Comprendre le moniteur de processus

Table des matières:

Comprendre le moniteur de processus
Comprendre le moniteur de processus

Vidéo: Comprendre le moniteur de processus

Vidéo: Comprendre le moniteur de processus
Vidéo: Augmenter vitesse wifi Plus Rapide / Rendre Votre WiFi Plus Rapide et Plus Stable - YouTube 2024, Novembre
Anonim
Aujourd'hui, dans cette édition de Geek School, nous allons vous expliquer comment l'utilitaire Process Monitor vous permet de jeter un coup d'œil sous le capot et de voir ce que font vraiment vos applications préférées en arrière-plan: quels fichiers sont-ils en train d'accéder, les clés de registre qu'ils utilisent utiliser, et plus.
Aujourd'hui, dans cette édition de Geek School, nous allons vous expliquer comment l'utilitaire Process Monitor vous permet de jeter un coup d'œil sous le capot et de voir ce que font vraiment vos applications préférées en arrière-plan: quels fichiers sont-ils en train d'accéder, les clés de registre qu'ils utilisent utiliser, et plus.

NAVIGATION SCOLAIRE

  1. Quels sont les outils SysInternals et comment les utilisez-vous?
  2. Comprendre Process Explorer
  3. Utilisation de Process Explorer pour résoudre et diagnostiquer
  4. Comprendre le moniteur de processus
  5. Utilisation de Process Monitor pour résoudre des problèmes et trouver des traces de registre
  6. Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants
  7. Utilisation de BgInfo pour afficher des informations système sur le bureau
  8. Utiliser PsTools pour contrôler d'autres PC à partir de la ligne de commande
  9. Analyse et gestion de vos fichiers, dossiers et lecteurs
  10. Récapitulation et utilisation des outils ensemble

Contrairement à l'utilitaire Process Explorer que nous avons passé quelques jours à couvrir, Process Monitor se veut un regard passif sur tout ce qui se passe sur votre ordinateur, et non un outil actif pour la suppression de processus ou la fermeture de poignées. C'est comme jeter un coup d'œil sur un fichier journal global pour chaque événement survenant sur votre PC Windows.

Vous voulez comprendre les clés de registre dans lesquelles votre application préférée stocke réellement leurs paramètres? Vous voulez savoir quels fichiers un service est en train de toucher et à quelle fréquence? Vous voulez savoir quand une application se connecte au réseau ou ouvre un nouveau processus? C’est Process Monitor à la rescousse.

Nous ne faisons plus beaucoup d’informations sur le registre, mais lorsque nous avons commencé, nous utilisions Process Monitor pour déterminer les clés de registre auxquelles nous accédions, puis nous les modifions pour voir ce qui se passerait. Si vous vous êtes déjà demandé comment un geek a découvert un piratage de registre que personne n’a jamais vu, c’est probablement par l’intermédiaire de Process Monitor.

L'utilitaire Process Monitor a été créé en combinant deux utilitaires de la vieille école différents, Filemon et Regmon, qui ont été utilisés pour surveiller les fichiers et l'activité du registre comme l'indiquent leurs noms. Bien que ces utilitaires soient toujours disponibles, et qu’ils répondent à vos besoins particuliers, Process Monitor serait beaucoup mieux avec Process Monitor, car il peut mieux gérer un grand nombre d’événements grâce à sa conception..

Il convient également de noter que Process Monitor a toujours besoin du mode administrateur car il charge un pilote du noyau sous le capot pour capturer tous ces événements. Sous Windows Vista et les versions ultérieures, une boîte de dialogue UAC vous demandera, mais pour XP ou 2003, vous devrez vous assurer que le compte que vous utilisez dispose des privilèges d’administrateur.

Les événements qui traitent les captures du moniteur

Process Monitor capture une tonne de données, mais ne capture pas tout ce qui se passe sur votre PC. Par exemple, Process Monitor ne se soucie pas de déplacer votre souris et il ne sait pas si vos pilotes fonctionnent de manière optimale. Il ne détectera pas quels processus sont ouverts et gaspille la CPU sur votre ordinateur - c’est le travail de Process Explorer, après tout.

Son objectif est de capturer des types spécifiques d'opérations d'E / S (entrée / sortie), qu'elles se produisent via le système de fichiers, le registre ou même le réseau. Il suivra en outre quelques autres événements de manière limitée. Cette liste couvre les événements qu’elle capture:

  • Enregistrement - Il peut s’agir de créer des clés, de les lire, de les supprimer ou de les interroger. Vous serez surpris de la fréquence à laquelle cela se produit.
  • Système de fichiers - Il peut s’agir de la création, de l’écriture, de la suppression de fichiers, etc.
  • Réseau - cela montrera la source et la destination du trafic TCP / UDP, mais malheureusement, il ne montre pas les données, ce qui le rend un peu moins utile.
  • Processus - Il s’agit d’événements pour les processus et les threads dans lesquels un processus est démarré, un thread commence ou se ferme, etc. Ces informations peuvent être utiles dans certains cas, mais vous voudrez souvent les examiner dans Process Explorer.
  • Profilage - Process Monitor saisit ces événements pour vérifier la quantité de temps processeur utilisée par chaque processus et l'utilisation de la mémoire. Encore une fois, vous voudrez probablement utiliser Process Explorer pour suivre ces choses la plupart du temps, mais c’est utile ici si vous en avez besoin.

