Memahami Proses Monitor

Hari ini dalam edisi Geek School ini kami akan mengajari Anda tentang bagaimana utilitas Monitor Proses memungkinkan Anda mengintip di bawah terpal dan melihat apa yang benar-benar dilakukan aplikasi favorit Anda di belakang layar - file apa yang mereka akses, kunci registri yang mereka gunakan digunakan, dan banyak lagi.

NAVIGASI SEKOLAH

1. Apa Alat SysInternals dan Bagaimana Anda Menggunakannya?
2. Memahami Proses Explorer
3. Menggunakan Process Explorer untuk Memecahkan Masalah dan Mendiagnosis
4. Memahami Proses Monitor
5. Menggunakan Monitor Proses untuk Mengatasi Masalah dan Menemukan Peretasan Registry
6. Menggunakan Autoruns untuk Menangani Proses Startup dan Malware
7. Menggunakan BgInfo untuk Menampilkan Informasi Sistem di Desktop
8. Menggunakan PsTools untuk Mengontrol PC Lain dari Command Line
9. Menganalisis dan Mengelola File, Folder, dan Drive Anda
10. Membungkus dan Menggunakan Alat Bersama

Tidak seperti utilitas Proses Explorer yang telah kami habiskan beberapa hari, Proses Monitor dimaksudkan untuk menjadi tampilan pasif pada segala sesuatu yang terjadi di komputer Anda, bukan alat aktif untuk proses pembunuhan atau penanganan penutup. Ini seperti mengintip di logfile global untuk setiap peristiwa yang terjadi pada PC Windows Anda.

Ingin memahami kunci registri mana aplikasi favorit Anda sebenarnya menyimpan pengaturannya? Ingin mencari tahu file apa yang disentuh oleh layanan dan seberapa sering? Ingin melihat saat aplikasi terhubung ke jaringan atau membuka proses baru? Ini Monitor Proses untuk menyelamatkan.

Kami tidak melakukan banyak artikel hack registry lagi, tetapi kembali ketika kami pertama kali memulai kami akan menggunakan Proses Monitor untuk mencari tahu apa kunci registri sedang diakses, dan kemudian pergi men-tweak kunci registri tersebut untuk melihat apa yang akan terjadi. Jika Anda pernah bertanya-tanya bagaimana geek menemukan hack registry yang belum pernah dilihat oleh siapapun, itu mungkin melalui Proses Monitor.

Utilitas Memantau Proses dibuat dengan menggabungkan dua utilitas lama sekolah yang berbeda bersama-sama, Filemon dan Regmon, yang digunakan untuk memantau file dan aktivitas registri seperti namanya. Sementara utilitas tersebut masih tersedia di luar sana, dan sementara mereka mungkin sesuai dengan kebutuhan khusus Anda, Anda akan jauh lebih baik dengan Proses Monitor, karena dapat menangani volume besar peristiwa lebih baik karena fakta bahwa itu dirancang untuk melakukannya .

Ini juga perlu dicatat bahwa Proses Monitor selalu membutuhkan mode administrator karena memuat driver kernel di bawah tenda untuk menangkap semua peristiwa tersebut. Pada Windows Vista dan kemudian, Anda akan diminta dengan dialog UAC, tetapi untuk XP atau 2003, Anda harus memastikan akun yang Anda gunakan memiliki hak istimewa Administrator.

Peristiwa yang Memantau Proses Captures

Process Monitor menangkap satu ton data, tetapi tidak menangkap setiap hal yang terjadi pada PC Anda. Misalnya, Monitor Proses tidak peduli jika Anda menggerakkan mouse Anda, dan tidak tahu apakah driver Anda bekerja secara optimal. Ini tidak akan melacak proses mana yang terbuka dan membuang-buang CPU di komputer Anda - itulah tugas Process Explorer, setelah semua.

Apa yang dilakukannya adalah menangkap jenis spesifik I / O (Input / Output) operasi, apakah mereka terjadi melalui sistem file, registri, atau bahkan jaringan. Ini juga akan melacak beberapa acara lainnya dengan cara terbatas. Daftar ini mencakup peristiwa yang ditangkapnya:

