स्कूल नेविगेशन
- SysInternals उपकरण क्या हैं और आप उनका उपयोग कैसे करते हैं?
- प्रक्रिया एक्सप्लोरर को समझना
- समस्या निवारण और निदान के लिए प्रक्रिया एक्सप्लोरर का उपयोग करना
- प्रक्रिया मॉनीटर को समझना
- रजिस्ट्री हैक्स को हल करने और ढूंढने के लिए प्रक्रिया मॉनीटर का उपयोग करना
- स्टार्टअप प्रक्रियाओं और मैलवेयर के साथ डील करने के लिए Autoruns का उपयोग करना
- डेस्कटॉप पर सिस्टम जानकारी प्रदर्शित करने के लिए BgInfo का उपयोग करना
- कमांड लाइन से अन्य पीसी को नियंत्रित करने के लिए PsTools का उपयोग करना
- आपकी फ़ाइलें, फ़ोल्डर्स और ड्राइव का विश्लेषण और प्रबंधन
- एक साथ टूल्स और टूल्स का उपयोग करना
प्रोसेस एक्सप्लोरर यूटिलिटी के विपरीत, हमने कुछ दिनों तक कवर किया है, प्रोसेस मॉनिटर को आपके कंप्यूटर पर होने वाली हर चीज पर एक निष्क्रिय रूप होना चाहिए, प्रक्रियाओं को मारने या हैंडल बंद करने के लिए एक सक्रिय उपकरण नहीं है। यह आपके विंडोज पीसी पर होने वाली प्रत्येक घटना के लिए वैश्विक लॉगफाइल पर एक झलक लेने जैसा है।
यह समझना चाहते हैं कि कौन सा रजिस्ट्री कुंजियां आपके पसंदीदा एप्लिकेशन वास्तव में अपनी सेटिंग्स को संग्रहीत कर रही हैं? यह जानना चाहते हैं कि कौन सी फाइलें छू रही हैं और कितनी बार? देखना चाहते हैं कि कोई एप्लिकेशन नेटवर्क से कनेक्ट हो रहा है या कोई नई प्रक्रिया खोल रहा है? यह बचाव के लिए प्रक्रिया मॉनीटर है।
हम अब बहुत सारे रजिस्ट्री हैक लेख नहीं करते हैं, लेकिन जब हमने पहली बार शुरू किया था तब हम प्रोसेस मॉनीटर का उपयोग यह पता लगाने के लिए करेंगे कि रजिस्ट्री कुंजियों का उपयोग किस प्रकार किया जा रहा था, और फिर यह देखने के लिए कि रजिस्ट्री कुंजियों को क्या होगा। यदि आपने कभी सोचा है कि कैसे कुछ गीक ने एक रजिस्ट्री हैक को समझ लिया है जिसे किसी ने कभी नहीं देखा है, तो यह शायद प्रोसेस मॉनिटर के माध्यम से था।
प्रोसेस मॉनिटर यूटिलिटी दो अलग-अलग पुरानी-स्कूल उपयोगिताओं को एक साथ जोड़कर बनाई गई थी, फाइलमैन और रेगमन, जिनका उपयोग फाइलों और रजिस्ट्री गतिविधि की निगरानी के लिए किया गया था क्योंकि उनके नामों का अर्थ है। हालांकि, उन यूटिलिटीज अभी भी उपलब्ध हैं, और जब वे आपकी विशेष जरूरतों को पूरा कर सकते हैं, तो आप प्रोसेस मॉनिटर के साथ बहुत बेहतर होंगे, क्योंकि यह इस तथ्य के कारण बेहतर घटनाओं को संभालने में सक्षम है कि इसे ऐसा करने के लिए डिज़ाइन किया गया था ।
यह ध्यान देने योग्य भी है कि प्रोसेस मॉनिटर को हमेशा व्यवस्थापक मोड की आवश्यकता होती है क्योंकि यह उन सभी घटनाओं को कैप्चर करने के लिए हुड के नीचे कर्नेल ड्राइवर लोड करता है। विंडोज विस्टा और बाद में, आपको यूएसी संवाद के साथ संकेत मिलेगा, लेकिन एक्सपी या 2003 के लिए, आपको यह सुनिश्चित करना होगा कि आपके द्वारा उपयोग किए जाने वाले खाते में प्रशासक विशेषाधिकार हैं।