Ainsi, Process Monitor peut capturer n’importe quel type d’opération d’E / S, qu’il s’agisse du registre, du système de fichiers ou même du réseau - bien que les données en cours d’écriture ne soient pas capturées. Nous ne faisons que regarder le fait qu’un processus écrit dans l’un de ces flux afin de pouvoir en savoir plus sur ce qui se passe.

L'interface de moniteur de processus

Lorsque vous chargez pour la première fois l'interface Process Monitor, un nombre considérable de lignes de données vous seront présentées, et davantage de données arriveront rapidement, ce qui peut s'avérer fastidieux. La clé est d’avoir au moins une idée de ce que vous regardez et de ce que vous recherchez. Ce n'est pas le type d'outil que vous passez une journée de détente à parcourir, car dans un très court laps de temps, vous obtiendrez des millions de lignes.
Lorsque vous chargez pour la première fois l'interface Process Monitor, un nombre considérable de lignes de données vous seront présentées, et davantage de données arriveront rapidement, ce qui peut s'avérer fastidieux. La clé est d’avoir au moins une idée de ce que vous regardez et de ce que vous recherchez. Ce n'est pas le type d'outil que vous passez une journée de détente à parcourir, car dans un très court laps de temps, vous obtiendrez des millions de lignes.

La première chose à faire est de filtrer ces millions de lignes dans le sous-ensemble de données beaucoup plus petit que vous voulez voir. Nous allons vous apprendre à créer des filtres et à préciser exactement ce que vous voulez trouver.. Mais d’abord, vous devez comprendre l’interface et les données réellement disponibles.

Regarder les colonnes par défaut

Les colonnes par défaut affichent une tonne d'informations utiles, mais vous aurez certainement besoin d'un contexte pour comprendre les données réellement contenues dans chacune d'entre elles, car certaines d'entre elles pourraient ressembler à quelque chose de grave qui s'est produit alors que ce sont des événements vraiment innocents qui se produisent tout le temps sous la menace. capuche. Voici à quoi sert chacune des colonnes par défaut:

  • Temps - cette colonne est assez explicite, elle indique l'heure exacte à laquelle un événement s'est produit.
  • Nom du processus - le nom du processus qui a généré l'événement. Cela n’affiche pas le chemin complet du fichier par défaut, mais si vous survolez le champ, vous pouvez voir exactement quel processus il était.
  • PID - l'ID de processus du processus qui a généré l'événement. Ceci est très utile si vous essayez de comprendre quel processus svchost.exe a généré l'événement. C’est également un excellent moyen d’isoler un processus unique de surveillance, à condition que ce processus ne se relance pas.
  • Opération - il s'agit du nom de l'opération consignée et une icône correspondant à l'un des types d'événement (registre, fichier, réseau, processus). Cela peut être un peu déroutant, comme RegQueryKey ou WriteFile, mais nous allons essayer de vous aider à traverser la confusion.
  • Chemin - Ce n'est pas le chemin du processus, c'est le chemin de tout ce qui a été travaillé par cet événement. Par exemple, s'il y a eu un événement WriteFile, ce champ affichera le nom du fichier ou du dossier en cours de traitement. S'il s'agissait d'un événement de registre, il indiquerait la clé complète utilisée.
  • Résultat - Ceci affiche le résultat de l'opération, quels codes sont comme SUCCESS ou ACCESS DENIED. Vous pourriez être tenté de présumer automatiquement qu’un tampon trop petit signifie que quelque chose de grave s’est passé, mais ce n’est pas le cas la plupart du temps.
  • Détail - des informations supplémentaires qui souvent ne se traduisent pas dans le monde habituel du dépannage geek.

Vous pouvez également ajouter des colonnes supplémentaires à l'affichage par défaut en allant dans Options -> Sélectionner des colonnes. Ce ne serait pas notre recommandation pour votre premier arrêt lorsque vous commencerez à tester, mais puisque nous expliquons les colonnes, il convient de le mentionner déjà.