• Registry - ini bisa membuat kunci, membacanya, menghapusnya, atau mempertanyakannya. Anda akan terkejut betapa sering hal ini terjadi.
• Berkas sistem - ini bisa berupa pembuatan file, penulisan, penghapusan, dll, dan bisa juga untuk hard drive lokal dan drive jaringan.
• Jaringan - ini akan menunjukkan sumber dan tujuan lalu lintas TCP / UDP, tetapi sayangnya itu tidak menunjukkan data, membuatnya sedikit kurang bermanfaat.
• Proses - Ini adalah acara untuk proses dan untaian di mana proses dimulai, utas dimulai atau keluar, dll. Ini dapat menjadi informasi yang berguna dalam hal tertentu, tetapi sering kali sesuatu yang ingin Anda lihat di Process Explorer sebagai gantinya.
• Profiling - Peristiwa ini ditangkap oleh Proses Monitor untuk memeriksa jumlah waktu prosesor yang digunakan oleh setiap proses, dan penggunaan memori. Sekali lagi, Anda mungkin ingin menggunakan Process Explorer untuk melacak hal-hal ini sebagian besar waktu, tetapi ini berguna di sini jika Anda membutuhkannya.

Jadi Monitor Proses dapat menangkap semua jenis operasi I / O, apakah itu terjadi melalui registri, sistem file, atau bahkan jaringan - meskipun data aktual yang sedang ditulis tidak ditangkap. Kami hanya melihat pada fakta bahwa suatu proses sedang menulis ke salah satu aliran ini, sehingga kita dapat mengetahui lebih lanjut tentang apa yang sedang terjadi.

Antarmuka Monitor Proses

Ketika Anda pertama kali memuat antarmuka Proses Monitor, Anda akan disajikan dengan sejumlah besar data, dengan lebih banyak data yang terbang dengan cepat, dan itu bisa luar biasa. Kuncinya adalah memiliki ide, setidaknya, tentang apa yang Anda lihat, serta apa yang Anda cari. Ini bukan jenis alat yang Anda gunakan untuk menjelajahi hari santai, karena dalam waktu yang sangat singkat, Anda akan melihat jutaan baris.

Hal pertama yang ingin Anda lakukan adalah menyaring jutaan baris tersebut ke subset data yang jauh lebih kecil yang ingin Anda lihat, dan kami akan mengajari Anda cara membuat filter dan membidik pada apa yang ingin Anda temukan . Tetapi pertama-tama, Anda harus memahami antarmuka dan data apa yang sebenarnya tersedia.

Melihat Kolom Default

Kolom default menunjukkan banyak informasi yang berguna, tetapi Anda pasti membutuhkan beberapa konteks untuk memahami data apa yang sebenarnya ada di dalamnya, karena beberapa dari mereka mungkin terlihat seperti sesuatu yang buruk terjadi ketika mereka benar-benar peristiwa tidak bersalah yang terjadi sepanjang waktu di bawah kap. Inilah yang masing-masing kolom default digunakan untuk:

• Waktu - Kolom ini cukup jelas, ini menunjukkan waktu yang tepat bahwa suatu peristiwa terjadi.
• Nama proses - nama proses yang menghasilkan acara. Ini tidak menunjukkan jalur lengkap ke file secara default, tetapi jika Anda mengarahkan kursor ke bidang, Anda dapat melihat dengan tepat proses mana itu.
• PID - ID proses dari proses yang menghasilkan peristiwa. Ini sangat berguna jika Anda mencoba memahami proses svchost.exe yang menghasilkan peristiwa. Ini juga merupakan cara yang bagus untuk mengisolasi satu proses untuk pemantauan, dengan asumsi bahwa proses tidak diluncurkan kembali.
• Operasi - ini adalah nama operasi yang sedang dicatat, dan ada ikon yang cocok dengan salah satu tipe kejadian (registry, file, jaringan, proses). Ini bisa sedikit membingungkan, seperti RegQueryKey atau WriteFile, tetapi kami akan mencoba dan membantu Anda melalui kebingungan.
• Path - ini bukan jalur proses, itu adalah jalan menuju apa pun yang sedang dikerjakan oleh acara ini. Misalnya, jika ada acara WriteFile, bidang ini akan menampilkan nama file atau folder yang disentuh. Jika ini adalah acara registri, itu akan menunjukkan kunci penuh sedang diakses.
• Hasil - Ini menunjukkan hasil operasi, yang mengkode seperti SUCCESS atau ACCESS DENIED. Meskipun Anda mungkin tergoda untuk secara otomatis menganggap bahwa BUFFER TERLALU KECIL berarti sesuatu yang benar-benar buruk terjadi, itu sebenarnya tidak benar-benar terjadi.
• Detail - informasi tambahan yang sering tidak diterjemahkan ke dalam dunia pemecahan masalah geek biasa.

Anda juga dapat menambahkan beberapa kolom tambahan ke tampilan default dengan masuk ke Pilihan -> Pilih Kolom. Ini tidak akan menjadi rekomendasi kami untuk pemberhentian pertama Anda ketika Anda memulai pengujian, tetapi karena kami menjelaskan kolom, itu sudah layak disebutkan.

