Process monitor как отследить приложение

Как пользоваться программой Process Monitor

Process Monitor – это фирменная утилита от Microsoft для ОС Windows, позволяющая в режиме реального времени отследить активность любой программы или приложения, установленного на компьютере. Грубо говоря, Process Monitor отвечает на вопросы: как узнать, что делает та или иная программа при установке, запуске, работе, удалении, какие записи вносит в системный реестр Windows, как используется интернет-соединение, и многие другие. Однако, при первом знакомстве с этой утилитой многие пользователи не сразу поймут, как же работать с программой Process Monitor, поэтому далее вкратце рассмотрим основные моменты.

process-monitor

И так, скачать последнюю версию Process Monitor вы можете с нашего сайта. Скачав, и запустив утилиту, в главном окне программы мы увидим примерно следующее.

process-monitor-sysinternals

Несмотря на отсутствие русского интерфейса Process Monitor, найти то что нужно, используя эту утилиту, не составит особого труда, а всё благодаря простой и интуитивно понятной системе фильтрации.

Далее рассмотрим работу программы (как работают фильтры в Process Monitor) на примере.

Допустим, что нам требуется узнать о том, что делает то или иное приложение на нашем компьютере, к примеру браузер Google Chrome.

Для начала нам необходимо знать имя исследуемого процесса, в нашем примере это chrome.exe. Дальше алгоритм действий следующий: используя контекстное меню программы (Filter) или сочетание клавиш (Ctrl+L) открываем Process Monitor Filter (окно на скриншоте ниже).

process-monitor-filter

Здесь мы видим, что по умолчанию в программе уже задействован ряд фильтров, исключающих из общего списка (отображены в главном окне программы) различного рода системные процессы, в которых нет необходимости для анализа априори.

В примере мы создадим свой собственный фильтр (по имени процесса) с целью найти и отследить только то, что касается браузера Google Chrome (файлы, записи в системном реестре, сетевая активность и т.д.).

В первом выпадающем списке выбираем «Process Name» (по умолчанию там «Architecture»).

process-monitor-process-name

Во втором случае оставляем «is», т.е. мы включаем значение в поиск, а далее выбираем сам процесс «chrome.exe», при условии, что браузер уже запущен (если мы ходим отследить, что делает та или иная программа до запуска, то название процесса в это поле необходимо вводить вручную).

process-monitor-chrome

В четвёртом поле также оставляем значение по умолчанию «Include» (это позволит отображать в общем потоке, только интересующий нас процесс). Для добавления фильтра нажимаем «Add».

process-monitor-push-ad

Нажимаем «Apply» и «OK».

process-monitor-apply-ok

И сразу же видим всю детальную информацию именно по процессу «chrome.exe»: ID процесса, потока, обращения к файлам, системному реестру Windows и т.д.

process-monitor-chrome-path

Нажав зелёную стрелочку в меню программы, можно сразу же перейти к месту расположения любого файла или ключа реестра из списка.

Если у вас имеются вопросы, или возникли проблемы в процессе работы с Process Monitor, то рекомендуем посетить официальный форум разработчика (Sysinternals), посвященный этой программе.

Понимание Process Monitor

В отличие от утилиты Process Explorer, которую мы потратили на несколько дней, Process Monitor предназначен для пассивного просмотра всего, что происходит на вашем компьютере, а не активного инструмента для уничтожения процессов или закрытия дескрипторов. Это похоже на то, чтобы взглянуть на глобальный файл журнала для каждого отдельного события, которое происходит на вашем ПК с ОС Windows.

Хотите понять, какие ключи реестра ваше любимое приложение действительно хранит свои настройки? Хотите узнать, какие файлы обслуживает услуга, и как часто? Хотите узнать, когда приложение подключается к сети или открывает новый процесс? Это Process Monitor для спасения.

Мы больше не занимаемся обработкой статей, но назад, когда мы только начали, мы будем использовать Process Monitor, чтобы выяснить, какие ключи реестра были доступны, а затем перетащить эти ключи реестра, чтобы узнать, что произойдет. Если вы когда-нибудь задумывались над тем, как какой-то geek выяснил, что никто не видел, это был процесс Process Monitor.

Утилита Process Monitor была создана путем объединения двух разных утилит старой школы вместе, Filemon и Regmon, которые использовались для мониторинга файлов и активности реестра, поскольку их имена подразумевают. Хотя эти утилиты все еще доступны там, и, хотя они могут удовлетворить ваши конкретные потребности, вам будет намного лучше работать с Process Monitor, поскольку он может справиться с большим объемом событий лучше из-за того, что он был разработан для этого ,

Также стоит отметить, что Process Monitor всегда требует режима администратора, потому что он загружает драйвер ядра под капотом, чтобы захватить все эти события. В Windows Vista и более поздних версиях вам будет предложено диалоговое окно UAC, но для XP или 2003 вам необходимо убедиться, что учетная запись, которую вы используете, имеет привилегии администратора.

События, которые отслеживает процесс мониторинга

Process Monitor захватывает тонну данных, но не фиксирует все, что происходит на вашем ПК. Например, Process Monitor не волнует, если вы двигаете мышью, и он не знает, работают ли ваши драйверы оптимально. Он не собирается отслеживать, какие процессы открыты и тратят процессор на ваш компьютер, — в этом все дело в Process Explorer.

То, что он делает, это захват определенных типов операций ввода / вывода (ввода / вывода), независимо от того, происходят они через файловую систему, реестр или даже сеть. Кроме того, он будет отслеживать несколько других событий ограниченным образом. Этот список охватывает события, которые он выполняет:

реестр — это может создавать ключи, читать их, удалять или запрашивать их. Вы будете удивлены, как часто это происходит.
Файловая система — это может быть создание файлов, запись, удаление и т. Д., И это может быть как для локальных жестких дисков, так и для сетевых дисков.
сеть — это покажет источник и назначение трафика TCP / UDP, но, к сожалению, он не отображает данные, что делает его менее полезным.
Процесс — Это события для процессов и потоков, в которых процесс запускается, поток запускается или завершается, и т. Д. Это может быть полезной информацией в определенных случаях, но часто это то, что вы хотели бы посмотреть в Process Explorer.
профилирование — Эти события захватываются Process Monitor для проверки количества процессорного времени, используемого каждым процессом, и использования памяти. Опять же, вы, вероятно, захотите использовать Process Explorer для отслеживания этих вещей большую часть времени, но это полезно здесь, если вам это нужно.

Таким образом, Process Monitor может захватывать любой тип операций ввода-вывода, независимо от того, происходит ли это через реестр, файловую систему или даже сеть — хотя фактические данные не записываются. Мы просто смотрим на то, что процесс пишет в один из этих потоков, поэтому мы можем позже узнать больше о том, что происходит.

Интерфейс монитора процессов

Первое, что вам нужно сделать, — это фильтровать эти миллионы строк до гораздо меньшего подмножества данных, которые вы хотите увидеть, и мы собираемся научить вас, как создавать фильтры и нулевое значение именно на том, что вы хотите найти , Но сначала вы должны понимать интерфейс и какие данные действительно доступны.

Просмотр столбцов по умолчанию

Столбцы по умолчанию показывают массу полезной информации, но вам определенно нужен какой-то контекст, чтобы понять, какие данные на самом деле содержатся в действительности, потому что некоторые из них могут выглядеть как что-то плохое, когда они действительно невинные события, которые происходят все время под капот. Вот что используется для каждого столбца по умолчанию:

Время — этот столбец достаточно понятен, он показывает точное время возникновения события.
Имя процесса — имя процесса, сгенерировавшего событие. Это не показывает полный путь к файлу по умолчанию, но если вы наводите курсор мыши на поле, вы можете точно определить, какой из них был.
PID — идентификатор процесса процесса, сгенерировавшего событие. Это очень полезно, если вы пытаетесь понять, какой процесс svchost.exe сгенерировал событие. Это также отличный способ изолировать один процесс для мониторинга, предполагая, что процесс не перезапускается сам.
операция — это имя операции, которая регистрируется, и есть значок, который соответствует одному из типов событий (реестр, файл, сеть, процесс). Это может быть немного запутанным, например RegQueryKey или WriteFile, но мы попытаемся помочь вам в путанице.
Дорожка — это не путь процесса, это путь к тому, над чем было обработано это событие. Например, если было событие WriteFile, в этом поле будет указано имя файла или папки, к которой нужно коснуться. Если это событие реестра, оно будет показывать полный доступ к ключу.
Результат — Это показывает результат операции, которая кодируется как SUCCESS или ACCESS DENIED. В то время как у вас может возникнуть соблазн автоматически предположить, что BUFFER TOO SMALL означает, что что-то действительно произошло плохо, на самом деле это не так в большинстве случаев.
подробность — дополнительная информация, которая нередко не переводится в мир поиска и устранения неполадок.