घटनाओं जो प्रक्रिया मॉनिटर कैप्चर करता है
प्रोसेस मॉनिटर डेटा का एक टन कैप्चर करता है, लेकिन यह आपके पीसी पर होने वाली हर चीज को कैप्चर नहीं करता है। उदाहरण के लिए, यदि आप अपने माउस को चारों ओर ले जाते हैं, तो प्रक्रिया मॉनीटर परवाह नहीं है, और यह नहीं पता कि आपके ड्राइवर बेहतर तरीके से काम कर रहे हैं या नहीं। यह ट्रैक नहीं करेगा कि कौन सी प्रक्रियाएं खुली हैं और आपके कंप्यूटर पर सीपीयू बर्बाद कर रही हैं - यह प्रक्रिया एक्सप्लोरर का काम है, आखिरकार।
यह क्या करता है विशिष्ट प्रकार के I / O (इनपुट / आउटपुट) संचालन को कैप्चर करता है, चाहे वे फ़ाइल सिस्टम, रजिस्ट्री या यहां तक कि नेटवर्क के माध्यम से हों। यह अतिरिक्त रूप से सीमित फैशन में कुछ अन्य घटनाओं को ट्रैक करेगा। इस सूची में उन घटनाओं को शामिल किया गया है जो इसे कैप्चर करते हैं:
- रजिस्ट्री - यह चाबियाँ बना रहा है, उन्हें पढ़ रहा है, उन्हें हटा रहा है, या उनसे पूछताछ कर सकता है। आप आश्चर्यचकित होंगे कि यह कितनी बार होता है।
- फाइल सिस्टम - यह फ़ाइल निर्माण, लेखन, हटाना आदि हो सकता है, और यह स्थानीय हार्ड ड्राइव और नेटवर्क ड्राइव दोनों के लिए हो सकता है।
- नेटवर्क - यह टीसीपी / यूडीपी यातायात का स्रोत और गंतव्य दिखाएगा, लेकिन दुख की बात यह है कि यह डेटा नहीं दिखाती है, जिससे इसे थोड़ा कम उपयोगी बना दिया जाता है।
- प्रक्रिया - ये प्रक्रियाओं और धागे के लिए घटनाएं हैं जहां एक प्रक्रिया शुरू होती है, धागा शुरू होता है या निकलता है, आदि। यह कुछ मामलों में उपयोगी जानकारी हो सकती है, लेकिन अक्सर ऐसा कुछ होता है जिसे आप प्रक्रिया एक्सप्लोरर में देखना चाहते हैं।
- प्रोफाइलिंग - इन प्रक्रियाओं को प्रोसेस मॉनीटर द्वारा प्रत्येक प्रक्रिया द्वारा उपयोग किए जाने वाले प्रोसेसर समय की मात्रा और स्मृति उपयोग की जांच करने के लिए पकड़ा जाता है। दोबारा, आप संभवतः इन चीजों को ट्रैक करने के लिए प्रोसेस एक्सप्लोरर का उपयोग करना चाहते हैं, लेकिन यदि आपको इसकी आवश्यकता हो तो यह उपयोगी है।
तो प्रोसेस मॉनिटर किसी भी प्रकार का I / O ऑपरेशन कैप्चर कर सकता है, चाहे वह रजिस्ट्री, फ़ाइल सिस्टम या यहां तक कि नेटवर्क के माध्यम से होता है - हालांकि वास्तविक डेटा लिखा जा रहा है। हम सिर्फ इस तथ्य को देख रहे हैं कि एक प्रक्रिया इन धाराओं में से किसी एक को लिख रही है, इसलिए हम बाद में क्या हो रहा है इसके बारे में अधिक जानकारी प्राप्त कर सकते हैं।
प्रक्रिया मॉनिटर इंटरफेस
पहली चीज जो आप करना चाहते हैं वह उन लाखों पंक्तियों को उस डेटा के बहुत छोटे सबसेट पर फ़िल्टर करें, जिसे आप देखना चाहते हैं, और हम आपको सिखाएंगे कि फ़िल्टर और शून्य कैसे बनाएं, जिसे आप ढूंढना चाहते हैं । लेकिन सबसे पहले, आपको इंटरफेस को समझना चाहिए और वास्तव में कौन सा डेटा उपलब्ध है।
