فهم عملية المراقبة
اليوم في هذه الطبعة من Geek School ، سنقوم بتعليمك كيف تسمح لك أداة مراقبة العملية بإلقاء نظرة خاطفة تحت غطاء المحرك والاطلاع على ما تفعله تطبيقاتك المفضلة من وراء الكواليس - ما هي الملفات التي تصل إليها ، ومفاتيح التسجيل التي استخدام ، وأكثر من ذلك.
ملاحة المدرسة- ما هي أدوات SysInternals وكيف يمكنك استخدامها?
- فهم عملية إكسبلورر
- باستخدام عملية اكسبلورر لاستكشاف وتشخيص
- فهم عملية المراقبة
- باستخدام عملية مراقبة لاستكشاف واكتشاف هاك التسجيل
- استخدام Autoruns للتعامل مع عمليات بدء التشغيل والبرامج الضارة
- استخدام BgInfo لعرض معلومات النظام على سطح المكتب
- باستخدام PsTools للسيطرة على أجهزة الكمبيوتر الأخرى من سطر الأوامر
- تحليل وإدارة الملفات والمجلدات ومحركات الأقراص
- التفاف واستخدام الأدوات معا
على عكس الأداة المساعدة Process Explorer التي قضيناها بضعة أيام تغطي ، يُقصد من عملية المراقبة أن تكون نظرة سلبية على كل ما يحدث على جهاز الكمبيوتر الخاص بك ، وليس أداة فعالة لقتل العمليات أو إغلاق المقابض. هذا مثل إلقاء نظرة على ملف سجل عالمي لكل حدث واحد يحدث على جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows.
هل ترغب في فهم مفاتيح التسجيل التي يقوم التطبيق المفضل لديك بتخزين إعداداتها بالفعل بها؟ هل تريد معرفة الملفات التي تلمسها الخدمة ومدى تكرارها؟ هل تريد معرفة متى يتم توصيل التطبيق بالشبكة أو فتح عملية جديدة؟ انها عملية مراقبة لإنقاذ.
نحن لا نفعل الكثير من المقالات الإختراق من التسجيل ، ولكن عندما بدأنا في البداية ، سنستخدم مراقبة العمليات لمعرفة مفاتيح التسجيل التي يتم الوصول إليها ، ثم نضغط على مفاتيح التسجيل هذه لنرى ماذا سيحدث. إذا كنت قد تساءلت يومًا كيف اكتشف بعض المهووسين اختراق السجل الذي لم يشاهده أحد على الإطلاق ، فربما كان ذلك من خلال مراقبة العمليات.
تم إنشاء الأداة المساعدة لمراقبة الشاشة من خلال الجمع بين اثنين من أدوات المدرسة القديمة المختلفة معاً ، وهما Filemon و Regmon ، اللذان تم استخدامهما لمراقبة الملفات ونشاط السجل كما تدل على أسمائها. في حين أن هذه المرافق لا تزال متاحة هناك ، وعلى الرغم من أنها قد تناسب احتياجاتك الخاصة ، فستكون أفضل حالاً مع مراقبة العمليات ، لأنها يمكن أن تتعامل مع حجم كبير من الأحداث بشكل أفضل بسبب حقيقة أنها مصممة للقيام بذلك..
تجدر الإشارة أيضًا إلى أن Process Monitor دائمًا ما يتطلب وضع المسؤول نظرًا لأنه يحمّل برنامج تشغيل kernel تحت غطاء المحرك لالتقاط جميع تلك الأحداث. في Windows Vista والإصدارات الأحدث ، ستتم مطالبتك باستخدام مربع حوار UAC ، ولكن بالنسبة لـ XP أو 2003 ، ستحتاج إلى التأكد من أن الحساب الذي تستخدمه له امتيازات المسؤول.