Вы также можете добавить некоторые дополнительные столбцы на дисплей по умолчанию, выбрав «Параметры» -> «Выбор столбцов». Это не будет нашей рекомендацией для вашей первой остановки, когда вы начнете тестирование, но поскольку мы объясняем столбцы, стоит упомянуть об этом.

Командная строка — в то время как вы можете дважды щелкнуть любое событие, чтобы увидеть аргументы командной строки для процесса, сгенерированного каждым событием, может быть полезно быстро просмотреть все параметры.
название компании — основная причина, по которой этот столбец полезен, заключается в том, что вы можете просто исключить все события Microsoft быстро и сузить свой мониторинг ко всему остальному, что не является частью Windows. (Вы хотите убедиться, что у вас нет каких-либо странных процессов rundll32.exe, работающих с помощью Process Explorer, хотя они могут скрывать вредоносное ПО).
Родительский PID — это может быть очень полезно при устранении неполадок процесса, который содержит много дочерних процессов, таких как веб-браузер или приложение, которое продолжает запускать отрывочные вещи в качестве другого процесса. Затем вы можете фильтровать Parent PID, чтобы убедиться, что вы все захватили.

Стоит отметить, что вы можете фильтровать данные по столбцам, даже если столбец не отображается, но гораздо проще щелкнуть правой кнопкой мыши и фильтровать, чем вручную. И да, мы снова упомянули фильтры, хотя мы еще не объяснили их.

Изучение одного события

Просмотр вещей в списке — отличный способ быстро увидеть много разных точек данных сразу, но это определенно не самый простой способ изучить один фрагмент данных, и есть только так много информации, которую вы можете увидеть в список. К счастью, вы можете дважды щелкнуть любое событие, чтобы получить доступ к сокровищнице дополнительной информации.

На вкладке «Событие по умолчанию» вы получаете информацию, которая во многом похожа на то, что вы видели в списке, но добавляет немного дополнительной информации для участника. Если вы посмотрите на событие файловой системы, вы сможете увидеть определенную информацию, такую как атрибуты, время создания файла, доступ, который был предпринят во время операции записи, количество записанных байтов и продолжительность.

Переключение на вкладку «Процесс» дает вам много отличной информации о процессе, который вызвал событие. Хотя вы обычно хотите использовать Process Explorer для обработки процессов, может быть очень полезно иметь много информации о конкретном процессе, который генерировал конкретное событие, особенно если это произошло очень быстро, а затем исчезло из список процессов. Таким образом, данные захватываются.

Например, представьте, что процесс постоянно пытался запросить или получить доступ к файлу, который не существует, но вы не были уверены, почему.Вы можете просмотреть вкладку «Стек» и посмотреть, есть ли какие-либо модули, которые не выглядели правильно, а затем исследовать их. Проблема может быть вызвана устаревшим компонентом или даже вредоносным ПО.

Или вы можете обнаружить, что для вас нет ничего полезного, и это тоже хорошо. Существует много других данных.

Примечания о переполнении буфера

Прежде чем мы продолжим дальше, мы захотим отметить код результата, который вы собираетесь увидеть в списке, и на основе всех ваших знаний об игре до сих пор вы можете немного рассердиться. Так что, если вы начнете видеть BUFFER OVERFLOW в списке, пожалуйста, не предполагайте, что кто-то пытается взломать ваш компьютер.

Следующая страница: Фильтрация данных, которые обрабатывает монитор процесса

[Решено] Process Monitor как пользоваться программой для слежения за активностью файлов в системе?

Что следует использовать: process monitor или process explorer?

Хотя эти две утилиты похожи, они не совпадают. Process Monitor лучше использовать, если вам нужно отслеживать, как ваши процессы взаимодействуют с вашей системой. Он позволяет отслеживать и регистрировать события, запускаемые каждым процессом.

Это может помочь вам увидеть, вызывает ли взаимодействие между вашими процессами и вашей системой ошибки или ведет себя ненормально.

Process Explorer, с другой стороны, сильно ориентирован на процессы. Это помогает вам увидеть отношения между родительскими и дочерними процессами. Он также позволяет вам глубже разбираться в параметрах и свойствах каждого процесса, гораздо больше, чем любая другая доступная утилита Windows.

Выберите нужную утилиту в зависимости от того, что конкретно вы устраняете.

