10+ лучших инструментов для мониторинга системных ресурсов в windows 10

More information

The latest version of the Process Monitor utility is always available at Microsoft TechNet Sysinternals Download Page.

Process Monitor can be run on Windows Vista and higher, Windows Server 2008 and higher.

You can open PML files only with the Process Monitor itself.

/EnableBootLogging

Procmon configures drivers to run as a boot start driver next to the system startup, before all other drivers.

Activity will be logged in %windir%\Procmon.PMB driver until shutdown or running Procmon again. If you will not run Procmon during boot session, you’ll capture a trace of the entire boot-to-shutdown cycle.

To enable logging for subsequent boots, you must explicitly enable it again each time.

You can automate the converting of the unsaved boot log by /ConvertBootLog pml-file

Keeping procmon running affter logoff.PsExec -s -d Procmon.exe
-d option allows PsExec to exit without waiting for the target process to exit

Analysis tools

  • Process activity summary — CPU utilization, File I/O operations, registry operations, network operations, memory
  • File summary — for each unique file system path, the dialog box displays how much total time was spent performing I/O to the file, the number of opens, closes, reads, writes, Get ACL, Set ACL and other operations, the total number of operations performed and number of bytes read from and written to the file. Noneexpandable one indicates operations performed on the directory itself, expandable displays the sums of all operations performed on its files and subdirectories. 
  • Registry summary
  • Stack Summary
  • Network summary
  • Cross Reference Summary — lists all paths displayed by the current filter that have been accessed by more than 1 proces.
  • Count Occurences — shows count by selected colums. (for ex. Process name — count). If filter applied works depending on the filter properties.

What is Process Monitor

Process Monitor is an advanced monitoring tool that shows real-time file system, registry, and process activity. It combines the features of two legacy Sysinternals utilities, Filemon and Regmon, and adds a number of other enhancements.

Process Monitor can be used to track system and software activity to troubleshoot some of the product issues, especially when it is necessary to track what particular application or process accesses a file or a registry key.

The main Process Monitor window lists all system operations along with their exact time, process name, ID and the result for every single operation:

To access advanced information on any single operation right-click on the operation line and choose Properties:

When analyzing a Process Monitor log, it is recommended to filter out entries. For example, you can right-click on Successes under Results, and exclude it. You can also filter out Processes and generally any field you like.

You can choose to store Process Monitor data in a file on disk instead of virtual memory (e.g if running Process Monitor consumes too much RAM or slows down the computer):

1. Go to File -> Backing files:

2. Specify the file where you want event data to be stored

Process Explorer

Вы предпочитаете загруженный, но информативный дисплей Process Explorer, более чистому, но почти пустому диспетчеру задач? Пожалуйста, для этого имеется свой параметр. А именно, в программе Process Explorer, выберите меню «Параметры» и затем «Заменить диспетчер задач» (для внесения этого изменения вам потребуются учётные данные администратора). После этого, нажатие клавиш Ctrl+Shift+Esc, вместо диспетчера задач Windows, откроет инструмент Sysinternals.

На примере ниже чётко видно, что Process Explorer очень активен. Для идентификации каждого процесса по типу, он использует цветовое кодирование, а для привлечения внимания к начинающимся и заканчивающимся процессам — анимацию.

Вид группировки по умолчанию в Process Explorer обрабатывает процессы родитель-потомок и использует цветовое кодирование для выявления различных типов процессов.

Цветовое кодирование, вы можете настроить самостоятельно. Для этого, нажмите «Опции» и выберите «Настройка цветов».

Параметры по умолчанию следующие:

 Зелёный цвет указывает на новые объекты, а насыщенный красный — момент удаления объектов. Оба этих цвета появляются на короткое время, в момент начала и окончания процесса.

 Светло-голубой — определяет «собственные процессы», те, что работают под той же учётной записью, что и Process Explorer

Обратите внимание, что эти процессы могут выполняться в другом контексте безопасности чем учётная запись пользователя, под которой они были запущены

 Розовый цвет — выделяет процессы, которые содержат одну или более служб Windows. Когда вы наводите курсор на одну из этих строк, появляется подсказка, отображающая имена работающих в этом процессе отдельных служб. Что может быть полезным для определения какой экземпляр Svchost.exe за это отвечает.