Salah satu alasan untuk menambahkan kolom tambahan ke layar adalah agar Anda dapat dengan cepat memfilter berdasarkan peristiwa tersebut tanpa kewalahan dengan data. Berikut adalah beberapa kolom tambahan yang kami gunakan, tetapi Anda mungkin menemukan beberapa orang lain dalam daftar tergantung pada situasinya.

• Garis komando - sementara Anda dapat mengklik dua kali pada setiap peristiwa untuk melihat argumen baris perintah untuk proses yang menghasilkan setiap peristiwa, akan sangat berguna untuk melihat sekilas semua opsi.
• Nama Perusahaan - alasan utama kolom ini berguna adalah agar Anda dapat mengecualikan semua acara Microsoft dengan cepat dan mempersempit pemantauan Anda ke semua hal lain yang bukan bagian dari Windows. (Anda akan ingin memastikan bahwa Anda tidak memiliki proses rundll32.exe aneh yang berjalan menggunakan Process Explorer, karena itu dapat menyembunyikan malware).
• Induk PID - ini bisa sangat berguna ketika Anda memecahkan masalah proses yang berisi banyak proses anak, seperti browser web atau aplikasi yang terus meluncurkan hal-hal samar sebagai proses lain. Anda kemudian dapat memfilter berdasarkan PID Orang Tua untuk memastikan bahwa Anda menangkap semuanya.

Perlu dicatat bahwa Anda dapat memfilter berdasarkan data kolom meskipun kolom tidak ditampilkan, tetapi jauh lebih mudah untuk mengklik kanan dan memfilter daripada melakukannya secara manual. Dan ya, kami menyebutkan filter lagi meskipun kami belum menjelaskannya.

Memeriksa Acara Tunggal

Melihat hal-hal dalam daftar adalah cara yang bagus untuk cepat melihat banyak titik data yang berbeda sekaligus, tetapi ini jelas bukan cara termudah untuk memeriksa satu bagian data, dan hanya ada begitu banyak informasi yang dapat Anda lihat di daftar. Untungnya, Anda dapat mengklik dua kali pada acara apa pun untuk mengakses harta karun berupa informasi tambahan.

Tab Peristiwa default memberi Anda informasi yang sebagian besar mirip dengan apa yang Anda lihat dalam daftar, tetapi akan menambahkan sedikit lebih banyak informasi ke pesta. Jika Anda melihat acara sistem file, Anda akan dapat melihat informasi tertentu seperti atribut, waktu pembuatan file, akses yang dicoba selama operasi tulis, jumlah byte yang ditulis, dan durasi.

Beralih ke tab Proses memberi Anda banyak informasi hebat tentang proses yang menghasilkan peristiwa tersebut. Meskipun Anda umumnya ingin menggunakan Process Explorer untuk menangani proses, sangat berguna untuk memiliki banyak informasi tentang proses spesifik yang menghasilkan peristiwa tertentu, terutama jika itu adalah sesuatu yang terjadi sangat cepat dan kemudian menghilang dari Daftar proses. Dengan cara ini data diambil.

Tab Stack adalah sesuatu yang terkadang sangat berguna, tetapi sering kali tidak akan berguna sama sekali. Alasan mengapa Anda ingin melihat tumpukan itu sehingga Anda dapat memecahkan masalah dengan memeriksa kolom Modul untuk apa pun yang tampaknya tidak benar.

Sebagai contoh, bayangkan bahwa proses terus-menerus mencoba untuk meminta atau mengakses file yang tidak ada, tetapi Anda tidak yakin mengapa. Anda bisa melihat melalui tab Stack dan melihat apakah ada modul yang tidak benar, dan kemudian meneliti mereka. Anda mungkin menemukan komponen kedaluwarsa, atau bahkan malware, menyebabkan masalah.

Atau, Anda mungkin menemukan bahwa tidak ada yang berguna di sini untuk Anda, dan itu juga baik-baik saja. Ada banyak data lain untuk dilihat.

Catatan tentang Buffer Overflows

Sebelum kita melangkah lebih jauh, kita akan ingin mencatat kode hasil yang akan mulai Anda lihat banyak dalam daftar, dan berdasarkan semua pengetahuan geek Anda sejauh ini, Anda mungkin sedikit takut tentang hal itu. Jadi, jika Anda mulai melihat BUFFER OVERFLOW dalam daftar, jangan berasumsi bahwa seseorang mencoba meretas komputer Anda.

Halaman Berikutnya: Memfilter Data yang Diproses oleh Proses Monitor