Программы для Windows, мобильные приложения, игры – ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале – Подписывайтесь:)

Что такое process monitor?

Process Monitor — это бесплатный расширенный инструмент мониторинга, включенный в набор утилит Windows Sysinternals. Он позволяет просматривать подробную информацию обо всех процессах, запущенных в вашей системе.

В частности, это подробности о событиях, запускаемых конкретными процессами.

Следующие поля информации о процессе выбираются по умолчанию при первом запуске приложения.

Имя процесса
Дорожка
Деталь
Результат
Операция
Время суток
Идентификатор процесса (PID)

Есть 20 дополнительных полей, которые вы можете выбрать, чтобы увидеть еще больше информации о каждом процессе.

Вы не ограничены только просмотром информации о процессе с помощью этого инструмента. Вы также можете установить фильтры для любого поля, чтобы ограничить отображаемые данные, регистрировать события процесса для устранения неполадок и создать дерево процессов, которое позволяет увидеть взаимосвязь между родительскими и дочерними процессами.

Download

Download Process Monitor (3.3 MB)

Run now from Sysinternals Live.

Источник

Overview of process monitor capabilities

Process Monitor includes powerful monitoring and filtering capabilities, including:

The best way to become familiar with Process Monitor’s features is to read through the help file and then visit each of its menu items and options on a live system.

Process monitor v3.86

By Mark Russinovich

Published: October 12, 2021

Download Process Monitor (3.3 MB) Run now

from Sysinternals Live.

Process monitor как пользоваться программой для слежения за активностью файлов в системе?

Скажите пожалуйста как отследить приложение, записывающее непонятные файлы на диск Process Monitor ?

Альтернативы nagios

Открытое программное обеспечение для мониторинга и отслеживания статусов разнообразных сервисов компьютерной сети, серверов и сетевого оборудования, используется для получения данных о нагрузке процессора, использования сети, дисковом пространстве и тому подобного.

Неплохая система мониторинга, собирает данные с нескольких серверов одновременно и отображает все в виде графиков, с помощью которых можно отслеживать все прошедшие события на сервере.

Написан на языке Python с использованием сервера приложений Zope, данные хранятся в MySQL. С помощью Zenoss можно мониторить сетевые сервисы, системные ресурсы, производительность устройств, ядро Zenoss анализирует среду. Это дает возможность быстро разобраться с большим количеством специфических устройств.

Система мониторинга и наблюдения за сетевыми устройствами и серверами, правда список поддерживаемых устройств огромен и не ограничивается только сетевыми устройствами, устройство должно поддерживать работу SNMP.

Комплексная система мониторинга, позволяет контролировать всю инфраструктуру и приложения, содержащие системную информацию. Бесплатная альтернатива Nagios.

Ganglia — масштабируемая распределенная система мониторинга, используется в высокопроизводительных вычислительных системах, таких как кластеры и сетки. Отслеживает статистику и историю вычислений в реальном времени для каждого из наблюдаемых узлов.

Система мониторинга, неплохая продуктивность и масштабируемость, один сервер мониторинга может контролировать работу нескольких тысяч хостов.

Программное обеспечение с открытым кодом для мониторинга компьютерных систем и сетей.

OpenNMS платформа мониторинга. В отличие от Nagios, поддерживает SNMP, WMI и JMX.

Компонент пакета VMware vRealize Operations, используется для мониторинга ОС, промежуточного ПО и приложений в физических, виртуальных и облачных средах. Отображает доступность, производительность, использование, события, записи журналов и изменений на каждом уровне стека виртуализации (от гипервизора vSphere до гостевых ОС).

Система мониторинга и оповещения (alert system) с открытым кодом от StackExchange. В Bosun продуманная схема данных, а также мощный язык их обработки.

Sensu система оповещения с открытым исходным кодом, похожа на Nagios. Имеется простенький dashboard, можно увидеть список клиентов, проверок и сработавших алертов. Фреймворк обеспечивает механизмы, которые нужны для сбора и накопления статистики работы серверов.

CollectM собирает статистику об использовании ресурсов системы каждые 10 секунд. Может собирать статистику для нескольких хостов и отсылать ее на сервер, информация выводится с помощью графиков.

PerfTrap собирает метрики с серверов, и с помощью Graphite производится визуализация собранных данных.

Если Вы фанат Python, WMIagent для Вас.

