier om te weten welke bestanden worden geschreven door welk proces en waar dingen worden opgeslagen in het register, en welke bestanden hen toegang.

We beginnen met de les van vandaag door te kijken naar hoe het register sleutels te vinden met behulp van Windows instellen van dialogen en Process Monitor, en dan gaan we door middel van een werkelijke problemen scenario dat we tegenkwamen op een van onze computers in het lab, en eenvoudig op te lossen met behulp van Process Monitor.

Iedereen heeft een checkbox geklikt of veranderde de waarde van een drop-down box op een bepaald punt, maar heb je ooit afgevraagd waar die waarden daadwerkelijk worden opgeslagen? Veel toepassingen, en vrijwel alles in Windows, wordt opgeslagen in het register … ergens.

Bijvoorbeeld van vandaag gaan we de eerste optie op de eerste ruit van Taakbalk en Navigation Properties, dat is een dialoog die zou moeten bestaan ​​in alle versies van Windows. Dus nu onze missie is om erachter te komen waar die instelling daadwerkelijk in het register is opgeslagen. U kunt volgen samen met deze instelling, of je kunt proberen een van de andere instellingen op dezelfde dialoog – of ergens anders dat u wilt de verborgen instelling plaats te vinden.

Het eerste wat je wilt doen wanneer het proberen om een ​​set van gegevens vast te leggen is om Process Monitor te starten, en wijzig vervolgens de instelling. Op dat moment kunt u Process Monitor stoppen uit voortgezette gebeurtenissen vast te leggen, zodat de lijst niet uit de hand krijgt. (Hint: het menu Bestand heeft de optie, of het is de derde icoon van links).

Nu we een ton van de gegevens in de lijst hebt, is het tijd om de lijst te filteren om het aantal rijen dat we gaan te hebben om door te kijken terug te dringen. Sinds we kijken naar een register waarde die wordt gewijzigd, moeten we om op te filteren “RegSetValue”, dat is wat Windows gebruikt om daadwerkelijk te stellen een registersleutel naar een nieuwe instelling. Gebruik de “Include” optie om alleen die evenementen te zien zijn.

Uw lijst moet nu worden beperkt tot alleen registersleutels die werden veranderd, dus het is tijd om een ​​blik op de gebeurtenissen en proberen te achterhalen welke registersleutel het zou kunnen zijn. Aangezien wij de “Taakbalk vergrendelen” instelling hebt de controle, en een van de registersleutels wordt ingesteld omvat het woord “Taakbalk” in de naam, dat is een goede plek om te beginnen. Klik met de rechtermuisknop op het pad en kies om naar de locatie.

Process Monitor zal het openstellen van de Register-editor en markeer de sleutel in de lijst. Nu moeten we ervoor zorgen dat dit is eigenlijk de juiste sleutel, dat is vrij eenvoudig te achterhalen. Neem een ​​kijkje op de omgeving, en neem dan een kijkje op de sleutel. Op dit moment is de instelling is ingeschakeld, en de sleutel is ingesteld op 0.

Zo wijzigt u de instelling, hit Breng in het dialoogvenster, en gebruik vervolgens de F5 toets om het venster Register-editor te vernieuwen. In ons geval we zeker koos de juiste instelling, dus nu kun je zien dat de TaskbarSizeMove waarde is ingesteld op 1.

Als je de juiste waarde niet hebt halen, zul je niet zien een verandering als u de instelling test opnieuw te doen. Dus ga en vind de volgende logische één, en opnieuw beginnen.

Het is niet echt mogelijk om te illustreren in één artikel hoe je een probleem hebt met Process Monitor, of een ander hulpmiddel voor die kwestie op te lossen. Er zijn gewoon veel te veel combinaties van kwesties die eventueel mis kan gaan.

Wat we wel kunnen doen, is echter laten zien hoe we daadwerkelijk gebruikte Process Monitor om een ​​echt probleem dat eigenlijk gebeurd met een van onze test computers op te lossen. We hadden installeren van een aantal crapware, en vervolgens besloten om te proberen en het reinigen van de computer up. Het probleem was een item in het venster Uninstall Programma’s die zou gewoon niet weg.

Volgende pagina: Problemen met Process Monitor

Hier zijn een paar screenshots, ik ben verloren. Ik denk dat not.It zal me niet laten. Ik denk dat ik zal knoeien met PM sommige more.What filters gebruikt u? Omdat ik in gebruik genomen is regsetvalue, en dan heb ik drug de bulls-eye op de taakbalk raam en ik krijg expoler.exe HKCU, de gebruiker te helpen, maar niets met taakbalk in het pad. Dan probeerde ik pad bevat taakbalk en niets komt omhoog.

Blij om te weten de Sysinternals-serie krijgt meer dan een week. Er is zo veel meer dan alleen Process Explorer en Process Monitor, ook al zijn deze op hun eigen zijn vrij episch gereedschappen.

@geek – Vind je het erg om ons een idee van die command-line tools u van plan op die?

Toch beslissen, ik heb niet echt klaar met de tweede helft van de serie nog niet. Voorkeuren? Er zijn zeker een ton van gereedschappen, en ik weet niet of een andere 5 delen genoeg tijd om ze allemaal te dekken.

Het lijkt erop dat je hebt een groot deel van de groten al gedekt, of op de tap. In “met behulp van PsTools” Ik zou kunnen suggereren die PSLoggedOn. Het is waarschijnlijk meer te gebruiken om enterprise admins dan at-home geeks, maar waarschijnlijk ook de command-line SysInternals hulpmiddel dat ik het meest gebruikt persoonlijk.

Een ander interessant kunnen zijn Desktops – de virtuele desktop manager. Heb het zelf niet geprobeerd (het idee van meerdere desktops nooit echt betrapt op met mij), maar ik weet zeker dat er anderen die geïnteresseerd zou zijn.

ShellRunas is cool, maar verouderd met Shift + Right-Click in Win7 (en misschien Vista).

Ik weet niet zeker wat het doel van PsShutdown is, sinds Windows heeft al een ingebouwde shutdown nut bruikbare via CLI of GUI – en het werkt over het netwerk ook. Misschien is het een tijd voordat dat was onderdeel van de standaard build.

TCPView! Hoe heb ik vergeten TCPView ?!

TCPView is pretty awesome.

Het dier in de Firefox-logo is niet echt een vos, het is een rode panda.