Process Explorer Не Показывает Сетевую Активность' title='Process Explorer Не Показывает Сетевую Активность' />Process Monitor мониторинг активности процессов. По программе Process Monitor дано уже довольно таки много материала, да и изучение основ функционирования утилиты всегда было доступно даже для неподготовленного пользователя. Но все же, я лично не совсем понимал многие аспекты работы а некоторые не понимаю до сих пор, поэтому и решил набросать очередную заметку по поводу данной, весьма полезной утилиты, дабы впоследствии можно было использовать статью как своего рода подсказку. Если рассматривать любую операционную систему с точки зрения обобщения, то можно условно дифференцировать е на блоки кодаданных, которые взаимодействуют между собой на основе определенных закономерностей. Чтобы приблизиться к привычным нам терминам, будем считать упомянутый блок процессом, объединяющим в себе и код и данные, предназначающимся для решения определенной задачи. Таким образом, взаимодействие между подобными процессами и составляет за некоторым исключением понятие функционирования операционной системы. Во время работы операционной системы, в ней выполняется большое количество процессов и назначение любого из этих процессов может варьироваться в достаточно широком диапазоне. Каждый процесс в операционной системе совокупностью собственных операций и результатов их выполнения, фактически определяет отпечаток активности системы в тот или иной момент времени. Но, как мы знаем из теории, сами процессы являются лишь контейнерами для потоков нитей, которые непосредственно и делают всю вычислительную работу. Process Explorer Не Показывает Сетевую Активность' title='Process Explorer Не Показывает Сетевую Активность' />Понятно, что потоки представляют собой код, набор машинных команд, исполняемых процессором, но это на достаточно низкоуровневом восприятии. Если же оперировать структурами Windows, то потоки все так же содержат машинный код, однако весь функционал операционной системы доступен через обращение к функциям различных системных библиотек и вызовы драйверов, поэтому потоки, помимо простых арифметико логических операций, взаимодействуют с различными подсистемами Windows виртуальной памятью, файловой системой, реестром, аппаратными компонентами и многими другими. Межпроцессное взаимодействие настолько интенсивно, что в каждый момент времени в системе выполняются тысячи подобных операций. Соответственно, в реалиях Windows нам было бы интересно наблюдать взаимодействие процессов именно с определенными компонентами операционной системы на уровне функций и результатов их исполнения, поскольку именно такой уровень активности вполне достаточен для решения большинства задач. Подобная информация была бы нам крайне полезна и с точки зрения чисто исследовательского интереса к изучению алгоритмов, и с точки зрения поиска решения тех или иных проблем, возникающих в процессе работы. Но нам потребуется инструмент, который в состоянии предоставить столь подробную информацию, ведь нам необходимо погрузиться в межпроцессное взаимодействие значительно глубже уровня встроенного инструментария, понять, что конкретно делают процессы. Что то подобное нам предоставляет средство под называнием Process Monitor, принадлежащее к классу инструментов с расширенной функциональностью, и будет темой нашей сегодняшней статьи. Process Monitor программа мониторинга активности процессов в операционной системе, которая в режиме протоколирования операций позволяет отслеживать активность процессов по отношению к таким подсистемам ОС как файловая система, реестр, сеть. Позволяет оценивать количество процессорного времени, расходуемого для выполнения потоков в рамках процессов. Process Monitor выполняется наблюдение в реальном времени для следующих классов событий Файловая система созданиеоткрытиезакрытиечтениезаписьудаление элементов файловой системы файлов, каталогов, атрибутов, содержимого. Реестр созданиечтениезаписьперечислениеудаление элементов реестра ветвей, ключей, значений. Сеть установка соединения, передача данных, закрытие соединения. Информация об источникеприемнике TCPUDP трафика. Общая информация о протоколах, пакетах. Сами передаваемые данные не записываются. Процесспоток Создание процесса, создание потока внутри процесса, завершение потокапроцесса. Использование памяти процесса. Process Explorer не требует инсталляции, это портативная утилита. Rome Total War Моды. Я уже был готов прервать этот процесс, но не нашел ничего. Вы также увидите, что System Idle Process показывает активное. Свидетельство о регистрации СМИ сетевого издания Эл. На ум сразу приходят основные, наиболее вероятные сценарии применения Process Monitor В каких именно ключах реестра та или иная программа хранит свои установки Какие операции совершает процесс при старте, в процессе функционирования и на этапе закрытия Кому принадлежат те или иные файлы Как часто владелец к ним обращаетсяКакой процесс обращается к внешним узлам сети Какой процесс тормозит загрузку операционной системы Process Monitor позволяет получить ответ на вопрос какие действия выполняет тот или иной процесс в системе. Но, в отличии от таких инструментов, как Process Exploer, это не утилита реального времени, позволяющая на ходу взаимодействовать с процессами, закрывать хендлы, убивать процессы и производить другие подобные действия, это скорее глобальный журнал, состоящий из событий, происходящих в операционной системе. Ключевым словом в предыдущем предложении было. Эти, как и некоторые другие, уникальные особенности функционала делают программу Process Monitor практически незаменимым инструментом для устранения неполадок и выяснения причин подозрительной активности в системе. Но не спешите очаровываться, ибо на каждую бочку меда всегда припасена своя ложка дегтя. Так и в случае с Process Monitor имеются некоторые. Не стоит рассматривать Process Monitor в качестве эдакой волшебной палочки выручалочки на все случаи жизни, поскольку. К примеру, он не отследит перемещение указателя мыши, перетаскивание окон, не покажет содержимое пакетов сетевого трафика, не покажет все многообразие вызываемых программой функций, и это далеко не полный перечень тех вещей, которых Process Monitor делать не умеет. Как и в любом деле диагностирования проблем операционной системы, подобный инструментарий предоставляет, грубо говоря, ограниченный набор функций и операций потока, оставляя поле для деятельности и требуя от специалиста самостоятельных выводов и порой достаточно глубоких знаний, которые и составляют основу любого анализа. Я не берусь утверждать, что абсолютно все диагностируемые с помощью Process Monitor проблемы требуют высокого уровня знания архитектуры ОС, но это не такое уж и редкое явление. Пример из дикой природы как то раз попался баг с Outlook 2. Не удается открыть банк сообщений. Отследить данную проблему при помощи утилиты Process Monitor можно, но надо знать, что именно искать в огромном стоге сообщений от процесса Outlook. Для того случая надо было искать флаги WINSRV0. SP1 и RUNASADMIN при считывании ключа App. Compat. Flags, что уже само по себе говорит о том, что порой надо представлять что мы хотим найти. В идеале а идеал недостижим, неплохо бы представлять себе, как именно меняется профиль загружаемой в режиме совместимости программы на уровне генерируемых событий по отношению к типовой загрузке приложения. В конечном итоге надо было понять, почему именно почтовому клиенту не удалось загрузить конфигурацию пользователя. Конечно, возможно именно этот пример не такой уж и показательный, потому как достаточно сложен, и было бы разумнее использовать другие средства, просто я хочу обратить внимание на то, что Process Monitor это не отладчик, и он не может отловить место вызова функции отображения окна с ошибкой, не сможет проникнуть в логику работы той или иной внутренней функции, не покажет состояние регистров, областей памяти и прочих важных для процесса структур.