28. Performance Analysis of Logs (PAL) Tool

PAL — мощный инструмент, который мониторит производительность и анализирует ее.

Более 60 инструментов для мониторинга windows

В предыдущей статье был составлен список из 80 инструментов для мониторинга Linux системы. Был смысл также сделать подборку инструментов для системы Windows. Ниже будет приведен список, который служит всего лишь отправной точкой, здесь нет рейтинга.

Всем известный диспетчер задач Windows — утилита для вывода на экран списка запущенных процессов и потребляемых ими ресурсов. Но знаете ли Вы, как использовать его весь потенциал? Как правило, с его помощью контролируют состояние процессора и памяти, но можно же пойти гораздо дальше. Это приложение предварительно на всех операционных системах компании Microsoft.

2. Resource Monitor

Великолепный инструмент, позволяющий оценить использование процессора, оперативной памяти, сети и дисков в Windows. Он позволяет быстро получить всю необходимую информацию о состоянии критически важных серверов.

3. Performance Monitor

Основной инструмент для управления счетчиками производительности в Windows. Performance Monitor, в более ранних версиях Windows известен нам как Системный монитор. Утилита имеет несколько режимов отображения, выводит показания счетчиков производительности в режиме реального времени, сохраняет данные в лог-файлы для последующего изучения.

Дополнительные фильтры

Запись и открытие лога

Учтите, что при длительном отслеживании размер лога может измеряться гигабайтами. По умолчанию Process Monitor записывает лог в файл подкачки. Если у вас маленький системный раздел, имеет смысл сохранять лог в файл на другом разделе диска.

Для сохранения лога в файл нажмите сочетание клавиш CTRL B и укажите имя и желаемое расположение файла.

Изменения вступают в силу после перезапуска захвата активности. Теперь можно смело оставить Process Monitor включенным на длительное время, не опасаясь за лимит дискового пространства.

Остановить отслеживание активности можно сочетанием клавиш CTRL E.

Впоследствии вы всегда сможете загрузить в утилиту лог из сохраненного файла. Закройте Process Monitor и дважды щелкните файл лога с расширением PML. Содержимое лога отобразится в окне Process Explorer.

Человек, обратившийся на форум с проблемой, так и не вернулся сообщить, помог ли ему мой совет. Но он был с таким вопросом не первый и, наверняка, не последний. Если вопрос возникнет у вас, вы сможете ответить на него с помощью Process Monitor.

Запуск procmon

Во-первых, я не рекомендую запускать ProcMon просто так, чтобы посмотреть, что он делает, и как выглядит. Я вам и так скажу, что он делает цитатой из книги:

Регистрирует активность файловой системы, реестра, сети, процессов, потоков, а также загрузку образов в реальном времени.

Если просто запустить ProcMon рабочее окно программы моментально заполнился разными событиями, даже если вы ничего не делаете. Разобраться в этих событиях, и найти интересующие даже опытному мастеру очень сложно. Да и не нужно, но обо всём по порядку.

Чаще всего ProcMon запускается с конкретной целью, например, определить, что делает та, или иная программа, какой процесс пишет файлы в определённый каталог или ветвь реестра, куда девается место на диске, и т.д. Поэтому, если просто запусить ProcMon то придётся остановить сбор событий (Ctrl E), очистить уже собранные события (Ctrl X), настроить фильтры (Ctrl L), и снова запустить наблюдение. Для того, чтобы не делать столько лишний движений предусмотрен параметр командной строки /noconnect:

Запуск с этим параметром запускает Procmon, но не начинает наблюдение, вместо этого сразу же открывается окно фильтров.

Вообще для упрощения запуска, я делаю (и всем советую делать так) как описывается всё в той же книге:

Мой соавтор Аарон обычно создает папку C:Program FilesSysinternals и распаковывает в нее содержимое пакета Sysinternals Suite. Там утилиты невозможно изменить без прав администратора. Затем он добавляет этот каталог в системную переменную окружения Path, что позволяет легко запускать утилиты откуда угодно, в том числе через меню Start | Run ( Пуск | Выполнить ).

Как использовать process explorer

Используйте тот же подход для 32-разрядной или 64-разрядной версии при запуске Process Explorer.

В меню «Просмотр» вы можете настроить отображение информации о процессе на каждой панели.

Используйте представление нижней панели, чтобы изменить отображаемые там данные с дескрипторов на библиотеки DLL.