 Фиолетовый (или тёмно-фиолетовый) — означает «Упакованные» (зашифрованные или сжатые) исполняемые программы. Это может означать потенциально вредоносные программы, особенно, если они связаны с неизвестным процессом.

 Бирюзовый — показывает иммерсивные процессы, которые связаны с приложениями Магазина Windows.

 Тёмно-серый — идентифицирует приостановленный процесс. Обычно это приложения Windows Store, которые вы ранее открыли, но уже не используете. Некоторые приложения Магазина Windows специально написаны так, что могут продолжать выполняться в фоновом режиме. Например, Groove Music будет продолжать проигрывать мелодии даже при переключении фокуса в другую программу.

Маленькие графики, в верхней части окна Process Explorer, отображают системную информацию в режиме реального времени. Чтобы увидеть все графики производительности в одном окне, нажмите Ctrl+I (как в информации) или, в строке меню, щёлкните «Вид» и выберите пункт «Сведения о системе». Ниже этот дисплей в действии.

Окно сведений о системе показывает графики производительности для текущей системы в режиме реального времени. А также, при наведении курсора на определённое место, детальные подсказки.

Каждая из отдельных вкладок — CPU, Memory, I/O и GPU — содержит дополнительные сведения об этой конкретной группе ресурсов. В частности, на вкладке GPU, добавлены детали, которые вы не найдёте на вкладке «Производительность» диспетчера задач.

Реальная сила Process Explorer становится очевидной, когда вы, чтобы раскрыть меню доступных параметров, щёлкните правой кнопкой мыши на отдельном процессе.

Первое место, где стоит смотреть, особенно, если вы хотите выяснить, что это за процесс — диалоговое окно «Свойства», которое отображает значительно больше информации, чем его коллега File Explorer.

Детали для запущенного процесса включают информацию о версии и запускается ли он автоматически.

Из этого диалогового окна «Свойства» или из списка процессов, вы можете отправить хэш-код этого файла в службу VirusTotal. Где на любом из отслеживаемых VirusTotal 50 с лишним антивирусов выяснить, не является ли он возможной вредоносной программой.

Нижняя панель окна Process Explorer обычно скрыта. С помощью сочетания клавиш Ctrl+L, вы можете сделать её видимой (или, в меню «Вид» выберите «Показать нижнюю панель»). Эта панель показывает одно из двух представлений для текущего процесса: библиотеки DLL или дескрипторы. Вы можете переключаться между двумя представлениями с помощью сочетаний клавиш Ctrl+D и соответственно Ctrl+H На рисунке ниже нижняя панель в представлении библиотеки DLL.

Нижняя панель может отображать связанный с выбранным процессом список библиотек DLL или список дескрипторов.

PMC (Process Monitor Configuration) Parser

Usage

Loading configuration of a pre-exported Procmon configuration:

>>> from procmon_parser import load_configuration, dump_configuration, Rule
>>> with open("ProcmonConfiguration.pmc", "rb") as f:
...     config = load_configuration(f)
>>> config

>>> config

Adding some new rules

>>> new_rules = 
>>> config = new_rules + config

Dropping filtered events

>>> config = 1

Dumping the new configuration to a file

>>> with open("ProcmonConfiguration1337.pmc", "wb") as f:
...     dump_configuration(config, f)

File Format

For the raw binary format of PMC files you can refer to the docs, or take a look at the source code in configuration_format.py.

Main features

In addition to all basic features available with the standard Windows Task Manager, YAPM offers lots of other useful features :

  • Local and remote monitoring
  • Module and thread management
  • Job management : allows to add some processes to a job and set limits to the job. ; this affects all the processes in the job. For example, user can set an unique priority for all processes, a maximum memory usage for each process in the job…etc.
  • Handle management (keys, files, semaphores…etc. opened by a process)
  • View of TCP/UDP connections opened
  • Windows management (opacity, position, show, hide…)
  • Window’ find’ process feature : allows to find the process associated to a window via a drag & drop over the screen
  • Emergency Hotkeys feature : allows to associate a custom shortcut to a custom action (for example : Ctrl+Shift+Suppr to close the window which is on foreground)
  • Privilege management : allows to view and modify the privileges of processes
  • Build-in hex editor to view memory of processes
  • «Log mode» to monitor all actions made by a specific process
  • Find Hidden Processes feature to detect basic hidden rootkits
  • Local and remote shutdown
  • Dependency viewer
  • Powerful Service creator to create new service on a local or remote machine
  • System Snapshot feature : allows to save a snapshot of the system. A System Snapshot File is created and can be explored on another system by an expert. Ideal for remote assistance.
  • … And lots & lots of other features !

Using Process Monitor to Track File and Registry Changes

In this article, we will show how to track accesses and changes to files and registry on your local computer using Process Monitor.

Let’s say, you need to track access to the registry key HKEY_CURRENT_USER\Software\test and file c:\ps\procmon_example.txt.

When Process Monitor starts, it begins capturing all events according to the default filters.

Stop capturing events by unchecking the option File > Capture Events (Ctrl+E) and clear the current ProcMon log (Edit > Clear Display).

Now you need to configure the Process Monitor filters (Filter > Filter). The filters allow you to specify various criteria for events to be added or excluded from the monitoring.

The default filter already excludes events of a standard Windows system activity and the procmon.exe process itself. In most cases, you don’t need to remove these filters. We’ll add some additional filters.

Create a filter for monitoring access to the registry key: Path > contains > \SOFTWARE\test > Include. Click Add to add a new filter to the list.

Now add a file access event filter: Path > is > c:\ps\procmon_example.txt > Include.

Make sure the following options are enabled in the ProcMon toolbar: Show Registry Activity, Show File System Activity. The Show Network Activity and Show Process, and Threads Activity options can be disabled.

Start event monitoring File > Capture Event.

As an example, let’s create a reg parameter key in the specified registry key using the command prompt:

reg add hkcu\software\test /v Path /t REG_EXPAND_SZ /d ^%systemroot^%

Then, let’s write some data into the procmon_example.txt file using the command line:

echo %date%>>c:\ps\procmon_example.txt

And using PowerShell:

Get-Process|out-file C:\ps\procmon_example.txt

Switch to the ProcMon window. As you can see, it contains events for creating a registry key by the reg.exe process (Operation > RegCreateKey). It also contains events of creation (Create File) and writing to a file (WriteFile) by the processes cmd.exe and powershell.exe.

The list of events contains the system process msmpeng.exe (Antimalware Service Executable). This is the core process of the antimalware detection engine in Windows Defender. To exclude the events of this process from the ProcMon log, right-click on the process name msmpeng.exe and select Exclude “….”.

This process will be added to the ProcMon filter with the Exclude value. It means that the ProcMon log won’t display any activity from this process.

In this way, exclude any other trusted processes that are accessing your file or registry key. Now, if any process running on Windows tries to read or write to a tracking file or registry key, you will see this event in Process Monitor.

For example, you want to monitor only write events to a file. Click in the ProcMon window on the line with the WriteFile operation type, and add this event to the Include filter.

Thus, any object or event in ProcMon can be added to the filters, so that the minimum set of events that you need to analyze access to a file or registry are displayed in front of you.

How to run Process Monitor on schedule

You can create a scheduled task to start and to stop Process Monitor using Windows Task Scheduler.

To start Process Monitor on schedule:

  1. Download Process Monitor from Windows Sysinternals page and extract it.
  2. Go to Control Panel -> Administrative Tools and open Task Scheduler.
  3. Click Task Scheduler Library.
  4. Under Actions, click Create Basic Task.
  5. Provide a name for the task (for example, Start Process Monitor) and click Next.
  6. In When do you want the task to start, click One time (or select a frequency depending on the nature of your issue).
  7. Enter the time when you want the task to be run and click Next.
  8. In What action do you want the task to perform, select Start a program and click Next.
  9. Browse for the Process Monitor executable (procmon.exe). Add these arguments:/accepteula /quiet /BackingFile <log path>
    where <log path> is the pat to the resulting log file (for example C:\log.pml)
    Make sure you have enough disk space where you are saving the log file.
  10. Click Next.
  11. Check the Open the Properties dialog for this task when I click finish check box and click on Finish.
  12. The properties dialog is shown. Click Change User or Group, select SYSTEM, and click OK.

Now you need to create a task that stops Process Monitor in a while:

  1. Open the Task Scheduler again.
  2. Create a new basic task.
  3. Provide a name for the task, for example Stop Process Monitor.
  4. In When do you want the task to start, click One time (or select a frequency depending on the nature of your issue).
  5. Enter the time when you want the task to be stopped (for example, 5 minutes after starting Process Monitor) and click Next.
  6. In What action do you want the task to perform, select Start a program and click Next.
  7. Browse for the Process Monitor executable (procmon.exe). Add this argument:/terminate
  8. Click Next.
  9. Check the Open the Properties dialog for this task when I click finish check box and click on Finish.
  10. The properties dialog is shown. Click Change User or Group, select SYSTEM, and click OK.

Как использовать Process Monitor

После извлечения файлов Process Monitor вы увидите разные файлы для запуска утилиты. Если вы используете 64-разрядную систему Windows, выберите файл с именем Procmon64.exe. Если нет, выберите файл Procmon.exe.

Из главного окна монитора процессов вы можете запустить представление, подобное приложению Process Explorer. Это представление в виде дерева процессов. Чтобы просмотреть это, просто выберите небольшой значок документа с изображением древовидной диаграммы на нем.

Некоторая информация, которую вы можете увидеть в этом представлении, включает родительский процесс и все запущенные им процессы. Вы можете увидеть его команду запуска, разработчика приложения (если доступно), как долго оно работает и дату его запуска.

Он не так информативен, как Process Explorer, но позволяет быстро увидеть большую часть той же информации.

Создать фильтр монитора процессов

Вернувшись на главный экран (окно событий процессов), щелкните правой кнопкой мыши любой из процессов и выберите «Изменить фильтр», чтобы обновить фильтр процесса.

В этом окне показано, как работает фильтрация в Process Monitor. Первое раскрывающееся меню позволяет выбрать объект для фильтра. В данном случае это имя процесса. В следующем раскрывающемся списке указан оператор, например, есть, нет, меньше и т. Д. В этом поле вы можете ввести или выбрать фильтр, а также указать, хотите ли вы включить или исключить эти записи.

Когда вы выбираете «Добавить», он добавит этот новый фильтр в ваш список и соответствующим образом изменит общий вид процессов.

Чтобы создать новый фильтр, выберите меню «Фильтр» и выберите «Фильтр».

Откроется то же окно, но с пустым фильтром. Просто выберите каждое раскрывающееся меню, введите элемент фильтра, который вы хотите исключить или включить, и добавьте его в свой список фильтров.

После того, как вы нажмете ОК, он обновит ваше основное представление, чтобы включить новый фильтр.

Самая полезная функция Process Monitor – это регистрация системных событий во время некоторых действий. Вы можете регистрировать системные события следующим образом:

  1. Нажмите значок лупы «Захват», чтобы остановить запись.
  2. Выберите ластик на бумаге Значок «Очистить», чтобы очистить журнал.
  3. Снова нажмите значок захвата, чтобы начать запись.
  4. Выберите Фильтр и Включить расширенный вывод.
  5. Воссоздайте проблему.
  6. Еще раз щелкните значок «Захват», чтобы остановить запись.
  7. Выберите значок «Сохранить на диске», чтобы сохранить журнал на свой компьютер.

Вы можете просмотреть журнал, чтобы увидеть все события процесса, которые произошли, когда вы воссоздали проблему или ошибку, которую вы пытаетесь устранить.

Изучение глубже с помощью событий

Когда вы выбираете определенные события в Process Monitor, вы можете изучить более подробную информацию через меню Event.

Выберите событие, которое хотите изучить. Затем выберите меню «Событие» и выберите «Свойства».

Это показывает все свойства для события. Вкладка «Событие» показывает в основном то, что было в главном окне Process Monitor. На вкладке «Процесс» отображаются такие вещи, как путь к приложению и командная строка запуска, а также модули, используемые процессом. На вкладке «Стек» представлены модули, хранящиеся в памяти процессом, и их детали.

Вы можете получить доступ только к вкладке «Стек», выбрав вместо этого «Стек» в меню «События».

Если вы хотите внимательно следить за одним событием, выберите его, а затем выберите меню «Событие» и выберите «Переключить закладку».

Это выделит событие, чтобы его было легче отслеживать.

Вы также можете увидеть записи реестра для любого процесса, выбрав меню «Событие» и выбрав «Перейти к».

Это быстрый способ увидеть любые записи реестра, которые вы можете переключить для настройки этого приложения.

В правой части панели инструментов вы увидите пять значков, которые можно использовать для точной настройки фильтров по умолчанию.

Вы можете использовать их для включения или выключения каждого из следующих фильтров:

  • Регистрационная деятельность
  • Активность файловой системы
  • Сетевая активность
  • Активность процессов и потоков
  • Профилирование событий

Полный монитор процессов

Вы можете просмотреть полное дерево процессов. Для этого выберите фильтр Полный монитор процессов. Этот подраздел позволяет организовать удобную навигацию, когда нужно отслеживать информацию длябольшого количества процессов. Это доступно только тем пользователям, которые обладаютправамина полный монитор процессов.

Вы увидите таблицу с деревом процессов. Вы можете развернуть или свернуть все дерево. Для этого в верхнем меню наведите курсор на кнопку Еще и нажмите Развернуть все или Свернуть все.

В таблице для каждого процесса представлена следующая информация:

  • процесса;
  • количество текущих экземпляров процесса;
  • количество завершенных экземпляров процесса;
  • количество прерванных экземпляров процесса;
  • количество активных задач по всем экземплярам процесса.

Нажмите на количество активных, завершенных, прерванных экземпляров процесса или на количество активных задач, чтобы открыть страницу монитора процесса с отфильтрованной информацией.

Чтобы просмотреть страницу монитора с полной информацией по всем экземплярам процесса, нажмите на его название. Подробнее о странице монитора процесса читайте в этой статье.

В таблице с деревом процессов отображаются также и удаленные процессы. Они выделяются красным цветом.

Поиск процессов

На форме быстрого поиска вы можете искать процессы в дереве по их названию. Начните водить в строку поиска название и нажмите на клавишу Enter. Результаты поиска можно увидеть в таблице.

Кроме того, доступен расширенный поиск по процессам. Чтобы перейти к расширенному поиску, нажмите на форме поиска на кнопку .

Поиск можно осуществлять по следующим параметрам:

  • Владелец — выбор пользователя, который является владельцем процесса;
  • Эмуляция — установите этот флажок, если хотите увидеть информацию по экземплярам, которые сформировались при отладке процесса.

Чтобы скрыть форму расширенного поиска, нажмите повторно на кнопку .

Изучение события

Вся информация, коллекционируемая утилитой Process Monitor в процессе записи событий, представляется в виде огромной таблицы, каждая строка которой отражает лишь обобщенное описание определенного произошедшего события. Ну и что, как Вы думаете, достаточно ли этой информации, представленной в главном экране утилиты в виде ограниченных сведений, разнесенных на несколько колонок? Иногда да, но зачастую и нет! Надо отдать должное авторам Process Monitor’a за то, что они предусмотрели логику более детального исследования записываемых событий. Давайте выполним двойной щелчок на строке события, и посмотрим что же произойдет? После выполнения двойного щелчка открывается отдельное окно, имеющее следующий вид:

Во вкладке Event (Событие), мы видим общую информацию об интересующем нас событии. В общем то, именно эта вкладка не представляет для исследователя большой ценности, поскольку содержит информацию, которую можно получить в интерфейсе утилиты другими способами. Но вот две оставшиеся вкладки окна определенно могут нас заинтересовать. Средняя вкладка называется Process (Процесс) и выглядит следующим образом:

Тут мы видим путь к модулю (Path), командную строку, с использованием которой был запущен модуль (Command Line), пользователя, с привилегиями которого процесс был запущен (User), идентификатор сессии входа в систему (Auth ID), в которой процесс, хозяин операции, выполняется, и уровень целостности (Integrity), присвоенный процессу, хозяину операции, при запуске. Отдельного внимания удостаивается информационное окно со списком библиотек, загруженных в адресное пространство процесса (Modules), которое сильно способствует выявлять непрошенных гостей в виде различного рода вредоносов. Но для продвинутых исследователей настоящей ценностью является последняя, самая правая вкладка Stack (Стек), которая позволяет увидеть стек вызовов основного потока процесса:

Как мы видим, в этой вкладке можно обнаружить хорошо знакомую нам по отладчику WinDbg, классическую цепочку вызовов функций, называемую стеком вызовов. Во-первых, она позволяет отследить последовательность вызовов функций с момента начала выполнения стартовой функции потока. Во-вторых, по последовательности вызовов функций можно определить к каким модулям (библиотекам) эти функции принадлежат, тем самым выявив и системные компоненты, которые либо требуют обновления, либо вообще не должны применяться в данном модуле (например: вирусы).

Создание и изменение шаблонов для отслеживания процессов

Запуск мастера отслеживания процессов

Определите целевую группу для монитора, используя следующую логику:

Если вы хотите обнаруживать процесс на всех компьютерах с ОС Windows в группе управления, нет необходимости создавать группу. Вы можете использовать имеющуюся группу All Windows Computers (Все компьютеры Windows).

Если требуется обнаружение процесса только в определенной группе компьютеров, убедитесь, что соответствующая группа существует, или создайте группу, выполнив процедуру, описанную в статье How to Create Groups in Operations Manager (Создание групп в Operations Manager).

Если отслеживаемый процесс находится в кластере, создайте группу с объектами класса Virtual Server, представляющими узлы кластера, которые содержат службу.

Запустите мастер добавления объекта мониторинга.

На странице Выбор типа мониторинга выберите Process Monitoring (Мониторинг процессов) и щелкните Далее.

На странице Общие свойства в полях Имя и Описание введите имя и необязательное описание. Имя используется для описания процесса в консоли управления. Это не фактическое название процесса.

Выберите пакет управления, в котором следует сохранить монитор, или нажмите кнопку Новый, чтобы создать пакет управления. Дополнительные сведения см. в статье о выборе файла пакета управления.

Щелкните Далее.

На странице Process to Monitor (Процесс для отслеживания) выполните приведенные ниже действия.
Выберите тип процесса для отслеживания: требуемый или нежелательный.
В поле Имя процесса введите полное имя отслеживаемого процесса. Например, notepad.exe. Вы также можете нажать кнопку с многоточием (…) и найти исполняемый файл.
Нажмите кнопку с многоточием (…) справа от поля Целевая группа, а затем выберите группу на первом шаге этой процедуры.
Щелкните Далее.

Если вы выбрали параметр для отслеживания требуемого процесса, на странице Запущенные процессы выполните приведенные ниже действия.
Если вы хотите отслеживать, запущен ли процесс, выполните следующее.
Выберите параметр Создавать предупреждение, если число процессов меньше минимального или больше максимального значения дольше указанного времени.
В поле Минимальное число процессов введите минимальное число процессов, которые должны быть запущены. Для одного экземпляра процесса это обычно 1.
В поле Максимальное число процессов введите максимальное число экземпляров процесса, которые должны быть запущены.
В поле Продолжительность введите период времени, в течение которого запущенные процессы должны превышать указанный диапазон, прежде чем монитор перейдет в критическое состояние. Это значение не должно быть меньше 1 минуты

Обратите внимание, что процесс может остановиться и перезапуститься в этом временном окне и при этом ошибки не будут обнаружены.
Если вы хотите отслеживать продолжительность выполнения процесса, выполните следующие действия.
Выберите параметр Создавать предупреждение, если процесс выполняется дольше указанного времени.
В поле Продолжительность введите максимальную продолжительность времени, в течение которого процесс должен выполняться, прежде чем монитор будет переведен в критическое состояние. Это значение не должно быть меньше 1 минуты.

