समझने की प्रक्रिया की निगरानी

गीक स्कूल के इस संस्करण में आज हम आपको सिखाने जा रहे हैं कि कैसे प्रक्रिया मॉनिटर उपयोगिता आपको हुड के नीचे झांकने की अनुमति देती है और देखती है कि आपके पसंदीदा अनुप्रयोग वास्तव में पर्दे के पीछे क्या कर रहे हैं - वे कौन सी फाइलें एक्सेस कर रहे हैं, रजिस्ट्री कुंजी का उपयोग करें, और अधिक.

स्कूल की मान्यता

1. SysInternals टूल क्या हैं और आप उनका उपयोग कैसे करते हैं?
2. समझने की प्रक्रिया एक्सप्लोरर
3. समस्या निवारण और निदान के लिए प्रोसेस एक्सप्लोरर का उपयोग करना
4. समझने की प्रक्रिया की निगरानी
5. समस्या निवारण के लिए प्रक्रिया मॉनिटर का उपयोग और रजिस्ट्री भाड़े का पता लगाएं
6. स्टार्टअप प्रक्रियाओं और मैलवेयर से निपटने के लिए ऑटोरन का उपयोग करना
7. डेस्कटॉप पर सिस्टम सूचना प्रदर्शित करने के लिए BgInfo का उपयोग करना
8. कमांड लाइन से अन्य पीसी को नियंत्रित करने के लिए PsTools का उपयोग करना
9. आपकी फ़ाइलों, फ़ोल्डरों और ड्राइव का विश्लेषण और प्रबंधन
10. रैपिंग अप और टूल्स का एक साथ उपयोग करना

प्रक्रिया एक्सप्लोरर उपयोगिता के विपरीत, जिसे हमने कवर करने में कुछ दिन बिताए हैं, प्रक्रिया मॉनिटर का अर्थ है कि आपके कंप्यूटर पर होने वाली हर चीज पर निष्क्रिय नज़र डालना, न कि प्रक्रियाओं को मारने या हैंडल को बंद करने के लिए एक सक्रिय उपकरण। यह आपके विंडोज पीसी पर होने वाली हर एक घटना के लिए एक वैश्विक लॉगफाइल पर एक नज़र रखने जैसा है.

यह समझना चाहते हैं कि आपके पसंदीदा एप्लिकेशन की रजिस्ट्री कुंजियाँ वास्तव में उनकी सेटिंग्स को कैसे संग्रहीत कर रही हैं? यह पता लगाना चाहते हैं कि एक सेवा किन फाइलों को छू रही है और कितनी बार? देखना चाहते हैं कि कोई एप्लिकेशन नेटवर्क से कनेक्ट हो रहा है या कोई नई प्रक्रिया खोल रहा है? यह बचाव के लिए प्रोसेस मॉनिटर है.

हम अब बहुत अधिक रजिस्ट्री हैक लेख नहीं करते हैं, लेकिन जब हमने पहली बार शुरू किया था, तो हम प्रक्रिया मॉनिटर का उपयोग करके यह पता लगाएंगे कि रजिस्ट्री कुंजियों को एक्सेस किया जा रहा है या नहीं, और फिर उन रजिस्ट्री कुंजियों को देखें कि क्या होगा। यदि आपने कभी सोचा है कि कैसे कुछ geek ने एक रजिस्ट्री हैक का पता लगाया है जो किसी ने कभी नहीं देखा है, तो यह संभवतः प्रोसेस मॉनिटर के माध्यम से था.

प्रोसेस मॉनीटर यूटिलिटी को दो अलग-अलग पुराने स्कूल यूटिलिटीज को एक साथ जोड़कर बनाया गया था, फिलेमोन और रेगमोन, जिनका उपयोग फाइलों और रजिस्ट्री गतिविधि की निगरानी के लिए उनके नाम के रूप में किया जाता था। हालांकि वे उपयोगिताओं अभी भी वहां उपलब्ध हैं, और जब वे आपकी विशेष आवश्यकताओं के अनुरूप हो सकते हैं, तो आप प्रोसेस मॉनिटर के साथ बहुत बेहतर होंगे, क्योंकि यह इस तथ्य के कारण बड़ी मात्रा में घटनाओं को बेहतर ढंग से संभाल सकता है कि ऐसा करने के लिए डिज़ाइन किया गया था।.

