В сегодняшнем выпуске Geek School мы собираемся научить вас, как использовать Process Monitor для фактического устранения неполадок и выявления взломов реестра, о которых вы не знали бы иначе.
Process Monitor — один из самых впечатляющих инструментов, которые вы можете иметь в своем наборе инструментов, так как практически нет другого способа увидеть, что приложение на самом деле делает изнутри. Это единственный способ узнать, в какие файлы записывается, каким процессом и где что-то хранится в реестре, и какие файлы обращаются к ним.
Мы начнем с сегодняшнего урока, посмотрев, как найти разделы реестра с помощью диалоговых окон настроек Windows и Process Monitor, а затем рассмотрим фактический сценарий устранения неполадок, с которым мы столкнулись на одном из наших компьютеров в лаборатории и который легко решить. используя Process Monitor.
Использование Process Explorer для поиска ключей реестра для общих настроек
Каждый в какой-то момент щелкнул флажок или изменил значение раскрывающегося списка, но задумывались ли вы когда-нибудь, где эти значения на самом деле хранятся? Многие приложения и практически все в Windows хранятся в реестре … где-то.
Для сегодняшнего примера мы собираемся использовать первый параметр на первой панели панели задач и свойств навигации, который является диалогом, который должен существовать во всех версиях Windows. Итак, теперь наша миссия — выяснить, где этот параметр хранится в реестре. Вы можете следовать этим конкретным настройкам или попробовать другие настройки в том же диалоговом окне — или в любом другом месте, для которого вы хотите найти скрытое местоположение настройки.
Первое, что вы захотите сделать, когда пытаетесь захватить набор данных, — это запустить Process Monitor, а затем изменить настройку. В этот момент вы можете остановить Process Monitor от продолжения записи событий, чтобы список не вышел из-под контроля. (Подсказка: в меню «Файл» есть опция или это третий значок слева).
Теперь, когда у нас есть тонна данных в списке, пришло время отфильтровать список, чтобы уменьшить количество строк, которые нам нужно просмотреть. Поскольку мы смотрим на значение реестра, которое изменяется, нам нужно отфильтровать по «RegSetValue», то есть то, что Windows использует, чтобы фактически установить раздел реестра на новый параметр. Используйте опцию «Включить», чтобы показать только эти события.
Теперь ваш список должен быть ограничен только разделами реестра, которые были изменены, так что пришло время взглянуть на события и попытаться выяснить, каким разделом реестра это может быть. Поскольку мы проверяем настройку «Заблокировать панель задач», и один из устанавливаемых ключей реестра включает в себя слово «Панель задач», это хорошее место для начала. Щелкните правой кнопкой мыши путь и выберите «Перейти к местоположению».
Process Monitor откроет редактор реестра и выделит ключ в списке. Теперь нам нужно убедиться, что это действительно правильный ключ, который довольно легко понять. Взгляните на настройки, а затем посмотрите на ключ. Прямо сейчас настройка включена, и клавиша установлена в 0.
Поэтому измените настройку, нажмите Применить в диалоговом окне, а затем используйте клавишу F5, чтобы обновить окно редактора реестра. В нашем случае мы определенно выбрали правильную настройку, поэтому теперь вы можете видеть, что значение TaskbarSizeMove установлено в 1.
Если вы не выбрали правильное значение, вы не увидите изменений при повторной проверке настроек. Так что иди и найди следующий логический, и начни сначала.
Устранение неполадок с помощью Process Monitor
На самом деле невозможно в одной статье проиллюстрировать, как устранить любую проблему с Process Monitor или любым другим инструментом в этом отношении. Существует слишком много комбинаций проблем, которые могут пойти не так.
Однако мы можем показать, как мы на самом деле использовали Process Monitor для устранения реальной проблемы, которая фактически произошла с одним из наших тестовых компьютеров. Мы устанавливали какое-то дерьмо, а затем решили попробовать почистить компьютер. Проблема была в записи на панели «Удаление программ», которая просто не исчезла.
Каждый раз, когда вы нажимаете «Изменить», чтобы удалить его, вы получаете сообщение об ошибке «Произошла ошибка при попытке удалить AwfulApp. Возможно, он уже был удален. Вы хотите удалить AwfulApp из списка «Программы и компоненты»? ».
Это было бы замечательно, если бы мы не получили сообщение об ошибке: «У вас недостаточно прав для удаления OutfoxTV из списка« Программы и компоненты ». Пожалуйста, обратитесь к системному администратору.»
Первое, что нужно сделать, это повторить процесс удаления при запущенном Process Monitor, который захватил огромное количество данных. На этот раз мы решили использовать функцию поиска (CTRL + F), чтобы быстро найти то, что мы искали в списке. Вы также можете использовать фильтр, если хотите, но это казалось простым, и, к счастью, это сработало в первый раз.
Взглянув на первый элемент в списке, мы заметили ошибку: Windows пыталась получить доступ к ключам реестра, связанным с деинсталлятором, но на самом деле их не было в реестре в первую очередь, которую искала Windows. Если вы посмотрите пару клавиш вниз, вы увидите событие RegOpenKey с результатом SUCCESS для чего-то в HKLM \ Software \ Wow6432Node.
Выполнение поиска по этому ключу реестра очень быстро привело нас к источнику проблемы: сообщению ACCESS DENIED, когда Windows попыталась выполнить очистку списка с помощью операции RegDeleteKey. Интересный!
Первое, что нужно сделать, — это воспользоваться функцией «Перейти к», чтобы найти ключ в реестре и просмотреть его.
Конечно же, посмотрите на все эти ключи реестра там! Неудивительно, что он все еще появляется в списке.
Просто чтобы быть уверенным, мы открыли каталог C: \ Program Files \, чтобы посмотреть, были ли еще какие-либо файлы, но очевидно, что приложение уже было стерто с ПК.
Решение было очень простым: мы просто вручную удалили раздел реестра, который Windows имел проблемы с удалением. Если бы мы получили сообщение об отказе в доступе, мы могли бы использовать параметр «Разрешения», чтобы убедиться, что у нас есть доступ, и повторить попытку.
К счастью, удаление сработало незамедлительно, и теперь наш список «Удаление программ» был чист
Это лишь некоторые из многих способов использования Process Monitor — это чрезвычайно важная и полезная утилита, для освоения которой потребуется некоторое время, но, как только вы это сделаете, она действительно может помочь вам решить многие проблемы.
Следующий урок
Начиная со следующего урока в понедельник, мы рассмотрим многие другие утилиты в SysInternals Toolkit, включая некоторые из мощных инструментов командной строки.