الأحداث التي تلتقطها عملية المراقبة
تلتقط مراقبة العمليات كمية كبيرة من البيانات ، ولكنها لا تلتقط كل شيء يحدث على جهاز الكمبيوتر الخاص بك. على سبيل المثال ، لا يهمك مراقبة العمليات إذا قمت بتحريك الماوس ، ولا تعرف ما إذا كانت برامج التشغيل تعمل على النحو الأمثل أم لا. لن يتم تعقب العمليات المفتوحة وإهدار وحدة المعالجة المركزية على جهاز الكمبيوتر الخاص بك - هذه هي وظيفة Process Explorer ، بعد كل شيء.
ما يفعله هو التقاط أنواع معينة من عمليات الإدخال / الإخراج (I / O) ، سواء حدثت من خلال نظام الملفات أو التسجيل أو حتى الشبكة. بالإضافة إلى ذلك ، سيتم تتبع بعض الأحداث الأخرى بطريقة محدودة. تغطي هذه القائمة الأحداث التي تلتقطها:
- سجل - هذا يمكن أن يكون خلق مفاتيح ، وقراءتها ، وحذفها ، أو الاستعلام عنها. سوف يفاجأ كم مرة يحدث هذا.
- نظام الملفات - هذا يمكن أن يكون إنشاء الملف ، الكتابة ، الحذف ، إلخ ، ويمكن أن يكون لكل من محركات الأقراص الصلبة المحلية ومحركات أقراص الشبكة.
- شبكة الاتصال - سيعرض هذا مصدر ووجهة حركة مرور TCP / UDP ، ولكن للأسف لا يعرض البيانات ، مما يجعلها أقل فائدة.
- معالجة - هذه هي أحداث العمليات والخيوط عند بدء تشغيل عملية ، أو بدء مؤشر ترابط أو خروجه ، وما إلى ذلك. يمكن أن يكون هذا معلومات مفيدة في بعض الحالات ، ولكن غالبًا ما يكون هناك شيء ترغب في الاطلاع عليه في Process Explorer بدلاً من ذلك.
- جانبي - يتم التقاط هذه الأحداث بواسطة "مراقبة العمليات" للتحقق من مقدار وقت المعالج المستخدمة من قبل كل عملية واستخدام الذاكرة. مرة أخرى ، قد ترغب في استخدام Process Explorer لتتبع هذه الأشياء في معظم الأوقات ، ولكنها مفيدة هنا إذا كنت بحاجة إليها.
لذلك يمكن أن يقوم "مراقبة العمليات" بالتقاط أي نوع من عمليات الإدخال / الإخراج ، سواء حدث ذلك من خلال التسجيل أو نظام الملفات أو حتى الشبكة - على الرغم من عدم التقاط البيانات الفعلية التي يتم كتابتها. نحن ننظر فقط إلى حقيقة أن العملية تتم كتابتها إلى أحد هذه التدفقات ، لذا يمكننا لاحقًا معرفة المزيد عما يحدث.
واجهة عملية المراقبة
عندما تحمّل أولاً واجهة معالجة الشاشة ، سيتم تقديم عدد هائل من صفوف البيانات ، مع المزيد من البيانات التي تطير بسرعة ، وقد تكون ساحقة. المفتاح هو أن يكون لديك فكرة ، على الأقل ، حول ما تبحث عنه ، بالإضافة إلى ما تبحث عنه. هذا ليس نوع الأداة التي تقضي يومًا من الاسترخاء أثناء التصفح ، لأنه في غضون فترة زمنية قصيرة جدًا ، ستنظر إلى ملايين من الصفوف.
أول شيء تريد القيام به هو تصفية تلك الملايين من الصفوف وصولاً إلى مجموعة فرعية أصغر بكثير من البيانات التي تريد رؤيتها ، وسنقوم بتعليمك كيفية إنشاء الفلاتر والتركيز على ما تريد أن تجده بالضبط . ولكن أولاً ، يجب أن تفهم الواجهة وما هي البيانات المتوفرة بالفعل.