यह भी ध्यान देने योग्य है कि प्रक्रिया मॉनिटर को हमेशा व्यवस्थापक मोड की आवश्यकता होती है क्योंकि यह उन सभी घटनाओं को पकड़ने के लिए हुड के नीचे एक कर्नेल चालक को लोड करता है। Windows Vista और बाद में, आपको UAC संवाद के साथ संकेत दिया जाएगा, लेकिन XP या 2003 के लिए, आपको यह सुनिश्चित करना होगा कि आपके द्वारा उपयोग किए गए खाते में व्यवस्थापक विशेषाधिकार हैं.

मॉनिटर मॉनीटर करने वाली ईवेंट

प्रोसेस मॉनिटर एक टन डेटा कैप्चर करता है, लेकिन यह आपके पीसी पर होने वाली हर एक चीज को कैप्चर नहीं करता है। उदाहरण के लिए, यदि आप अपने माउस को इधर-उधर घुमाते हैं, तो प्रोसेस मॉनिटर परवाह नहीं करता है, और यह नहीं जानता है कि आपके ड्राइवर बेहतर तरीके से काम कर रहे हैं। यह ट्रैक नहीं करने जा रहा है कि कौन सी प्रक्रियाएं खुली हैं और आपके कंप्यूटर पर सीपीयू को बर्बाद कर रही हैं - यह प्रक्रिया एक्सप्लोरर का काम है, आखिरकार.

यह क्या करता है I / O (इनपुट / आउटपुट) संचालन के विशिष्ट प्रकारों को कैप्चर करता है, चाहे वे फ़ाइल सिस्टम, रजिस्ट्री, या यहां तक ​​कि नेटवर्क के माध्यम से होते हैं। यह एक सीमित फैशन में कुछ अन्य घटनाओं को भी ट्रैक करेगा। यह सूची उन घटनाओं को कवर करती है जो इसे कैप्चर करती हैं:

• रजिस्ट्री - यह कुंजी बना सकता है, उन्हें पढ़ सकता है, उन्हें हटा सकता है, या उन्हें क्वेरी कर सकता है। आपको आश्चर्य होगा कि ऐसा कितनी बार होता है.
• फाइल सिस्टम - यह फ़ाइल निर्माण, लेखन, हटाने आदि हो सकता है, और यह स्थानीय हार्ड ड्राइव और नेटवर्क ड्राइव दोनों के लिए हो सकता है.
• नेटवर्क - यह टीसीपी / यूडीपी ट्रैफ़िक के स्रोत और गंतव्य को दिखाएगा, लेकिन दुख की बात है कि यह डेटा नहीं दिखाता है, जिससे यह थोड़ा उपयोगी हो जाता है.
• प्रक्रिया - ये प्रक्रियाओं और थ्रेड्स के लिए इवेंट हैं जहां एक प्रक्रिया शुरू की जाती है, एक धागा शुरू होता है या बाहर निकलता है, आदि यह कुछ उदाहरणों में उपयोगी जानकारी हो सकती है, लेकिन अक्सर ऐसा कुछ होता है जिसे आप प्रोसेस एक्सप्लोरर में देखना चाहते हैं.
• प्रोफाइलिंग - इन घटनाओं को प्रोसेस मॉनिटर द्वारा प्रत्येक प्रक्रिया द्वारा उपयोग किए जाने वाले प्रोसेसर समय की मात्रा और मेमोरी उपयोग की जांच करने के लिए कैप्चर किया जाता है। फिर, आप शायद इन चीज़ों पर नज़र रखने के लिए प्रोसेस एक्सप्लोरर का इस्तेमाल करना चाहेंगे, लेकिन ज़रूरत पड़ने पर यह यहाँ उपयोगी है.

