Använda Process Monitor för att felsöka och hitta registerhackar

I dagens utgåva av Geek School kommer vi att lära dig hur du använder Process Monitor för att faktiskt åstadkomma felsökning och uträtta registerhackar som du inte skulle veta om annars.

1. Vad är SysInternals Tools och hur använder du dem?
2. Förstå Process Explorer
3. Använda Process Explorer för att felsöka och diagnostisera
4. Förstå Process Monitor
5. Använda Process Monitor för att felsöka och hitta registerhackar
6. Använda Autoruns att hantera startprocesser och skadlig kod
7. Använda BgInfo för att visa systeminformation på skrivbordet
8. Använda PsTools för att styra andra datorer från kommandoraden
9. Analysera och hantera dina filer, mappar och enheter
10. Förpackning och användning av verktygen tillsammans

Process Monitor är ett av de mest imponerande verktyg som du kan få i din verktygslåda, eftersom det finns nästan inget annat sätt att se vad en applikation faktiskt gör under huven. Det är det enda sättet att veta vilka filer som skrivs till med vilken process, och där saker lagras i registret och vilka filer som åtkomst till dem.

Vi börjar med dagens lektion genom att titta på hur man hittar registernycklar med hjälp av Windows-inställningsdialoger och Process Monitor, och sedan går vi igenom ett faktiskt felsökningsscenario som vi stött på på en av våra datorer i labbet och lätt löstes med hjälp av Process Monitor.

Använda Process Explorer för att hitta registernycklar för gemensamma inställningar

Alla har klickat på en kryssruta eller ändrat värdet på en rullgardinsruta vid någon tidpunkt, men har du någonsin undrat var de värderas faktiskt? Många applikationer, och nästan allt i Windows, lagras i registret ... någonstans.

För dagens exempel ska vi använda det första alternativet i den första rutan i Aktivitetsfältet och Navigationsegenskaper, vilket är en dialogruta som borde finnas i alla versioner av Windows. Så nu är vårt uppdrag att ta reda på var den inställningen faktiskt lagras i registret. Du kan följa med den här inställningen, eller du kan prova en av de andra inställningarna i samma dialogruta - eller någon annanstans du vill hitta den dolda inställningsplatsen för.

Det första du vill göra när du försöker fånga en uppsättning data är att starta Process Monitor och ändra sedan inställningen. Då kan du stoppa Process Monitor från att fortsätta att fånga händelser, så listan går inte ur kontroll. (Hint: Filmenyn har alternativet, eller det är den tredje ikonen från vänster).

Nu när vi har massor av data i listan är det dags att filtrera listan för att minska antalet rader som vi ska titta igenom. Eftersom vi tittar på ett registervärde som ändras måste vi filtrera med "RegSetValue", vilket är vad Windows använder för att faktiskt ställa in en registernyckel till en ny inställning. Använd alternativet "Inkludera" för att visa endast dessa händelser.

Din lista bör nu begränsas till bara registernycklar som ändrats, så det är dags att titta på händelserna och försöka lista ut vilken registernyckel det kan vara. Eftersom vi kontrollerar inställningen "Låsa aktivitetsfältet" och en av registernycklarna som är inställda inkluderar ordet "Aktivitetsfält" i namnet, det är ett bra ställe att börja. Högerklicka på banan och välj att hoppa till platsen.

Process Monitor öppnar registerredigeraren och markerar nyckeln i listan. Nu måste vi se till att det här är faktiskt den rätta nyckeln, som är ganska lätt att räkna ut. Ta en titt på inställningen och ta en titt på nyckeln. Just nu är inställningen på och tangenten är inställd på 0.

Ändra inställningen, tryck på Använd på dialogrutan och använd sedan F5-tangenten för att uppdatera fönstret Registerredigerare. I vårt fall valde vi definitivt rätt inställning, så nu kan du se att värdet TaskbarSizeMove är inställt på 1.

Om du inte valde rätt värde kommer du inte se en ändring när du gör inställningstestet igen. Så gå och hitta nästa logiska och börja om.

Felsökningsproblem med Process Monitor

Det går inte att illustrera i en enda artikel hur man felsöker något problem med Process Monitor eller något annat verktyg för den delen. Det finns bara alltför många kombinationer av problem som eventuellt kan gå fel.

Vad vi kan göra är emellertid att visa hur vi faktiskt använde Process Monitor för att felsöka ett verkligt problem som faktiskt hände till en av våra testdatorer. Vi hade installerat lite crapware och bestämde oss sedan för att försöka rengöra datorn. Problemet var en post i panelen Avinstallera program som bara inte skulle gå bort.

Nästa sida: Felsökningsproblem med Process Monitor