ใช้การตรวจสอบกระบวนการเพื่อแก้ไขปัญหาและค้นหา Hacks รีจิสทรี

ใน Geek School ฉบับวันนี้เราจะสอนวิธีการใช้ Process Monitor เพื่อทำการแก้ไขปัญหาและค้นหาแฮ็กรีจิสทรีที่คุณไม่ทราบเป็นอย่างอื่น.

1. เครื่องมือ SysInternals คืออะไรและคุณใช้งานอย่างไร?
2. ทำความเข้าใจกับ Process Explorer
3. ใช้ Process Explorer เพื่อแก้ไขปัญหาและวินิจฉัย
4. ทำความเข้าใจเกี่ยวกับการตรวจสอบกระบวนการ
5. ใช้การตรวจสอบกระบวนการเพื่อแก้ไขปัญหาและค้นหา Hacks รีจิสทรี
6. ใช้การทำงานอัตโนมัติเพื่อจัดการกับกระบวนการเริ่มต้นและมัลแวร์
7. ใช้ BgInfo เพื่อแสดงข้อมูลระบบบนเดสก์ท็อป
8. การใช้ PsTools เพื่อควบคุมพีซีเครื่องอื่นจาก Command Line
9. การวิเคราะห์และจัดการไฟล์โฟลเดอร์และไดรฟ์ของคุณ
10. การรวมและใช้เครื่องมือเข้าด้วยกัน

การตรวจสอบกระบวนการเป็นหนึ่งในเครื่องมือที่น่าประทับใจที่สุดที่คุณมีในชุดเครื่องมือของคุณเนื่องจากแทบไม่มีวิธีอื่นใดที่จะเห็นว่าแอปพลิเคชันทำอะไรอยู่ภายใต้ประทุน เป็นวิธีเดียวที่จะรู้ว่าไฟล์ใดที่ถูกเขียนไปตามกระบวนการและสถานที่ใดที่เก็บไว้ในรีจิสตรีและไฟล์ใดบ้างที่เข้าถึงไฟล์เหล่านั้น.

เราจะเริ่มด้วยบทเรียนของวันนี้โดยดูที่วิธีค้นหารีจิสตรีคีย์โดยใช้กล่องโต้ตอบการตั้งค่า Windows และการตรวจสอบกระบวนการและจากนั้นเราจะผ่านสถานการณ์การแก้ไขปัญหาจริงที่เราพบในคอมพิวเตอร์เครื่องหนึ่งในห้องแล็บ ใช้การตรวจสอบกระบวนการ.

ใช้ Process Explorer เพื่อค้นหาคีย์รีจิสทรีสำหรับการตั้งค่าทั่วไป

ทุกคนได้คลิกที่ช่องทำเครื่องหมายหรือเปลี่ยนค่าของกล่องแบบหล่นลงในบางจุด แต่คุณเคยสงสัยหรือไม่ว่าค่าเหล่านั้นถูกเก็บไว้ที่ใด? แอปพลิเคชั่นมากมายและทุกอย่างใน Windows จะถูกจัดเก็บไว้ใน Registry …บางแห่ง.

ตัวอย่างของวันนี้เราจะใช้ตัวเลือกแรกในบานหน้าต่างแรกของแถบงานและคุณสมบัติการนำทางซึ่งเป็นกล่องโต้ตอบที่ควรมีอยู่ใน Windows ทุกรุ่น ดังนั้นตอนนี้ภารกิจของเราคือค้นหาว่าการตั้งค่านั้นถูกเก็บไว้ที่ไหนในรีจิสทรี คุณสามารถติดตามพร้อมกับการตั้งค่านี้โดยเฉพาะหรือคุณสามารถลองการตั้งค่าอื่น ๆ ในกล่องโต้ตอบเดียวกัน - หรือที่อื่นที่คุณต้องการค้นหาตำแหน่งการตั้งค่าที่ซ่อนอยู่สำหรับ.

สิ่งแรกที่คุณต้องทำเมื่อใดก็ตามที่พยายามจับชุดข้อมูลคือเรียกใช้การตรวจสอบกระบวนการแล้วเปลี่ยนการตั้งค่า ณ จุดนี้คุณสามารถหยุด Process Monitor ไม่ให้ดำเนินการต่อเพื่อจับภาพเหตุการณ์ดังนั้นรายการจึงไม่สามารถควบคุมได้ (คำแนะนำ: เมนูไฟล์มีตัวเลือกหรือเป็นไอคอนที่สามจากด้านซ้าย).

ตอนนี้เรามีข้อมูลมากมายในรายการถึงเวลากรองรายการเพื่อลดจำนวนแถวที่เราจะต้องตรวจสอบ เนื่องจากเรากำลังดูค่ารีจิสตรีที่มีการเปลี่ยนแปลงเราจะต้องกรองตาม“ RegSetValue” ซึ่งเป็นสิ่งที่ Windows ใช้เพื่อตั้งค่ารีจิสตรีคีย์ให้เป็นการตั้งค่าใหม่ ใช้ตัวเลือก“ รวม” เพื่อแสดง เท่านั้น เหตุการณ์เหล่านั้น.

รายการของคุณควรถูก จำกัด เพียงแค่รีจิสตรีคีย์ที่มีการเปลี่ยนแปลงดังนั้นจึงถึงเวลาที่จะดูเหตุการณ์และลองคิดดูว่าควรใช้รีจิสตรีคีย์ใด เนื่องจากเรากำลังตรวจสอบการตั้งค่า“ ล็อกแถบงาน” และหนึ่งในรีจิสตรีคีย์ที่มีการตั้งค่ามีคำว่า“ แถบงาน” ในชื่อนั่นเป็นจุดเริ่มต้นที่ดี คลิกขวาบนเส้นทางแล้วเลือกข้ามไปยังตำแหน่ง.

การตรวจสอบกระบวนการจะเปิดตัวแก้ไขรีจิสทรีและไฮไลต์คีย์ในรายการ ตอนนี้เราต้องทำให้แน่ใจว่านี่เป็นกุญแจสำคัญที่ถูกต้องซึ่งง่ายต่อการเข้าใจ ดูที่การตั้งค่าแล้วดูที่ปุ่ม ขณะนี้การตั้งค่าเปิดอยู่และคีย์ถูกตั้งค่าเป็น 0.

ดังนั้นเปลี่ยนการตั้งค่ากด Apply ในกล่องโต้ตอบจากนั้นใช้ปุ่ม F5 เพื่อรีเฟรชหน้าต่าง Registry Editor ในกรณีของเราเราเลือกการตั้งค่าที่ถูกต้องแน่นอนดังนั้นตอนนี้คุณสามารถเห็นได้ว่าค่า TaskbarSizeMove ถูกตั้งค่าเป็น 1.

หากคุณไม่ได้เลือกค่าที่เหมาะสมคุณจะไม่เห็นการเปลี่ยนแปลงเมื่อคุณทำการทดสอบการตั้งค่าอีกครั้ง ลองไปหาตรรกะตัวถัดไปแล้วเริ่มใหม่.

การแก้ไขปัญหาเกี่ยวกับการตรวจสอบกระบวนการ

มันเป็นไปไม่ได้จริงๆที่จะอธิบายในบทความเดียวว่าจะแก้ไขปัญหาใด ๆ กับ Process Monitor หรือเครื่องมืออื่น ๆ สำหรับเรื่องนั้นได้อย่างไร มีวิธีการรวมกันของปัญหามากเกินไปที่อาจผิดพลาดได้.

อย่างไรก็ตามสิ่งที่เราสามารถทำได้คือแสดงให้เห็นว่าเราใช้ Process Monitor เพื่อแก้ไขปัญหาจริงที่เกิดขึ้นกับคอมพิวเตอร์ทดสอบเครื่องใดเครื่องหนึ่งของเรา เราได้ทำการติดตั้ง crapware แล้วจึงตัดสินใจลองทำความสะอาดคอมพิวเตอร์ ปัญหาคือรายการในแผงการถอนการติดตั้งโปรแกรมที่จะไม่หายไป.

หน้าถัดไป: การแก้ไขปัญหาเกี่ยวกับการตรวจสอบกระบวนการ