Homepage » scuola » Utilizzo di Process Monitor per la risoluzione dei problemi e la ricerca di blocchi di registro

    Utilizzo di Process Monitor per la risoluzione dei problemi e la ricerca di blocchi di registro

    Nell'edizione odierna di Geek School ti insegneremo come utilizzare Process Monitor per eseguire effettivamente la risoluzione dei problemi e scoprire gli hack dei registri che non sapresti altrimenti.

    NAVIGAZIONE SCOLASTICA
    1. Quali sono gli strumenti di SysInternals e come li usi?
    2. Capire Process Explorer
    3. Utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi
    4. Comprensione del monitor di processo
    5. Utilizzo di Process Monitor per la risoluzione dei problemi e la ricerca di blocchi di registro
    6. Utilizzare Autoruns per gestire i processi di avvio e il malware
    7. Utilizzo di BgInfo per visualizzare le informazioni di sistema sul desktop
    8. Usare PsTools per controllare altri PC dalla riga di comando
    9. Analisi e gestione di file, cartelle e unità
    10. Avvolgimento e utilizzo degli strumenti insieme

    Process Monitor è uno degli strumenti più straordinari che puoi avere nel tuo toolkit, in quanto non c'è quasi nessun altro modo per vedere cosa sta facendo effettivamente un'applicazione sotto il cofano. È l'unico modo per sapere quali file vengono scritti da quale processo e dove le cose sono memorizzate nel registro e quali file le stanno accedendo.

    Iniziamo con la lezione di oggi, esaminando come trovare le chiavi del Registro di sistema utilizzando le finestre di dialogo delle impostazioni di Windows e Process Monitor, e quindi analizzeremo uno scenario di risoluzione dei problemi reale che abbiamo riscontrato su uno dei nostri computer in laboratorio e che abbiamo risolto facilmente utilizzando Process Monitor.

    Utilizzo di Process Explorer per trovare chiavi di registro per le impostazioni comuni

    Ognuno ha fatto clic su una casella di controllo o ha modificato il valore di una casella di riepilogo a un certo punto, ma ti sei mai chiesto dove questi valori sono effettivamente memorizzati? Molte applicazioni e praticamente tutto in Windows sono archiviate nel Registro di sistema ... da qualche parte.

    Per l'esempio di oggi, useremo la prima opzione nel primo riquadro di Taskbar e Proprietà di navigazione, che è una finestra di dialogo che dovrebbe esistere in tutte le versioni di Windows. Quindi ora la nostra missione è capire dove quell'impostazione è effettivamente memorizzata nel registro. Puoi seguire insieme questa particolare impostazione, oppure puoi provare una delle altre impostazioni nella stessa finestra di dialogo o in qualsiasi altro posto in cui desideri trovare la posizione di impostazione nascosta per.

    La prima cosa da fare quando si tenta di acquisire un set di dati è avviare Process Monitor e quindi modificare le impostazioni. A quel punto è possibile interrompere Process Monitor dal continuare a catturare gli eventi, in modo che l'elenco non diventi fuori controllo. (Suggerimento: il menu File ha l'opzione, oppure è la terza icona da sinistra).

    Ora che abbiamo un sacco di dati nell'elenco, è il momento di filtrare l'elenco per ridurre il numero di righe che dovremo esaminare. Poiché stiamo esaminando un valore di registro che viene modificato, dovremo filtrare con "RegSetValue", che è ciò che Windows utilizza per impostare effettivamente una chiave di registro in una nuova impostazione. Usa l'opzione "Includi" per mostrare solo quegli eventi.

    L'elenco dovrebbe ora essere limitato alle sole chiavi del Registro di sistema che sono state modificate, quindi è ora di dare un'occhiata agli eventi e cercare di capire quale chiave del Registro di sistema potrebbe essere. Dal momento che stiamo controllando l'impostazione "Blocca la barra delle applicazioni" e una delle chiavi di registro impostate include la parola "Barra delle applicazioni" nel nome, è un buon punto di partenza. Fare clic con il tasto destro del mouse sul percorso e scegliere Salta alla posizione.

    Process Monitor aprirà l'Editor del Registro di sistema e evidenzierà la chiave nell'elenco. Ora dobbiamo assicurarci che questa sia effettivamente la chiave giusta, che è abbastanza facile da capire. Dai un'occhiata all'impostazione, quindi dai un'occhiata alla chiave. In questo momento l'impostazione è attiva e la chiave è impostata su 0.

    Quindi modificare l'impostazione, premere Applica nella finestra di dialogo e quindi utilizzare il tasto F5 per aggiornare la finestra dell'editor del Registro di sistema. Nel nostro caso abbiamo scelto l'impostazione giusta, quindi ora puoi vedere che il valore di TaskbarSizeMove è impostato su 1.

    Se non hai scelto il valore giusto, non vedrai cambiamenti quando eseguirai nuovamente il test di impostazione. Quindi vai e trova il successivo logico e ricomincia.

    Risoluzione dei problemi con Process Monitor

    Non è davvero possibile illustrare in un singolo articolo come risolvere eventuali problemi con Process Monitor o qualsiasi altro strumento. Ci sono solo troppe combinazioni di problemi che potrebbero andare storto.

    Quello che possiamo fare, tuttavia, è mostrare come abbiamo effettivamente utilizzato Process Monitor per risolvere un problema reale effettivamente accaduto a uno dei nostri computer di prova. Stavamo installando alcuni crapware e poi abbiamo deciso di provare a pulire il computer. Il problema era una voce nel pannello di disinstallazione dei programmi che non andava via.

    Pagina successiva: Risoluzione dei problemi con Process Monitor