Самое главное меню здесь — Процесс. Ниже приводится то, что показывает каждый пункт меню и позволяет вам управлять.

Set Affinity показывает, на каких процессорах может выполняться выбранный процесс. Вы можете включить или отключить любой из процессоров, если хотите.

Set Priority позволяет вам увеличивать или дискретизировать приоритет, который CPU дает этому процессу. Это хороший способ устранить проблемы с запаздывающими или медленно работающими приложениями, чтобы убедиться, что это проблема слишком большого количества запущенных других процессов.

Следующие четыре параметра позволяют управлять каждым процессом.

Они включают:

Kill Process: принудительная остановка отдельного процесса
Убить дерево процессов: принудительно остановить процесс и все дочерние процессы
Перезагрузить: остановить и запустить выбранный процесс.
Приостановить: подозревать выбранный процесс

Вы можете создать файлы дампа или мини-дампа, связанные с выбранным процессом, выбрав меню «Процесс» и выбрав «Создать дамп». Затем выберите, хотите ли вы минидамп или полный дамп.

Как пользоваться программой process monitor

Маленькие, но полезные инструменты

Список не был бы полным без упоминания нескольких вариантов аппаратного мониторинга.

60. Glint Computer Activity Monitor

Утилита для мониторинга температур процессоров Intel, она не требует инсталляции, отслеживает текущие, минимальные и максимальные значения температур для каждого ядра и старт троттлинга.

Утилита, которая позволяет контролировать температуру и скорости вращения вентиляторов в системе, следит за показателями датчиков материнской платы, видеокарты и жестких дисков.

Источник

Мониторинг windows серверов с помощью семейства nagios

Nagios является самым популярным инструментом мониторинга инфраструктуры в течение нескольких лет (для Linux и Windows). Если Вы рассматриваете Nagios для Windows, то установите и настройте агент NSClient на Windows сервер. NSClient мониторит систему в реальном времени и предоставляет выводы с удаленного сервера мониторинга и не только.

Обычно используется вместе с Nagios, предоставляет пользователю удобный веб-интерфейс к утилите RRDTool, предназначенной для работы с круговыми базами данных (Round Robin Database), которые используются для хранения информации об изменении одной или нескольких величин за определенный промежуток времени.

Гибкая, масштабируемая система мониторинга с открытым исходным кодом, основанная на ядре Nagios, написанном на Python. Она в 5 раз быстрее чем Nagios. Shinken совместима с Nagios, возможно использование ее плагинов и конфигураций без внесения коррективов или дополнительной настройки.

Еще одна популярная открытая система мониторинга, которая проверяет хосты и сервисы и сообщает администратору их состояние. Являясь ответвлением Nagios, Icinga совместима с ней и у них много общего.

OpsView изначально был бесплатен. Сейчас, увы, пользователям данной системой мониторинга приходится раскошеливаться.

Op5 еще одна система мониторинга с открытым исходным кодом. Построение графиков, хранение и сбор данных.

Ниже приведен список (наиболее популярных) инструментов для мониторинга сети

Nedi является инструментом мониторинга сети с открытым исходным кодом.

Система мониторинга Dude, хоть и бесплатна, но по мнению специалистов, ни в чем не уступает коммерческим продуктам, мониторит отдельные серверы, сети и сетевые сервисы.

Программа с открытым исходным кодом.

Расширение для Nagios, позволяет создавать карты инфраструктуры и отображать их статус. NagVis поддерживает большое количество различных виджетов, наборов иконок.

57. Proc Net Monitor

Бесплатное приложение для мониторинга, позволяет отследить все активные процессы и при необходимости быстро остановить их, чтобы снизить нагрузку на процессор.

Используется для диагностики IP-сетей, позволяет определить, где происходят потери и задержки сетевых пакетов.

О видео

Читатели блога выразили поддержку моей идее дополнять статьи видеоматериалами. Я подумал, что этот случай очень хорошо подходит, и записал ролик длиной менее 4 минут.

Если честно, создание такого видео занимает намного больше времени, чем написание статьи. Поэтому я в любом случае не готов заменять печатный текст видеоматериалами. Но мне кажется, что в данном случае видео интереснее и понятнее. А что вы думаете по этому поводу?

Видео длится около четырех минут, и я старался сделать его быстрым и емким. Ведь в реальности подготовка к поимке приложения занимает буквально одну минуту. Вас устраивает скорость изложения?