डिफ़ॉल्ट कॉलम देख रहे हैं
डिफ़ॉल्ट कॉलम उपयोगी जानकारी का एक टन दिखाते हैं, लेकिन आपको निश्चित रूप से कुछ संदर्भों की आवश्यकता होगी ताकि यह समझ सके कि प्रत्येक व्यक्ति में वास्तव में कौन सा डेटा होता है, क्योंकि उनमें से कुछ कुछ बुरा लग सकता है जब वे वास्तव में निर्दोष घटनाएं होती हैं जो हर समय होती हैं हुड। यहां बताया गया है कि प्रत्येक डिफ़ॉल्ट कॉलम का उपयोग किस प्रकार किया जाता है:
- पहर - यह कॉलम काफी आत्म-स्पष्टीकरणपूर्ण है, यह सटीक समय दिखाता है कि एक घटना हुई।
- प्रक्रिया का नाम - घटना उत्पन्न करने वाली प्रक्रिया का नाम। यह डिफ़ॉल्ट रूप से फ़ाइल के लिए पूर्ण पथ नहीं दिखाता है, लेकिन यदि आप फ़ील्ड पर होवर करते हैं तो आप देख सकते हैं कि यह वास्तव में कौन सी प्रक्रिया थी।
- पीआईडी - घटना उत्पन्न करने वाली प्रक्रिया की प्रक्रिया आईडी। यह बहुत उपयोगी है अगर आप यह समझने की कोशिश कर रहे हैं कि svchost.exe प्रक्रिया ने ईवेंट जेनरेट किया था। यह निगरानी करने के लिए एक प्रक्रिया को अलग करने का भी एक शानदार तरीका है, यह मानते हुए कि प्रक्रिया स्वयं को फिर से लॉन्च नहीं करती है।
- ऑपरेशन - यह लॉग ऑफ होने वाले ऑपरेशन का नाम है, और एक ऐसा आइकन है जो ईवेंट प्रकारों (रजिस्ट्री, फ़ाइल, नेटवर्क, प्रक्रिया) में से किसी एक के साथ मेल खाता है। यह थोड़ा उलझन में हो सकता है, जैसे RegQueryKey या WriteFile, लेकिन हम भ्रम के माध्यम से कोशिश करेंगे और आपकी मदद करेंगे।
- पथ - यह प्रक्रिया का मार्ग नहीं है, यह इस घटना से जो भी काम किया जा रहा है, उसका मार्ग है। उदाहरण के लिए, यदि कोई WriteFile ईवेंट था, तो यह फ़ील्ड फ़ाइल या फ़ोल्डर को स्पर्श करने का नाम दिखाएगा। यदि यह एक रजिस्ट्री घटना थी, तो यह पूरी कुंजी को एक्सेस किया जा रहा है।
- परिणाम - यह ऑपरेशन का नतीजा दिखाता है, जो कोड सफलता या एक्सेस की तरह कोड करता है। जबकि आप स्वचालित रूप से यह मानने के लिए प्रेरित हो सकते हैं कि एक बफर टू का मतलब है कि वास्तव में कुछ बुरा हुआ, यह वास्तव में ज्यादातर समय नहीं है।
- विस्तार - अतिरिक्त जानकारी जो अक्सर नियमित गीक समस्या निवारण दुनिया में अनुवाद नहीं करती है।
आप विकल्पों पर जाकर डिफ़ॉल्ट प्रदर्शन में कुछ अतिरिक्त कॉलम भी जोड़ सकते हैं -> कॉलम का चयन करें। जब आप परीक्षण शुरू करते हैं तो यह आपके पहले स्टॉप के लिए हमारी सिफारिश नहीं होगी, लेकिन चूंकि हम कॉलम समझा रहे हैं, यह पहले से ही उल्लेखनीय है।
- कमांड लाइन - जब आप प्रत्येक घटना उत्पन्न करने वाली प्रक्रिया के लिए कमांड लाइन तर्क देखने के लिए किसी भी ईवेंट पर डबल-क्लिक कर सकते हैं, तो यह सभी विकल्पों को त्वरित नज़र में देखने के लिए उपयोगी हो सकता है।
- कंपनी का नाम - यह कॉलम उपयोगी है कि मुख्य कारण यह है कि आप बस सभी माइक्रोसॉफ्ट घटनाओं को तुरंत बाहर कर सकते हैं और अपनी निगरानी को अन्य सभी चीज़ों को सीमित कर सकते हैं जो विंडोज़ का हिस्सा नहीं हैं। (आप यह सुनिश्चित करना चाहते हैं कि आपके पास प्रोसेस एक्सप्लोरर का उपयोग करके चल रही कोई अजीब rundll32.exe प्रक्रियाएं नहीं हैं, क्योंकि वे मैलवेयर छुपा रहे हैं)।
- अभिभावक पीआईडी - यह बहुत उपयोगी हो सकता है जब आप ऐसी प्रक्रिया की समस्या निवारण कर रहे हैं जिसमें कई बच्चे प्रक्रियाएं होती हैं, जैसे एक वेब ब्राउज़र या एक ऐसा एप्लिकेशन जो स्केची चीजों को दूसरी प्रक्रिया के रूप में लॉन्च करता रहता है। फिर आप यह सुनिश्चित करने के लिए अभिभावक पीआईडी द्वारा फ़िल्टर कर सकते हैं कि आप सब कुछ कैप्चर करते हैं।
यह ध्यान देने योग्य है कि कॉलम डेटा दिखाए जाने पर भी आप कॉलम डेटा द्वारा फ़िल्टर कर सकते हैं, लेकिन इसे मैन्युअल रूप से करने के बजाय राइट-क्लिक और फ़िल्टर करना बहुत आसान है। और हां, हमने फ़िल्टरों का फिर से उल्लेख किया है, भले ही हमने उन्हें अभी तक समझाया नहीं है।
एक एकल घटना की जांच
सूची में चीजों को देखना एक बार में कई अलग-अलग डेटा बिंदुओं को तुरंत देखने का एक शानदार तरीका है, लेकिन यह निश्चित रूप से डेटा के एक टुकड़े की जांच करने का सबसे आसान तरीका नहीं है, और केवल इतना ही जानकारी है जिसे आप देख सकते हैं सूची। शुक्र है कि आप अतिरिक्त जानकारी के खजाने के ट्रोव तक पहुंचने के लिए किसी भी घटना पर डबल-क्लिक कर सकते हैं।
डिफ़ॉल्ट इवेंट टैब आपको वह जानकारी देता है जो सूची में आपने जो देखा है उसके समान ही है, लेकिन पार्टी को थोड़ी अधिक जानकारी जोड़ देगा। यदि आप एक फाइल सिस्टम इवेंट देख रहे हैं, तो आप कुछ विशेषताओं जैसे गुणों, फ़ाइल बनाने का समय, एक लेखन ऑपरेशन के दौरान प्रयास की गई पहुंच, लिखित बाइट्स की संख्या, और अवधि देखने में सक्षम होंगे।
उदाहरण के तौर पर, कल्पना करें कि एक प्रक्रिया लगातार उस फाइल को क्वेरी करने या एक्सेस करने का प्रयास कर रही थी जो मौजूद नहीं है, लेकिन आपको यकीन नहीं था कि क्यों।आप स्टैक टैब को देख सकते हैं और देख सकते हैं कि कोई मॉड्यूल था जो सही नहीं दिख रहा था, और फिर उन्हें शोध करें। आपको पुराना घटक, या यहां तक कि मैलवेयर मिल सकता है, समस्या पैदा कर रहा है।
बफर ओवरफ्लो पर नोट्स
इससे पहले कि हम आगे भी आगे बढ़ें, हम एक परिणाम कोड को नोट करना चाहते हैं जिसे आप सूची में बहुत कुछ देखना शुरू कर रहे हैं, और अब तक आपके सभी गीक ज्ञान के आधार पर, आप थोड़ा सा फिक्र कर सकते हैं। तो यदि आप सूची में बफरफर ओवरव्लो देखना शुरू करते हैं, तो कृपया यह न मानें कि कोई आपके कंप्यूटर को हैक करने का प्रयास कर रहा है।
अगला पृष्ठ: डेटा मॉनिटर कैप्चर करने वाले डेटा को फ़िल्टर करना
