Серия уроков по пакету утилит SysInternals
1. Что такое инструменты SysInternals и как их использовать?
2. Знакомство с Process Explorer
3. Использование Process Explorer для устранения неполадок и диагностики
5. Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра
6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО
В этой статье мы научим вас, как использовать Process Monitor для устранения неполадок и поиска ключей реестра, которыми можно менять настройки системы, о которых вы бы не узнали другим способом.
Process Monitor — один из самых впечатляющих инструментов, которые вы можете иметь в своём наборе инструментов, поскольку другого способа увидеть, что на самом деле делает приложение, практически не существует. Это единственный способ узнать, какие файлы и какие процессы записывают, где что-то хранится в реестре и какие файлы к ним обращаются.
Мы начнём с того, что посмотрим, как найти ключи реестра с помощью диалоговых окон настроек Windows и Process Monitor, а затем рассмотрим фактический сценарий устранения неполадок, с которым мы столкнулись на одном из наших компьютеров в лаборатории и который был легко решён с помощью Process Monitor.
Как использовать Process Explorer для поиска ключей реестра, которые меняют настройки
Настраивая операционную систему мы устанавливаем флажок или меняем значение раскрывающегося списка, но задумывались ли вы, где на самом деле хранятся эти значения? Многие приложения и практически все настройки Windows хранятся в реестре… где-то.
В сегодняшнем примере мы определим, в каком именно ключе реестра хранится первая настройка Панели задач под названием «Закрепить панель задач», которая должна присутствовать во всех версиях Windows. Итак, теперь наша миссия — выяснить, где именно этот параметр хранится в реестре. Вы можете следить за этим конкретным параметром, или вы можете попробовать один из других параметров в том же диалоговом окне — или в любом другом месте, для которого вы хотите найти место в реестре, где он хранится.
Первое, что вам нужно сделать, пытаясь захватить набор данных, - это запустить Process Monitor, а затем изменить настройку. На этом этапе вы можете запретить Process Monitor продолжать регистрацию событий, чтобы список событий не разросся слишком сильно. (Подсказка: в меню «File» для остановки записи событий снимите галочку с опции «Capture Events» или это третий значок слева).
Теперь, когда у нас есть масса данных в списке, пришло время отфильтровать список, чтобы уменьшить количество строк, которые нам придётся просматривать. Поскольку мы рассматриваем значение реестра, которое изменяется, нам необходимо выполнить фильтрацию по «RegSetValue», которое Windows использует для фактической установки нового параметра в разделе реестра. Используйте опцию «Include», чтобы показать только эти события.
Теперь ваш список должен быть ограничен только ключами реестра, которые были изменены, поэтому пришло время взглянуть на события и попытаться выяснить, какой это может быть раздел реестра. Поскольку мы проверяем параметр «Заблокировать панель задач», а один из настраиваемых разделов реестра содержит в названии слово «Панель задач», это хорошее место для начала. Щёлкните правой кнопкой мыши путь и выберите Jump To («Перейти к месту»).
Process Monitor откроет редактор реестра и выделит ключ в списке. Теперь нам нужно убедиться, что это действительно правильный ключ, который довольно легко определить. Взгляните на настройку, а затем посмотрите на ключ. Сейчас настройка включена, а ключ установлен на 0.
Поэтому измените настройку, нажмите «Применить» в диалоговом окне, а затем используйте клавишу F5, чтобы обновить окно редактора реестра. В нашем случае мы определённо выбрали правильный параметр, поэтому теперь вы можете видеть, что для параметра TaskbarSizeMove установлено значение 1.
Если вы выбрали неправильное значение, вы не увидите изменений при повторном тестировании настроек. Так что идите и найдите следующий логичный вариант и начните заново.
Устранение проблем с помощью Process Monitor
На самом деле невозможно проиллюстрировать в одной статье, как устранить любую проблему с помощью Process Monitor или любого другого инструмента в этом отношении. Слишком много комбинаций проблем, слишком много путей, по которым что-то может пойти не так.
Однако мы можем показать, как на самом деле мы использовали Process Monitor для устранения реальной проблемы, которая действительно произошла с одним из наших тестовых компьютеров. Мы устанавливали какое-то вредоносное ПО, а затем решили попробовать очистить компьютер. Проблема заключалась в записи на панели «Удаление программ», которая просто не исчезла.
Каждый раз, когда мы нажимали «Изменить», чтобы удалить её, мы получали сообщение об ошибке «Произошла ошибка при попытке удалить AwfulApp. Возможно, она уже была удалена. Вы хотите удалить AwfulApp из списка «Программы и компоненты? ».
Это было бы здорово, если бы мы не получили сообщение об ошибке: «У вас недостаточно прав для удаления OutfoxTV из списка программ и функций. Пожалуйста, обратитесь к системному администратору".
Первое, что нужно было сделать, это снова попробовать процесс удаления с запущенным Process Monitor, который захватил огромное количество данных. На этот раз мы решили использовать функцию Find («Найти») (CTRL+F), чтобы быстро найти то, что мы искали в списке. Вы также можете использовать фильтр, если хотите, но это казалось простым и, к счастью, сработало в первый раз.
Взглянув на первый элемент в списке, мы заметили ошибку: Windows пыталась получить доступ к разделам реестра, связанным с программой удаления, но на самом деле их не было в реестре в том месте, которое искала Windows. Если вы посмотрите на пару ключей вниз, вы увидите событие RegOpenKey с результатом УСПЕХ для какого-то объекта в HKLM\Software\Wow6432Node.
Выполнение поиска по этому ключу реестра очень быстро привело нас к источнику проблемы: сообщению ACCESS DENIED (доступ запрещён), когда Windows пыталась выполнить очистку списка с помощью операции RegDeleteKey. Интересно!
Первое, что нужно сделать, - это использовать функцию Jump To («Перейти к»), чтобы найти ключ в реестре и посмотреть.
Конечно же, посмотрите на все эти ключи реестра! Неудивительно, что он до сих пор фигурирует в списке.
Чтобы быть уверенным, мы открыли каталог C:\Program Files\, чтобы посмотреть, остались ли какие-либо файлы, но очевидно, что приложение уже было стёрто с ПК.
Решение было очень простым: мы просто вручную удалили раздел реестра, с удалением которого у Windows возникли проблемы. Если бы мы получили сообщение об отказе в доступе, мы могли бы использовать настройку разрешений, чтобы убедиться, что у нас есть доступ, и повторить попытку.
К счастью, удаление сработало немедленно, и теперь список программ удаления стал чистым.
Это лишь некоторые из множества способов использования Process Monitor — это чрезвычайно важная и полезная утилита, освоение которой займёт некоторое время, но как только вы это сделаете, она действительно может помочь вам решить многие проблемы.
Следующий урок
Далее мы рассмотрим многие другие утилиты в SysInternals Toolkit, включая некоторые из мощных инструментов командной строки.
Связанные статьи:
- Использование Process Explorer для устранения неполадок и диагностики (100%)
- Понимание Process Monitor (100%)
- Что такое инструменты SysInternals и как их использовать? (85%)
- Знакомство с Process Explorer (85%)
- Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО (85%)
- Как отключить аккаунт пользователя Windows (RANDOM - 50.7%)