Более подробный рассказ о Process Monitor и другие примеры его практического использования вы можете посмотреть в видео моего коллеги Василия Гусева, если у вас есть свободные 40 минут ��

Отслеживание активности

При запуске утилита отслеживает несколько типов системной активности:

реестр
файловую систему
сеть
процессы и потоки

Поскольку мы ищем причину записи файлов на диск, нужно сосредоточиться на активности в файловой системе. Для этого на панели инструментов оставьте включенной только одну кнопку, отвечающую за активность на диске.

Кроме того, убедитесь, что утилита отслеживает активность. Если у вас перечеркнута кнопка, которая на рисунке обведена красным, нажмите CTRL E.

На рисунке выше активность отслеживается, причем только в файловой системе.

Платные решения

SSC Serv платный инструмент мониторинга.

Инструменты для мониторинга сетевых ресурсов, позволяет проверять любые параметры серверов, гибкие профили действия позволяют действовать в зависимости от результатов тестов.

34. Total Network Monitor

Серия уроков по пакету утилит sysinternals

1. Что такое инструменты SysInternals и как их использовать?

2. Знакомство с Process Explorer

3. Использование Process Explorer для устранения неполадок и диагностики

4. Понимание Process Monitor

5. Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра

6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО

Следующий урок

Далее мы рассмотрим многие другие утилиты в SysInternals Toolkit, включая некоторые из мощных инструментов командной строки.

Связанные статьи:

Фильтры в procmon

Как было сказано выше окно фильтров открывается при запуске с параметром /noconnect. Если вы его нечаянно закрыли, или нужно подправить уже настроенные фильтры, открыть окно фильтров можно сочетанием клавиш Ctrl L, или через меню Filter | Filter… .

Вот мы и добрались до практики ��

Как мониторить реестр я уже рассказывал, поэтому сегодня будем учиться мониторить файловую систему. Для примера будем отслеживать какие изменения делает стандартный блокнот.

Итак, у нас открыто окно фильтров.

Фильтры в ProcMon

На всякий случай нажимаем кнопку сброса фильтров в состояние по умолчанию – Reset(по умолчанию в ProcMon настроено до фига фильтров, не рекомендуется их удалять) и добавляем фильтр

Process Name is notepad.exe include .

Нажимаем кнопку Add. Как можно понять из названия захватываться будут только события, связанные с процессом notepad.exe, т.е. те события, которые генерирует блокнот.

Важный момент: имя процесса должно быть указано полностью – с расширением, иначе ProcMon ничего не захватит. Как вариант можно использовать фильтр

Process Name begins with notepad include

В таком случае будут захвачены события, связанные с процессами, начинающимися на notepad, это может быть как стандартный блокнот, так и Notepad , или какой-нибудь ещё блокнот. Таким же образом добавляем фильтр на запись файлов:

Operation is WriteFile include

Нажимаем Add и OK (вообще можно просто нажать OK, в таком случае ProcMon скажет, что такого фильтра ещё нет, и спросит хотим-ли мы его добавить. Дело в том, что нажатие кнопки закрывает OK окно фильтров, если это не единственный фильтр, то лучше нажать кнопку Add, это позволит добавить фильтр, и оставить окно фильтров открытым для последующих фильтров).

Так как нас интересует только файловая активность, в главном окне ProcMon отключаем значки наблюдения за реестром, сетью и процессами – оставляем только наблюдение за файловой системой (выделены на скриншоте ниже).

Ещё один важный момент.

По умолчанию ProcMon регистрирует всю активность системы, даже те события, которые не попадают под фильтры, что в некоторых случаях может приводить к подтормаживанию работы. Если вы уверены в том, что фильтры настроены правильно (в данном примере мы уверены), и вам не нужны события, скрытые ими – их можно отбросить при помощи опции Filter | Drop Filtered Events (Удаление отфильтрованных событий)

После того как фильтры настроены запускаем сбор событий (кнопка с изображением лупы, или Ctrl E). Запускаем блокнот, пишем какой-то текст и сохраняем файл. Смотрим, что получилось:

Файловая активность в ProcMon

Как видно из скриношота ProcMon зафиксировал событие записи файла процессом notepad.exe по пути C:temptest.txt.

Проведём ещё один эксперимент.

Остановим захват событий (Ctrl E), закроем блокнот и очистим собранные события (Ctrl X). Вызовем окно фильтов (Ctrl L), сбросим фильтры (кнопкой Reset) и добавим следующий фильтр:

Path begins with c:temp

Этим самым мы указываем, что нас интересует любая активность по пути C:temp. А так как значение указано не точно (не is, а begins with), то захватываться будут события не только из этого каталога, но и из всех его подкаталогов.

Проверьте, чтобы было включено наблюдение только за файловой системой (при сбросе фильтров всё сбрасывается в состояние по умолчанию)

Фильтры в ProcMon

Запустим наблюдение. Откроем проводник и перейдём по нашему пути. Заглянем в ProcMon.

Так выглядит открытие каталога в ProcMon

Там будет куча непонятных нам событий, но они нам и не нужны, просто посмотрите сколько событий происходит, когда вы всего лишь заходите в каталог.

Можете открыть файл и посмотреть какая неразбериха будет в ProcMon. Вот почему я никогда не советую запускать ProcMon только для того, чтобы посмотреть, что там происходит в системе.

Для того, чтобы увидеть сами события чтения файла, остановите сбор событий, очистите окно результатов, добавьте фильтр

Operation is ReadFile

и снова откройте файл.

Должно получиться, что-то вроде этого (как видно из скриншота я открывал файл двумя разными процессами):

Программа отслеживания процессов. Process Monitor: как отследить приложение, записывающее непонятные файлы на диск

Непонятные файлы на диске мы обнаруживаем двумя путями. Либо они явно видны в проводнике или файловом менеджере, либо к ним приводят поиски причины исчезновения свободного места на диске. Хорошо, если после удаления файлов, они больше не появляются. Но так бывает не всегда, и в этом случае приходится определять приложение, которое их создает.

Однажды на форум обратился человек, у которого какое-то приложение записывало в корень системного диска файлы, в имени которых содержится tmp _out .

Конечно, не исключено, что эта система заражена, и требуется тщательная проверка всевозможными антивирусными средствами. Но далеко не всегда проблема связана с вредоносным кодом, и тогда понадобится другой подход. Проще всего вычислить виновника появления таких файлов с помощью утилиты . Из видео за четыре минуты вы узнаете, как это сделать.

Отслеживание активности

При запуске утилита отслеживает несколько типов системной активности:

реестр
файловую систему
процессы и потоки

Кроме того, убедитесь, что утилита отслеживает активность. Если у вас перечеркнута кнопка, которая на рисунке обведена красным, нажмите CTRL+E .

На рисунке выше активность отслеживается, причем только в файловой системе.

Основной фильтр

Теперь нужно применить фильтр, чтобы исключить не относящуюся к делу активность. Нажмите сочетание клавиш CTRL+L , и вы увидите возможности фильтрации. В Process Monitor сразу активны некоторые фильтры, исключающие отслеживание деятельности самой программы, а также некоторых системных компонентов (файла подкачки, таблицы MFT и т.д.). Это сделано для того, чтобы исключить мониторинг стандартной активности системы. В большинстве случаев удалять эти фильтры не нужно, и достаточно просто добавить свой.

На рисунке выше показан фильтр, который будет отслеживать создание и изменение всех файлов, в путях к которым содержится tmp _out . Давайте разберем фильтр подробнее слева направо:

Path . Путь в файловой системе. Также можно указывать разделы реестра, когда отслеживается активность в нем.
contains . Условие, по которому определяется поиск ключевого слова. В переводе с английского это слово означает «содержит». В зависимости от задачи можно конкретизировать условие, выбрав вариант begins with (начинается с) или ends with (заканчивается на).
tmp _out . Ключевое слово, которое в данном случае должно содержаться в пути. Имя файла и его расширение являются частью полного пути к файлу.
Include . Включение заданного условия в список отслеживаемых.

Не забудьте нажать кнопку Add , чтобы добавить фильтр в список. Впрочем, если вы забудете, Process Monitor напомнит об этом, прежде чем закрыть окно фильтров.

В данном случае я использовал часть имени файла в качестве ключевого слова, поскольку все непонятные файлы содержат в имени tmp_out. Если файлы создаются с разными именами, но зато в определенной папке, используйте путь к этой папке в качестве ключевого слова.

Поскольку задано жесткое условие фильтрации файловой активности, в окне программы, скорее всего, теперь не будет отображаться никаких процессов. Но Process Monitor уже начал их отслеживать.

Проверить работу фильтра очень просто. Достаточно создать в текстовом редакторе файл с искомым именем или в наблюдаемой папке, и Process Monitor моментально отреагирует на это.