النظر في الأعمدة الافتراضية
تعرض الأعمدة الافتراضية عددًا كبيرًا من المعلومات المفيدة ، ولكنك ستحتاج بالتأكيد إلى بعض السياق لفهم البيانات التي يحتويها كل واحد بالفعل ، لأن بعضها قد يبدو وكأنه حدث سيء عندما تكون أحداثًا بريئة حقًا تحدث طوال الوقت تحت غطاء محرك السيارة. إليك ما يستخدمه كل عمود من الأعمدة الافتراضية من أجل:
- زمن - هذا العمود هو إلى حد ما لا تحتاج إلى شرح ، فإنه يدل على الوقت المحدد الذي حدث الحدث.
- اسم العملية - اسم العملية التي ولدت الحدث. هذا لا يُظهر المسار الكامل للملف بشكل افتراضي ، ولكن إذا مررت فوق الحقل ، فيمكنك أن ترى بالضبط العملية التي كانت عليها.
- PID - معرف العملية الذي أنشأ الحدث. هذا مفيد للغاية إذا كنت تحاول فهم عملية svchost.exe التي تم إنشاؤها في الحدث. إنها أيضًا طريقة رائعة لعزل عملية واحدة للرصد ، بافتراض أن هذه العملية لا تعيد إطلاق نفسها.
- عملية - هذا هو اسم العملية التي يتم تسجيلها ، وهناك رمز يتطابق مع أحد أنواع الأحداث (التسجيل ، الملف ، الشبكة ، العملية). قد يكون هذا مربكًا بعض الشيء ، مثل RegQueryKey أو WriteFile ، ولكن سنحاول مساعدتك خلال الارتباك.
- مسار - هذا ليس مسار العملية ، بل هو الطريق إلى أي شيء كان يعمل على هذا الحدث. على سبيل المثال ، إذا كان هناك حدث WriteFile ، فسيعرض هذا الحقل اسم الملف أو المجلد الذي يتم لمسه. إذا كان هذا حدث تسجيل ، فسيعرض المفتاح الكامل الذي يتم الوصول إليه.
- نتيجة - يعرض هذا نتيجة العملية ، التي تحمل رموزًا مثل SUCCESS أو ACCESS DENIED. في حين قد تميل إلى الافتراض تلقائيا أن BUFFER TOO SMALL يعني أن هناك أمرًا سيئًا حقًا ، إلا أن هذا ليس في الواقع أكثر من مرة.
- التفاصيل - معلومات إضافية غالبًا لا تترجم إلى عالم استكشاف الأخطاء وإصلاحها العادي.
يمكنك أيضًا إضافة بعض الأعمدة الإضافية إلى الشاشة الافتراضية بالانتقال إلى Options -> Select Columns. لن تكون هذه التوصية بالنسبة لمحطتك الأولى عند بدء الاختبار ، ولكن بما أننا نوضح الأعمدة ، فمن الجدير بالذكر بالفعل.
أحد أسباب إضافة أعمدة إضافية إلى العرض هو أنه يمكنك التصفية بسرعة بهذه الأحداث دون إغراقها بالبيانات. في ما يلي بعض الأعمدة الإضافية التي نستخدمها ، ولكنك قد تجد استخدامها لبعض الآخرين في القائمة اعتمادًا على الموقف.
- سطر الأوامر - بينما يمكنك النقر نقرًا مزدوجًا على أي حدث لمشاهدة وسيطات سطر الأوامر للعملية التي أدت إلى إنشاء كل حدث ، قد يكون من المفيد أن ترى في كل نظرة سريعة جميع الخيارات.
- اسم الشركة - السبب الرئيسي في أن هذا العمود مفيد حتى يمكنك ببساطة استبعاد كافة أحداث Microsoft بسرعة وتضييق نطاق المراقبة إلى أي شيء آخر لا يعد جزءًا من Windows. (سترغب في التأكد من عدم وجود أية عمليات rundll32.exe غريبة تعمل باستخدام Process Explorer بالرغم من ذلك ، نظرًا لأن تلك العمليات قد تخفي البرامج الضارة).
- PID الأم - يمكن أن يكون ذلك مفيدًا جدًا عند تحري الخلل وإصلاحه في عملية تحتوي على العديد من العمليات الفرعية ، مثل مستعرض ويب أو تطبيق يستمر في تشغيل أشياء غامضة كعملية أخرى. يمكنك بعد ذلك التصفية بواسطة PID الأصل للتأكد من التقاط كل شيء.
تجدر الإشارة إلى أنه يمكنك التصفية حسب بيانات الأعمدة حتى لو لم يتم عرض العمود ، ولكن من الأسهل جدًا النقر بزر الماوس الأيمن وتصفية من إجراء ذلك يدويًا. ونعم ، ذكرنا الفلاتر مرة أخرى على الرغم من أننا لم نوضح لهم بعد.
دراسة حدث واحد
إن مشاهدة الأشياء في قائمة هي طريقة رائعة لرؤية الكثير من نقاط البيانات المختلفة دفعة واحدة ، ولكنها بالتأكيد ليست أسهل طريقة لفحص جزء واحد من البيانات ، وهناك فقط الكثير من المعلومات التي يمكنك رؤيتها في قائمة. لحسن الحظ يمكنك النقر المزدوج على أي حدث للوصول إلى كنز من المعلومات الإضافية.
تقدم لك علامة التبويب "الأحداث" الافتراضية معلومات تشبه إلى حد كبير ما رأيته في القائمة ، ولكنها ستضيف معلومات أكثر قليلاً إلى الطرف. إذا كنت تبحث في أحد أحداث نظام الملفات ، فستتمكن من رؤية بعض المعلومات مثل السمات ، وقت إنشاء الملف ، والوصول الذي تمت محاولته أثناء عملية الكتابة ، وعدد البايتات التي تمت كتابتها ، والمدة.
يمنحك التبديل إلى علامة التبويب "معالجة" الكثير من المعلومات الرائعة حول العملية التي أدت إلى إنشاء الحدث. على الرغم من أنك ترغب عمومًا في استخدام Process Explorer للتعامل مع العمليات ، فقد يكون من المفيد جدًا الحصول على الكثير من المعلومات حول العملية المحددة التي نتج عنها حدث معين ، خاصةً إذا حدث شيء سريع جدًا ثم اختفى من قائمة العمليات. بهذه الطريقة يتم التقاط البيانات.
تعتبر علامة التبويب Stack أمرًا مفيدًا للغاية في بعض الأحيان ، ولكن في كثير من الأحيان لن يكون مفيدًا على الإطلاق. السبب الذي يجعلك ترغب في النظر إلى المكدس هو أنه يمكنك استكشاف الأخطاء وإصلاحها عن طريق فحص عمود "الوحدة النمطية" لأي شيء لا يبدو تمامًا.
على سبيل المثال ، تخيل أن هناك عملية تحاول باستمرار الاستعلام عن ملف غير موجود أو الوصول إليه ، ولكنك لم تكن متأكدًا من السبب. يمكنك البحث في علامة التبويب Stack ومعرفة ما إذا كانت هناك أي وحدات لا تبدو صحيحة ، ومن ثم البحث عنها. قد تجد مكونًا قديمًا ، أو حتى برامج ضارة ، يتسبب في حدوث المشكلة.
أو قد تجد أنه لا يوجد أي شيء مفيد هنا ، وهذا جيد أيضًا. هناك الكثير من البيانات الأخرى للنظر فيها.
ملاحظات حول تجاوز سعة المخزن المؤقت
قبل أن ننتقل إلى أبعد من ذلك ، سوف نرغب في ملاحظة رمز النتيجة الذي سوف تبدأ فيه برؤية الكثير في القائمة ، وبناءً على كل معرفتك المهووسة حتى الآن ، قد تفزع قليلاً. لذلك إذا بدأت في رؤية BUFFER OVERFLOW في القائمة ، فيرجى عدم افتراض أن شخصًا ما يحاول اختراق جهاز الكمبيوتر.
الصفحة التالية: تصفية البيانات التي تلتقطها عمليات المراقبة