L'une des raisons pour ajouter des colonnes supplémentaires à l'affichage est que vous pouvez filtrer très rapidement en fonction de ces événements sans être submergé de données. Voici quelques-unes des colonnes supplémentaires que nous utilisons, mais vous pouvez en trouver d'autres dans la liste en fonction de la situation.
L'une des raisons pour ajouter des colonnes supplémentaires à l'affichage est que vous pouvez filtrer très rapidement en fonction de ces événements sans être submergé de données. Voici quelques-unes des colonnes supplémentaires que nous utilisons, mais vous pouvez en trouver d'autres dans la liste en fonction de la situation.
  • Ligne de commande - Bien que vous puissiez double-cliquer sur n'importe quel événement pour voir les arguments de la ligne de commande du processus qui a généré chaque événement, il peut être utile de voir d'un coup d'œil toutes les options.
  • Nom de la compagnie - la principale raison pour laquelle cette colonne est utile est que vous pouvez simplement exclure rapidement tous les événements Microsoft et limiter votre surveillance à tout ce qui ne fait pas partie de Windows. (Vous voudrez toutefois vous assurer de ne pas avoir de processus étranges rundll32.exe exécutés à l’aide de Process Explorer, car ceux-ci pourraient masquer des logiciels malveillants).
  • Parent PID - cela peut être très utile lorsque vous dépannez un processus contenant de nombreux processus enfants, comme un navigateur Web ou une application qui continue de lancer des éléments fragmentaires en tant que processus supplémentaire. Vous pouvez ensuite filtrer par le PID parent pour vous assurer de tout capturer.

Il est intéressant de noter que vous pouvez filtrer les données de colonne même si la colonne n’affiche pas, mais il est beaucoup plus facile de cliquer avec le bouton droit de la souris et de filtrer que de le faire manuellement. Et oui, nous avons à nouveau mentionné les filtres même si nous ne les avons pas encore expliqués.

Examiner un seul événement

Afficher des éléments dans une liste est un excellent moyen de voir rapidement un grand nombre de points de données différents à la fois, mais ce n’est certainement pas le moyen le plus simple d’examiner un élément de données unique. En outre, il n’existe que très peu d’informations. liste. Heureusement, vous pouvez double-cliquer sur n'importe quel événement pour accéder à un trésor d'informations supplémentaires.

L'onglet Evénement par défaut vous fournit des informations très similaires à ce que vous avez vu dans la liste, mais ajoutera un peu plus d'informations à la fête. Si vous consultez un événement de système de fichiers, vous pourrez voir certaines informations telles que les attributs, l’heure de création du fichier, l’accès tenté lors d’une opération d’écriture, le nombre d’octets écrits et la durée.

Le passage à l'onglet Processus vous fournit de nombreuses informations utiles sur le processus qui a généré l'événement. Bien que vous souhaitiez généralement utiliser Process Explorer pour gérer les processus, il peut s'avérer très utile de disposer de nombreuses informations sur le processus spécifique qui a généré un événement spécifique, notamment s'il s'agit d'un événement qui s'est produit très rapidement et a ensuite disparu de la liste. liste des processus. De cette façon, les données sont capturées.
Le passage à l'onglet Processus vous fournit de nombreuses informations utiles sur le processus qui a généré l'événement. Bien que vous souhaitiez généralement utiliser Process Explorer pour gérer les processus, il peut s'avérer très utile de disposer de nombreuses informations sur le processus spécifique qui a généré un événement spécifique, notamment s'il s'agit d'un événement qui s'est produit très rapidement et a ensuite disparu de la liste. liste des processus. De cette façon, les données sont capturées.
L'onglet Pile est quelque chose qui sera parfois extrêmement utile, mais souvent ce ne sera pas du tout utile. La raison pour laquelle vous voudriez examiner la pile est que vous pouvez résoudre ce problème en examinant la colonne Module à la recherche de tout élément qui n’a pas l’air tout à fait correct.
L'onglet Pile est quelque chose qui sera parfois extrêmement utile, mais souvent ce ne sera pas du tout utile. La raison pour laquelle vous voudriez examiner la pile est que vous pouvez résoudre ce problème en examinant la colonne Module à la recherche de tout élément qui n’a pas l’air tout à fait correct.

A titre d’exemple, imaginons qu’un processus tente constamment d’interroger ou d’accéder à un fichier qui n’existe pas, sans savoir pourquoi.Vous pouvez regarder dans l'onglet Pile et voir s'il y a des modules qui n'ont pas l'air corrects, puis les rechercher. Vous pouvez trouver un composant obsolète, ou même un logiciel malveillant, à l'origine du problème.

Vous constaterez peut-être qu’il n’ya rien d’utile ici, et c’est très bien aussi. Il y a beaucoup d'autres données à examiner.
Vous constaterez peut-être qu’il n’ya rien d’utile ici, et c’est très bien aussi. Il y a beaucoup d'autres données à examiner.

Remarques sur les dépassements de mémoire tampon

Avant même d’aller plus loin, nous voudrons noter un code de résultat que vous allez commencer à voir souvent dans la liste, et sur la base de toutes vos connaissances de geek jusqu’à présent, vous pourriez vous effrayer un peu. Donc, si vous commencez à voir BUFFER OVERFLOW dans la liste, ne supposez pas que quelqu'un essaie de pirater votre ordinateur.

Page suivante: Filtrage des données qui traitent les captures du moniteur

Conseillé: