Использование Process Monitor для устранения неполадок и поиска файлов реестра

Geoffrey Carr

Каковы инструменты SysInternals и как их использовать?
Понимание Process Explorer
Использование Process Explorer для устранения неполадок и диагностики
Понимание Process Monitor
Использование Process Monitor для устранения неполадок и поиска файлов реестра
Использование автозапуска для работы с процессами запуска и вредоносными программами
Использование BgInfo для отображения информации о системе на рабочем столе
Использование PsTools для управления другими ПК из командной строки
Анализ и управление файлами, папками и дисками
Объединение и использование инструментов вместе

Process Monitor - один из самых впечатляющих инструментов, который вы можете использовать в своем наборе инструментов, поскольку практически нет другого способа увидеть, что приложение действительно делает под капотом. Это единственный способ узнать, какие файлы записываются в какой процесс, и где вещи хранятся в реестре и какие файлы обращаются к ним.

Мы начнем с сегодняшнего урока, посмотрев, как найти ключи реестра, используя диалоговые окна настроек Windows и Process Monitor, а затем мы рассмотрим фактический сценарий устранения неполадок, который мы встретили на одном из наших компьютеров в лаборатории, и легко решили используя Process Monitor.

Использование Process Explorer для поиска ключей реестра для общих настроек

Каждый щелкнул флажок или изменил значение раскрывающегося списка в какой-то момент, но вы когда-нибудь задумывались, где эти значения хранятся на самом деле? Многие приложения и практически все в Windows хранятся в реестре … где-то.

Для сегодняшнего примера мы собираемся использовать первый вариант на первой панели панели задач и свойствах навигации, которая представляет собой диалог, который должен существовать во всех версиях Windows. Итак, теперь наша задача - выяснить, где эта настройка фактически хранится в реестре. Вы можете следить за этим конкретным параметром, или вы можете попробовать одну из других настроек в том же диалоговом окне - или где-нибудь еще, где вы хотите найти скрытое место установки.

Первое, что вы захотите сделать при попытке захвата набора данных, - запустить Process Monitor, а затем изменить настройку. В этот момент вы можете остановить Process Monitor от продолжения захвата событий, поэтому список не выходит из-под контроля. (Подсказка: в меню Файл есть опция, или это третий значок слева).

Теперь, когда у нас есть тонна данных в списке, пришло время отфильтровать список, чтобы уменьшить количество строк, которые нам придется просматривать. Поскольку мы смотрим на значение реестра, которое меняем, нам нужно будет фильтровать «RegSetValue», который используется Windows, чтобы фактически установить ключ реестра в новый параметр. Используйте параметр «Включить», чтобы показатьтолько эти события.

Теперь ваш список должен быть ограничен только теми ключами реестра, которые были изменены, поэтому пришло время взглянуть на события и попытаться выяснить, какой ключ реестра он может быть. Поскольку мы проверяем параметр «Заблокировать панель задач», а один из установленных ключей реестра включает в себя слово «Панель задач» в названии, это хорошее место для начала. Щелкните правой кнопкой мыши по пути и выберите «Перейти к местоположению».

Process Monitor откроет редактор реестра и выделит ключ в списке. Теперь нам нужно убедиться, что это на самом деле правильный ключ, который довольно легко понять. Взгляните на настройку, а затем взгляните на ключ. В данный момент настройка включена, а клавиша установлена в 0.

Поэтому измените настройку, нажмите «Применить» в диалоговом окне, а затем используйте клавишу F5, чтобы обновить окно редактора реестра. В нашем случае мы определенно выбрали правильную настройку, так что теперь вы можете увидеть, что для значения TaskbarSizeMove установлено значение 1.

Если вы не выбрали правильное значение, вы не увидите изменений, когда вы снова выполните тест настройки. Итак, идите и найдите следующий логический, и начните сначала.

Устранение неполадок с помощью Process Monitor

В одной статье невозможно проиллюстрировать, как устранить любую проблему с Process Monitor или любым другим инструментом. Есть слишком много комбинаций проблем, которые могут пойти не так.

Однако мы можем показать, как мы на самом деле использовали Process Monitor для устранения реальной проблемы, которая действительно произошла с одним из наших тестовых компьютеров. Мы устанавливали некоторые crapware, а затем решили попробовать очистить компьютер. Проблема заключалась в записи на панели «Программы удаления», которая просто не исчезнет.

Следующая страница: устранение неполадок с помощью Process Monitor

Использование средства просмотра событий для устранения неполадок

Самая большая проблема с Event Viewer заключается в том, что это может быть очень запутанным - есть много предупреждений, ошибок и информационных сообщений, и, не зная, что все это значит, вы можете предположить (неправильно), что ваш компьютер поврежден или заражен, когда есть ничего действительно неправильно.

Использование Process Explorer для устранения неполадок и диагностики

Понимание того, как работают диалоговые окна и параметры процесса Explorer, все в порядке и хорошо, но как насчет его использования для какого-либо фактического устранения неполадок или для диагностики проблемы? Сегодняшний урок школы Geek попытается помочь вам научиться делать именно это.