तो प्रोसेस मॉनिटर किसी भी प्रकार के I / O ऑपरेशन को कैप्चर कर सकता है, चाहे वह रजिस्ट्री, फ़ाइल सिस्टम, या यहां तक ​​कि नेटवर्क के माध्यम से होता है - हालांकि लिखा जा रहा वास्तविक डेटा कैप्चर नहीं किया गया है। हम सिर्फ इस तथ्य को देख रहे हैं कि एक प्रक्रिया इन धाराओं में से एक को लिख रही है, इसलिए हम बाद में पता लगा सकते हैं कि क्या हो रहा है.

प्रक्रिया मॉनिटर इंटरफ़ेस

जब आप पहली बार प्रक्रिया मॉनिटर इंटरफ़ेस को लोड करते हैं, तो आपको डेटा की एक बड़ी संख्या के साथ प्रस्तुत किया जाएगा, जिसमें अधिक डेटा जल्दी से उड़ जाएगा, और यह भारी हो सकता है। कुंजी में कुछ विचार है, कम से कम, इस बारे में कि आप क्या देख रहे हैं, साथ ही साथ आप क्या देख रहे हैं। यह उस प्रकार का टूल नहीं है जिसे आप एक आराम से दिन गुजारने के माध्यम से ब्राउज़ करते हैं, क्योंकि बहुत कम समय अवधि के भीतर, आप लाखों पंक्तियों को देख रहे होंगे.

पहली बात यह है कि आप उन लाखों पंक्तियों को फ़िल्टर करना चाहते हैं, जो आपके द्वारा देखे जाने वाले डेटा के बहुत छोटे सबसेट के नीचे हैं, और हम आपको सिखाने जा रहे हैं कि फ़िल्टर और शून्य को कैसे बनाया जाए, जिसे आप खोजना चाहते हैं। । लेकिन पहले, आपको इंटरफ़ेस को समझना चाहिए और वास्तव में क्या डेटा उपलब्ध है.

डिफ़ॉल्ट कॉलम को देखते हुए

डिफ़ॉल्ट कॉलम उपयोगी जानकारी का एक टन दिखाते हैं, लेकिन आपको यह समझने के लिए कुछ संदर्भ की आवश्यकता होगी कि प्रत्येक में वास्तव में कौन सा डेटा शामिल है, क्योंकि उनमें से कुछ ऐसे दिख सकते हैं जैसे कुछ बुरा हुआ हो, जब वे वास्तव में निर्दोष होते हैं जो हर समय घटित होते हैं हुड। यहां प्रत्येक डिफ़ॉल्ट कॉलम का उपयोग किस लिए किया गया है:

• पहर - यह स्तंभ काफी आत्म-व्याख्यात्मक है, यह सटीक समय दिखाता है कि कोई घटना हुई.
• प्रक्रिया का नाम - इस प्रक्रिया का नाम जिसने घटना को उत्पन्न किया। यह फ़ाइल को डिफ़ॉल्ट रूप से पूर्ण पथ नहीं दिखाता है, लेकिन यदि आप फ़ील्ड पर होवर करते हैं, तो आप देख सकते हैं कि यह वास्तव में कौन सी प्रक्रिया थी.
• पीआईडी - प्रक्रिया की प्रक्रिया आईडी जो घटना उत्पन्न करती है। यह बहुत उपयोगी है यदि आप यह समझने की कोशिश कर रहे हैं कि किस घटना से svchost.exe प्रक्रिया उत्पन्न हुई। यह निगरानी के लिए एक प्रक्रिया को अलग करने का एक शानदार तरीका है, यह मानते हुए कि यह प्रक्रिया खुद को फिर से लॉन्च नहीं करती है.
• ऑपरेशन - यह उस ऑपरेशन का नाम है जिसे लॉग किया जा रहा है, और एक आइकन है जो किसी एक ईवेंट प्रकार (रजिस्ट्री, फ़ाइल, नेटवर्क, प्रक्रिया) के साथ मेल खाता है। ये थोड़ा भ्रमित करने वाला हो सकता है, जैसे RegQueryKey या WriteFile, लेकिन हम कोशिश करेंगे और भ्रम के माध्यम से आपकी मदद करेंगे.
• पथ - यह प्रक्रिया का पथ नहीं है, यह इस घटना के द्वारा जो कुछ भी काम किया जा रहा था, उसका मार्ग है। उदाहरण के लिए, अगर कोई WriteFile ईवेंट था, तो यह फ़ील्ड फ़ाइल या फ़ोल्डर का नाम दिखाएगा। यदि यह एक रजिस्ट्री इवेंट था, तो यह पूरी कुंजी को एक्सेस किया जा सकता है.
• परिणाम - यह ऑपरेशन के परिणाम को दिखाता है, जो SUCCESS या ACCESS DENIED जैसे कोड हैं। हालांकि आपको स्वतः यह मानने के लिए लुभाया जा सकता है कि BUFFER TOO SMALL का अर्थ वास्तव में कुछ बुरा है, जो कि वास्तव में इस समय का मामला नहीं है।.
• विस्तार - अतिरिक्त जानकारी जो अक्सर नियमित geek समस्या निवारण दुनिया में अनुवाद नहीं करती है.

आप विकल्प -> कॉलम चुनें पर जाकर डिफ़ॉल्ट प्रदर्शन में कुछ अतिरिक्त कॉलम जोड़ सकते हैं। जब आप परीक्षण शुरू करेंगे तो यह आपके पहले पड़ाव के लिए हमारी अनुशंसा नहीं होगी, लेकिन जब से हम कॉलम की व्याख्या कर रहे हैं, यह पहले से ही उल्लेख के लायक है.

प्रदर्शन में अतिरिक्त कॉलम जोड़ने का एक कारण यह है कि आप उन घटनाओं को डेटा से अभिभूत हुए बिना बहुत तेज़ी से फ़िल्टर कर सकते हैं। यहां कुछ अतिरिक्त कॉलम दिए गए हैं जिनका हम उपयोग करते हैं, लेकिन हो सकता है कि आप स्थिति के आधार पर सूची में कुछ अन्य लोगों के लिए उपयोग करें.

• कमांड लाइन - जब आप प्रत्येक घटना को उत्पन्न करने वाली प्रक्रिया के लिए कमांड लाइन के तर्कों को देखने के लिए किसी भी घटना पर डबल-क्लिक कर सकते हैं, तो सभी विकल्पों को त्वरित नज़र से देखना उपयोगी हो सकता है।.
• कंपनी का नाम - मुख्य कारण यह है कि यह कॉलम उपयोगी है, इसलिए आप Microsoft की सभी घटनाओं को जल्दी से बाहर कर सकते हैं और अपनी निगरानी को उस सब कुछ तक सीमित कर सकते हैं जो विंडोज का हिस्सा नहीं है। (आप यह सुनिश्चित करना चाहते हैं कि आपके पास प्रोसेस एक्सप्लोरर का उपयोग करके चलने वाली कोई अजीब rundll32.exe प्रक्रिया नहीं है, हालांकि, क्योंकि वे दुर्भावनापूर्ण हो सकते हैं).
• जनक पीआईडी - यह बहुत उपयोगी हो सकता है जब आप एक ऐसी प्रक्रिया का निवारण कर रहे हैं जिसमें कई बच्चे प्रक्रियाएँ होती हैं, जैसे कि वेब ब्राउज़र या एक अनुप्रयोग जो स्केच चीजों को दूसरी प्रक्रिया के रूप में लॉन्च करता रहता है। फिर आप यह सुनिश्चित करने के लिए कि आप सब कुछ कैप्चर करते हैं, पेरेंट पीआईडी ​​द्वारा फ़िल्टर किया जा सकता है.

यह ध्यान देने योग्य है कि आप कॉलम डेटा द्वारा फ़िल्टर कर सकते हैं, भले ही कॉलम दिखाई न दे रहा हो, लेकिन मैन्युअल रूप से इसे राइट-क्लिक करना और फ़िल्टर करना बहुत आसान है। और हां, हमने फिर भी फ़िल्टर का उल्लेख किया, भले ही हमने उन्हें अभी तक समझाया नहीं है.

एकल घटना की जाँच

एक सूची में चीजों को देखना एक ही बार में बहुत सारे अलग-अलग डेटा बिंदुओं को देखने का एक शानदार तरीका है, लेकिन यह निश्चित रूप से डेटा के एक टुकड़े की जांच करने का सबसे आसान तरीका नहीं है, और केवल इतनी जानकारी है जिसे आप देख सकते हैं सूची। शुक्र है कि आप किसी भी घटना पर अतिरिक्त जानकारी के खजाने की खोज करने के लिए डबल क्लिक कर सकते हैं.

डिफ़ॉल्ट ईवेंट टैब आपको वह जानकारी देता है जो सूची में आपके द्वारा देखे गए समान है, लेकिन पार्टी में थोड़ी और जानकारी जोड़ देगा। यदि आप किसी फ़ाइल सिस्टम ईवेंट को देख रहे हैं, तो आप कुछ जानकारी देख पाएंगे जैसे कि विशेषताएँ, फ़ाइल क्रिएट समय, एक लिखने के ऑपरेशन के दौरान एक्सेस की गई कोशिश, लिखे गए बाइट्स की संख्या और अवधि.

प्रक्रिया टैब पर स्विच करने से आपको उस प्रक्रिया के बारे में बहुत सारी जानकारी मिलती है, जो घटना उत्पन्न करती है। जब आप आम तौर पर प्रक्रियाओं से निपटने के लिए प्रोसेस एक्सप्लोरर का उपयोग करना चाहते हैं, तो विशिष्ट प्रक्रिया के बारे में बहुत सारी जानकारी होना बहुत उपयोगी हो सकता है जो एक विशिष्ट घटना उत्पन्न करता है, खासकर अगर यह ऐसा कुछ है जो बहुत जल्दी हुआ और फिर गायब हो गया। प्रक्रिया सूची। इस तरह से डेटा को कैप्चर किया जाता है.

स्टैक टैब एक ऐसी चीज है जो कभी-कभी बेहद उपयोगी होगी, लेकिन अक्सर समय बिल्कुल भी उपयोगी नहीं होगा। जिस कारण से आप स्टैक को देखना चाहते हैं, वह यह है कि आप किसी भी चीज़ के लिए मॉड्यूल कॉलम की जांच करके समस्या का निवारण कर सकते हैं जो बिल्कुल सही नहीं है.

एक उदाहरण के रूप में, कल्पना करें कि एक प्रक्रिया लगातार एक फ़ाइल को क्वेरी या एक्सेस करने की कोशिश कर रही है जो मौजूद नहीं है, लेकिन आपको यकीन नहीं था कि क्यों। आप स्टैक टैब के माध्यम से देख सकते हैं और देख सकते हैं कि क्या कोई मॉड्यूल थे जो सही नहीं दिखते थे, और फिर उन्हें शोध करते थे। हो सकता है कि आपको आउट ऑफ़ डेट कंपोनेंट मिल जाए, या मैलवेयर भी समस्या का कारण बन जाए.

या, आप पा सकते हैं कि आपके लिए यहां कुछ उपयोगी नहीं है, और यह ठीक भी है। देखने के लिए कई अन्य डेटा है.

बफर ओवरफ्लो पर नोट्स

इससे पहले कि हम और आगे बढ़ें, हम एक परिणाम कोड नोट करना चाहते हैं, जिसे आप सूची में बहुत कुछ देखना शुरू करने जा रहे हैं, और अब तक आपके सभी गीक ज्ञान के आधार पर, आप थोड़ा सा समझ सकते हैं। इसलिए यदि आप सूची में खरीदार देखना शुरू करते हैं, तो कृपया यह न मानें कि कोई आपके कंप्यूटर को हैक करने की कोशिश कर रहा है.

अगला पृष्ठ: मॉनिटर मॉनिटर कैप्चर करने वाले डेटा को फ़िल्टर करना