Если вы выбрали параметр для отслеживания требуемого процесса, на странице Данные производительности выберите счетчики производительности и пороговые значения, которые вы хотите отслеживать

Дополнительные сведения см. в разделе «Параметры мастера».

Примечание
Эта страница отключена, если вы выбрали параметр для отслеживания нежелательного процесса.

Если вы выбрали счетчики производительности, укажите интервал мониторинга.

Щелкните Далее.

Просмотрите сводку монитора, а затем щелкните Создать.

Изменение имеющегося шаблона для отслеживания процессов

  1. Откройте консоль управления, используя учетную запись пользователя с учетными данными автора.
  2. Откройте рабочую область Создание и настройка.
  3. В области навигации Создание и настройка разверните Шаблоны пакета управления и выберите Process Monitoring (Мониторинг процессов).
  4. В области Process Monitoring (Мониторинг процессов) найдите монитор, который необходимо изменить.
  5. Щелкните правой кнопкой мыши монитор, а затем выберите Свойства.
  6. Введите необходимые изменения и щелкните ОК.

Устранение проблем с помощью Process Monitor

На самом деле невозможно проиллюстрировать в одной статье, как устранить любую проблему с помощью Process Monitor или любого другого инструмента в этом отношении. Слишком много комбинаций проблем, слишком много путей, по которым что-то может пойти не так.

Однако мы можем показать, как на самом деле мы использовали Process Monitor для устранения реальной проблемы, которая действительно произошла с одним из наших тестовых компьютеров. Мы устанавливали какое-то вредоносное ПО, а затем решили попробовать очистить компьютер. Проблема заключалась в записи на панели «Удаление программ», которая просто не исчезла.

Каждый раз, когда мы нажимали «Изменить», чтобы удалить её, мы получали сообщение об ошибке «Произошла ошибка при попытке удалить AwfulApp. Возможно, она уже была удалена. Вы хотите удалить AwfulApp из списка «Программы и компоненты? ».

Это было бы здорово, если бы мы не получили сообщение об ошибке: «У вас недостаточно прав для удаления OutfoxTV из списка программ и функций. Пожалуйста, обратитесь к системному администратору».

Первое, что нужно было сделать, это снова попробовать процесс удаления с запущенным Process Monitor, который захватил огромное количество данных. На этот раз мы решили использовать функцию Find («Найти») (CTRL+F), чтобы быстро найти то, что мы искали в списке. Вы также можете использовать фильтр, если хотите, но это казалось простым и, к счастью, сработало в первый раз.

Взглянув на первый элемент в списке, мы заметили ошибку: Windows пыталась получить доступ к разделам реестра, связанным с программой удаления, но на самом деле их не было в реестре в том месте, которое искала Windows. Если вы посмотрите на пару ключей вниз, вы увидите событие RegOpenKey с результатом УСПЕХ для какого-то объекта в HKLM\Software\Wow6432Node.

Выполнение поиска по этому ключу реестра очень быстро привело нас к источнику проблемы: сообщению ACCESS DENIED (доступ запрещён), когда Windows пыталась выполнить очистку списка с помощью операции RegDeleteKey. Интересно!

Первое, что нужно сделать, — это использовать функцию Jump To («Перейти к»), чтобы найти ключ в реестре и посмотреть.

Конечно же, посмотрите на все эти ключи реестра! Неудивительно, что он до сих пор фигурирует в списке.

Чтобы быть уверенным, мы открыли каталог C:\Program Files\, чтобы посмотреть, остались ли какие-либо файлы, но очевидно, что приложение уже было стёрто с ПК.

Решение было очень простым: мы просто вручную удалили раздел реестра, с удалением которого у Windows возникли проблемы. Если бы мы получили сообщение об отказе в доступе, мы могли бы использовать настройку разрешений, чтобы убедиться, что у нас есть доступ, и повторить попытку.

К счастью, удаление сработало немедленно, и теперь список программ удаления стал чистым.

Это лишь некоторые из множества способов использования Process Monitor — это чрезвычайно важная и полезная утилита, освоение которой займёт некоторое время, но как только вы это сделаете, она действительно может помочь вам решить многие проблемы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector