Как запустить process monitor windows 10

Process Monitor – это фирменная утилита от Microsoft для ОС Windows, позволяющая в режиме реального времени отследить активность любой программы или приложения, установленного на компьютере. Грубо говоря, Process Monitor отвечает на вопросы: как узнать, что делает та или иная программа при установке, запуске, работе, удалении, какие записи вносит в системный реестр Windows, как используется интернет-соединение, и многие другие. Однако, при первом знакомстве с этой утилитой многие пользователи не сразу поймут, как же работать с программой Process Monitor, поэтому далее вкратце рассмотрим основные моменты.

И так, скачать последнюю версию Process Monitor вы можете с нашего сайта. Скачав, и запустив утилиту, в главном окне программы мы увидим примерно следующее.

Несмотря на отсутствие русского интерфейса Process Monitor, найти то что нужно, используя эту утилиту, не составит особого труда, а всё благодаря простой и интуитивно понятной системе фильтрации.

Далее рассмотрим работу программы (как работают фильтры в Process Monitor) на примере.

Допустим, что нам требуется узнать о том, что делает то или иное приложение на нашем компьютере, к примеру браузер Google Chrome.

Для начала нам необходимо знать имя исследуемого процесса, в нашем примере это chrome.exe. Дальше алгоритм действий следующий: используя контекстное меню программы (Filter) или сочетание клавиш (Ctrl+L) открываем Process Monitor Filter (окно на скриншоте ниже).

Здесь мы видим, что по умолчанию в программе уже задействован ряд фильтров, исключающих из общего списка (отображены в главном окне программы) различного рода системные процессы, в которых нет необходимости для анализа априори.

В примере мы создадим свой собственный фильтр (по имени процесса) с целью найти и отследить только то, что касается браузера Google Chrome (файлы, записи в системном реестре, сетевая активность и т.д.).

В первом выпадающем списке выбираем «Process Name» (по умолчанию там «Architecture»).

Во втором случае оставляем «is», т.е. мы включаем значение в поиск, а далее выбираем сам процесс «chrome.exe», при условии, что браузер уже запущен (если мы ходим отследить, что делает та или иная программа до запуска, то название процесса в это поле необходимо вводить вручную).

В четвёртом поле также оставляем значение по умолчанию «Include» (это позволит отображать в общем потоке, только интересующий нас процесс). Для добавления фильтра нажимаем «Add».

Нажимаем «Apply» и «OK».

И сразу же видим всю детальную информацию именно по процессу «chrome.exe»: ID процесса, потока, обращения к файлам, системному реестру Windows и т.д.

Нажав зелёную стрелочку в меню программы, можно сразу же перейти к месту расположения любого файла или ключа реестра из списка.

Если у вас имеются вопросы, или возникли проблемы в процессе работы с Process Monitor, то рекомендуем посетить официальный форум разработчика (Sysinternals), посвященный этой программе.

Дата: 2015-12-01 | Размещено в Статьи

Для диагностики причин медленной загрузки ОС Windows существует ряд довольно мощных утилит и методик анализа журналов событий, позволяющих выполнить детальную отладку всех этапов процесса загрузки системы и запуска служб (xperf/xbootmgr из Windows Performance Toolkit / Analyzer). Но их использование может вызвать ряд трудностей, особенно для начинающего системного администратора. В этой статье мы покажем, как с помощью Process Monitor можно довольно просто и быстро определить, какие программы, службы и драйвера долго выполняются при старте системы, увеличивая тем самым общее время загрузки для пользователя.

Безусловно, всем системным администраторам Windows, должна быть знакома утилита Process Monitor из комплекта системных утилит Sysinternals. Утилита Process Monitor позволяет в реальном времени отслеживать активность запущенных процессов, обращения к файловой системе и реестру. Одной из малоизвестной функцией Process Monitor является возможность включения режима мониторинга процессов запускаемых во время загрузки Windows.

Для диагностики этапа загрузки, Process Monitor создает отдельную службу в разделе реестра HKLMSYSTEMCurrentControlSetServices. Данная служба загружает драйвер режима загрузки procmon23.sys, стартующий после запуска Winload.exe, который протоколирует активность всех, процессов выполняющихся во время запуска системы и входа пользователя.

1. Скачайте и распакуйте архив с Process Monitor (http://download.sysinternals.com/files/ProcessMonitor.zip)
2. Запустите с правами администратора файл procmon.exe
3. В меню Options выберите пункт Enable Boot Logging
4. В появившемся окне выберите опцию Generate thread profiling events -> Every second. В этом режиме драйвер procmon будет перехватывать состояние всех процессов каждую секунду
5. Перезагрузите компьютер и дождитесь появления рабочего стола
6. Драйвер procmon23.sys будет записывать все события до тех пор, пока пользователь не запустит утилиту Process Monitor . После этого режим протоколирования загрузки отключается.
7. В окне Process Monitor соглашаемся с предложение сохранить собранные данные в файл.

   Примечание. Если не остановить работу Process Monitor, то временный файл журнала %windir%procmon.pmb со временем займет все свободное место на системном диске.

8. Выберите каталог, в котором нужно сохранить файл и дождётесь его сохранения. В моем случае в целевом каталоге появилось три файла Bootlog .pml, Bootlog-1.pml и Bootlog-2.pml общим размером 700 Мб.
9. Щелкните по заголовку таблицы в окне ProcMon, выберите Select Columns и включите отображение столбца Duration
10. Создадим новый фильтр в меню Filter.
11. В качестве параметра фильтрации укажем Duration, условие more than и значение 10. Нажмите кнопку Add и ОК.
12. Таким образом, в списке процессов окажутся только те процессы, у которых на выполнение некоторых операций ушло больше 10 секунд (10 секунд я выбрал для большей наглядности примера).
13. Также для анализа процесса загрузки можно воспользоваться функцией в меню Tools ->Process Tree, позволяющей отобразить все процессы в виде графического дерева с информацией о начале, завершении и длительности процесса.

Осталось проанализировать полученный список процессов (в случае необходимости можно провести дальнейший анализ проблемного процесса, включив фильтр по имени исполняемого файла), соотнести процессы со службами, программами и драйверами и провести оптимизацию системы.

Как правило, этот анализ поможет выявить «тормозящие» процессы, засевший в системе троян (в первую очередь нужно анализировать дочерние процессы Winlogon.exe), принять решение о необходимости удалить/обновить проблемное ПО или драйвер устройства, отключить некоторые службы или изменить тип их запуска (отложенный запуск или ручной по запросу), убрать программы из автозагрузки. Чаще всего в этом списке оказываются антивирусы и другое «тяжелое» ПО.

Серия уроков по пакету утилит SysInternals

1. Что такое инструменты SysInternals и как их использовать?

2. Знакомство с Process Explorer

3. Использование Process Explorer для устранения неполадок и диагностики

4. Понимание Process Monitor

5. Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра

6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО

В этом уроке мы собираемся научить вас, как утилита Process Monitor позволяет заглянуть под капот и увидеть, что ваши любимые приложения действительно делают за кулисами — к каким файлам они обращаются, какие ключи реестра меняют или считывают и многое другое.

В отличие от утилиты Process Explorer, с которой мы познакомились в предыдущих частях, Process Monitor предназначен для пассивного наблюдения за всем, что происходит на вашем компьютере, а не для активных действий, таких как завершение процессов или закрытие дескрипторов. Это похоже на просмотр глобального файла журнала для каждого отдельного события, которое происходит на вашем ПК с Windows.

Хотите понять, в каких разделах реестра ваше любимое приложение на самом деле хранит свои настройки? Хотите узнать, к каким файлам обращается служба и как часто? Хотите узнать, когда приложение подключается к сети или открывает новый процесс? На помощь приходит Process Monitor.

Если вы когда-нибудь задумывались, как какой-нибудь компьютерщик обнаружил секретный ключ реестра системы, который никто никогда раньше не знал, то, вероятно, это было сделано с помощью Process Monitor.

Утилита Process Monitor была создана путём объединения двух разных старых утилит, Filemon и Regmon, которые, как следует из их названий, использовались для мониторинга файлов и активности реестра. Хотя эти утилиты все ещё доступны, и хотя они могут соответствовать вашим конкретным потребностям, вам будет намного лучше с Process Monitor, потому что он может лучше обрабатывать большой объем событий из-за того, что он был разработан для этого.

Также стоит отметить, что Process Monitor всегда требует режима администратора, потому что под капотом он загружает драйвер ядра для захвата всех этих событий. В Windows Vista и более поздних версиях вам будет предложено диалоговое окно UAC, но для XP или 2003 вам нужно будет убедиться, что используемая вами учётная запись имеет права администратора.

Process Monitor собирает массу данных, но не всё, что происходит на вашем компьютере. Например, Process Monitor не заботится о том, перемещаете ли вы указатель мыши, и он не знает, оптимально ли работают ваши драйверы. Он не будет отслеживать, какие процессы открыты и расходуют ресурсы ЦП на вашем компьютере — в конце концов, это задача Process Explorer.

Что он делает, так это фиксирует определённые типы операций ввода-вывода, независимо от того, происходят ли они через файловую систему, реестр или даже сеть. Он также будет отслеживать несколько других событий в ограниченном режиме. Этот список охватывает события, которые он фиксирует:

• Реестр — это может быть создание ключей, их чтение, удаление или запрос. Вы будете удивлены, насколько часто это происходит.
• Файловая система — это может быть создание, запись, удаление файлов и т.д., и это может быть как для локальных жёстких дисков, так и для сетевых дисков.
• Сеть — покажет источник и назначение TCP/UDP-трафика, но, к сожалению, не показывает данные, что делает его немного менее полезным.
• Процесс — это события для процессов и потоков, в которых процесс запускается, поток запускается или завершается, и т. Д. Это может быть полезной информацией в определенных случаях, но часто это то, что вам нужно вместо этого просмотреть в Process Explorer.
• Профилирование — эти события фиксируются Process Monitor для проверки количества процессорного времени, используемого каждым процессом, и использования памяти. Опять же, вы, вероятно, захотите использовать Process Explorer для отслеживания этих вещей большую часть времени, но здесь он пригодится, если вам это нужно.

Таким образом, Process Monitor может фиксировать любой тип операций ввода-вывода, независимо от того, происходит ли это через реестр, файловую систему или даже сеть, хотя фактические записываемые данные не фиксируются. Мы просто смотрим на тот факт, что процесс выполняет запись в один из этих потоков, чтобы позже мы могли больше узнать о том, что происходит.

Как запустить Process Monitor

Если вы скачали весь пакет SysInternals, то запустите файл Procmon64.exe или Procmon.exe — для 64-битных и 32-битных систем соответственно.

Как уже было сказано, у вас должны быть права администратора.

Интерфейс монитора процесса

Когда вы впервые загрузите интерфейс Process Monitor, вам будет представлено огромное количество строк данных, которые быстро прибывают, и это может быть ошеломляющим. Главное — иметь хоть какое-то представление о том, на что вы смотрите, а также о том, что ищете. За довольно короткое время там могут набраться миллионы строк.

Первое, что вам нужно сделать, это отфильтровать эти миллионы строк до гораздо меньшего подмножества данных, которое вы хотите видеть, и мы собираемся научить вас создавать фильтры и сосредоточиться на том, что вы хотите найти. Но сначала вы должны понять интерфейс и какие данные на самом деле доступны.

Столбцы Process Monitor

Столбцы, которые присутствуют по умолчанию в интерфейсе Process Monitor, содержат массу полезной информации, но вам определённо понадобится некоторый контекст, чтобы понять, какие данные на самом деле содержит каждый, потому что некоторые из них могут выглядеть так, как будто произошло что-то плохое, когда они действительно невинные события, которые происходят все время когда работает операционная система. Вот для чего используется каждый из столбцов по умолчанию:

• Time — Время — этот столбец не требует пояснений, он показывает точное время, когда произошло событие.
• Process Name — Имя процесса — процесс, создавшый событие. По умолчанию здесь не отображается полный путь к файлу, но если вы наведёте курсор на поле, вы сможете точно увидеть, какой это был процесс.
• PID — ИД процесса — идентификатор процесса, создавшего событие. Это очень полезно, если вы пытаетесь понять, какой процесс svchost.exe сгенерировал событие. Это также отличный способ изолировать один процесс для мониторинга, если он не запускается повторно.
• Operation — Операция — это имя операции, которая регистрируется, и есть значок, который соответствует одному из типов событий (реестр, файл, сеть, процесс). Названия RegQueryKey или WriteFile могут немного сбить с толку, но мы постараемся помочь вам разобраться.
• Path — Путь — это не путь процесса, это путь к тому, над чем работало это событие. Например, если произошло событие WriteFile, в этом поле будет отображаться имя файла или папки с которыми был обмен данных. Если бы это было событие реестра, он бы показал полный доступ к ключу.
• Result — Результат — показывает результат операции, который имеет код SUCCESS (успех) или ACCESS DENIED (доступ запрещён). Хотя у вас может возникнуть соблазн интуитивно предположить, что BUFFER TOO SMALL (СЛИШКОМ МАЛЕНЬКИЙ БУФЕР) означает, что произошло что-то действительно плохое, в большинстве случаев это не так.
• Detail — Подробности — дополнительная информация, которая часто не используется в обычном мире устранения неполадок.

Вы также можете добавить несколько дополнительных столбцов к отображению по умолчанию, выбрав Options → Select Columns. Это не является первостепенной необходимостью при знакомстве с программой, но, поскольку мы объясняем столбцы, об этом стоит упомянуть.

Одна из причин для добавления дополнительных столбцов к отображению заключается в том, что вы можете очень быстро отфильтровать эти события, не перегружаясь данными. Вот несколько дополнительных столбцов, которые мы используем, но в зависимости от ситуации вы можете найти применение и другим столбцам в списке.

• Command Line — Строка команды — хотя вы можете дважды щёлкнуть любое событие, чтобы увидеть аргументы командной строки для процесса, который сгенерировал каждое событие, может быть полезно быстро просмотреть все параметры.
• Company Name — Название компании — основная причина, по которой этот столбец полезен, заключается в том, что вы можете просто быстро исключить все события Microsoft и сузить свой мониторинг до всего остального, что не является частью Windows. (Вы должны убедиться, что у вас нет каких-либо странных процессов rundll32.exe, запущенных с помощью Process Explorer, поскольку они могут скрывать вредоносные программы).
• Parent PID — Родительский PID — это может быть очень полезно при устранении неполадок в процессе, который содержит множество дочерних процессов, таких как веб-браузер или приложение, которое продолжает запускать отрывочные вещи как другой процесс. Затем вы можете отфильтровать по родительскому PID, чтобы убедиться, что вы захватываете их всех.

Стоит отметить, что вы можете фильтровать данные столбца, даже если столбец не отображается, но гораздо проще щёлкнуть правой кнопкой мыши и отфильтровать, чем делать это вручную. И да, мы снова упомянули фильтры, хотя ещё не объяснили их.

Изучение отдельного события

Просмотр объектов в списке — отличный способ быстро увидеть множество разных точек данных одновременно, но это определённо не самый простой способ изучить отдельный фрагмент данных, а в списке так много информации. К счастью, вы можете дважды щёлкнуть любое событие, чтобы получить доступ к сокровищнице дополнительной информации.

Вкладка Event («Событие») по умолчанию даёт вам информацию, которая во многом похожа на то, что вы видели в списке, но добавит немного больше информации о вечеринке. Если вы просматриваете событие файловой системы, вы сможете увидеть определённую информацию, такую как атрибуты, время создания файла, попытки доступа во время операции записи, количество записанных байтов и продолжительность.

Переключение на вкладку Process («Процесс») даёт вам много полезной информации о процессе, создавшем событие. Хотя обычно Process Explorer используется для работы с процессами, может быть очень полезно иметь много информации о конкретном процессе, который сгенерировал конкретное событие, особенно если это что-то, что произошло очень быстро, а затем исчезло из списка процессов. Таким образом и собираются данные.

Вкладка Stack («Стек») иногда бывает чрезвычайно нужной, но часто бывает совсем неполезной. Причина, по которой вам следует взглянуть на стек, заключается в том, что для устранения неполадок вы работаете со вкладкой Module («Модуль») на предмет чего-либо, что выглядит не совсем правильно.

В качестве примера представьте, что процесс постоянно пытается запросить или получить доступ к файлу, которого не существует, но вы не знаете почему. Вы можете просмотреть вкладку Stack и посмотреть, есть ли какие-либо модули, которые выглядят некорректно, а затем изучить их. Вы можете обнаружить, что проблема связана с устаревшим компонентом или даже вредоносным ПО.

Или вы можете обнаружить, что здесь нет ничего полезного для вас, и это тоже нормально. Есть много других данных, на которые стоит обратить внимание.

Замечания о переполнении буфера

Прежде чем мы продолжим, мы хотим отметить код результата, который вы будете часто видеть в списке, и, исходя из всех ваших знаний, вы можете немного испугаться. Поэтому, если вы начнёте видеть в списке BUFFER OVERFLOW (ПЕРЕПОЛНЕНИЕ БУФЕРА), не думайте, что кто-то пытается взломать ваш компьютер.

Переполнение буфера

Хотя да, многие хакеры и создатели вредоносных программ используют уязвимость переполнения буфера для удалённого или локального взлома компонента и получения дополнительного доступа, это сообщение об ошибке фактически встроено в Windows API и означает полную противоположность.

Примечание: представьте себе буфер, похожий на коробку шоколадных батончиков возле кассы в продуктовом магазине. Люди продолжают покупать их, и когда в коробке заканчивается, магазин снова наполняет её.

В идеале они не будут ждать, пока коробка опустеет, потому что это расстроит клиентов, и они также в идеале не будут бегать назад каждый раз, когда клиент покупает одну шоколадку, потому что это было бы пустой тратой время. Это буфер и предназначен для предотвращения задержек.

Сообщение BUFFER OVERFLOW в Windows API и, в частности, в Process Monitor, на самом деле означает, что клиентское приложение запросило данные, но не имело достаточно большой корзины для хранения всех данных. Таким образом, сервер отвечает, чтобы сообщить клиенту, что ему нужна большая корзина.

В примере для снимка экрана выше приложение запросило в реестре конкретное значение, но приказало Windows API поместить результат в место в памяти, которое было слишком маленьким для размещения всех этих данных. Таким образом, Windows вернула сообщение, чтобы приложение знало, что им нужно место побольше, чтобы разместить все данные. Вот и все.

Переход к пути к данным события

Вся эта информация действительно хороша, но никто не хочет исследовать, вручную просматривая каждое место в списке. К счастью, вы можете щёлкнуть правой кнопкой мыши поле Path («Путь») для элемента и использовать опцию Jump To («Перейти к»), чтобы быстро получить доступ к этим данным, чтобы увидеть, что они содержат, и попытаться выяснить, почему приложение вообще запрашивает эти данные.

Примечание. Вы также можете использовать функцию Search Online (поиск в Интернете), чтобы быстро найти имя процесса, путь в реестре или любое другое поле, что может быть действительно полезно, когда вы не понимаете, для чего что-то используется.

В приведённом выше примере вы можете видеть, что приложение, которое мы отслеживали, пыталось просмотреть значение реестра, поэтому мы использовали функцию Jump To, и Process Monitor сразу же открыл редактор реестра, в котором уже найден этот ключ.

Итак, теперь мы знаем, что приложение пытается выяснить, где находится моя папка appdata, и мы знаем, какая это была папка… что помогает объяснить, что происходит.

В данном случае приложение представляло собой поисковую вредоносную программу Conduit, которая искала мою пользовательскую папку, запрашивая регистрацию, чтобы начать возиться с файлами и папками в моем профиле Google Chrome.

Фильтрация данных, которые собирает Process Monitor

Как мы уже упоминали пару раз, фильтры, которые предоставляет Process Monitor, позволяют вам точно контролировать, какие события вы собираетесь захватывать, что значительно упрощает вам работу по выяснению того, что важно в списке. Если вы знаете, что вас не интересуют все события, генерируемые, например, explorer.exe, то было бы разумно просто отфильтровать их, удалив из списка.

Вы можете очень быстро выполнить фильтрацию по любому столбцу, используя контекстное меню и функции Include («Включить») или Exclude («Исключить») — если вы включите элемент, список будет содержать только события, соответствующие этому конкретному элементу или любым другим, которые вы специально включили, но не будут содержать что-нибудь ещё. Если вы исключите элемент, будет отображаться всё, кроме событий, которые соответствуют конкретному элементу, который вы исключили.

В этом случае мы решили включить процесс cltmng.exe, и теперь все, что мы видим в списке, связано с этим процессом.

Вы также можете использовать опцию Edit Filter («Редактировать фильтр») в меню или получить доступ к разделу Filters («Фильтры») меню, чтобы отобразить список фильтров и отредактировать их. Вы можете выбрать из раскрывающихся диалоговых окон и сопоставить по любому из доступных полей, выбрать, будет ли значение, которое вы вводите в поле, совпадать точно, или просто «начинается с», или ряд других параметров. Затем вы можете выбрать, включать или исключать события, соответствующие этим критериям.

Только не забудьте нажать кнопку Add («Добавить») после того, как вы определили фильтр, и прежде чем нажимать «ОК» или Apply («Применить»), потому что в противном случае ваш новый фильтр фактически не будет активирован. Поверьте, это частая ошибка!

Вы также можете удалить или отредактировать фильтры, выбрав их в списке, а затем изменив или удалив их.

Слишком много данных? Попробуйте удалить отфильтрованные события

Если вы точно знаете, что у вас правильные фильтры, чтобы смотреть только на то, что вы действительно хотите видеть, вы можете рассмотреть возможность использования функции Filter -> Drop Filtered Events (Отбросить отфильтрованные события).

На самом деле здесь происходит то, что экземпляр Process Monitor показывает только те элементы, которые соответствуют фильтру, но все остальное по-прежнему фиксируется в фоновом режиме, что может быть ТОННОЙ данных за очень короткое время — обратите внимание на строку состояния в приведённом ниже примере мы работали всего несколько минут. Если бы у нас была включена опция Drop Filtered Events («Отбрасывать отфильтрованные события»), она захватывала бы только те события, которые нам нужны.

Однако у использования этой функции есть большой недостаток: вы не сможете вернуть эти отфильтрованные события, если поняли, что отфильтровали список слишком сильно, и захотели изучить события из другого процесса. Вам придётся переделывать весь сценарий, что может быть слишком поздно. Поэтому используйте эту опцию с осторожностью.

Сохранение дампов для последующего анализа

И последнее, о чем мы поговорим сегодня, — это функция Open / Save («Открыть / Сохранить»), которую мы обычно не выделяем в других приложениях, но в данном случае это действительно важно.

Представьте, что вы работаете на чьём-то действительно старом и паршивом компьютере и хотите диагностировать конкретную проблему, но компьютер просто работает слишком медленно, чтобы сидеть на нем и все время заниматься этим. Вы можете просто запустить сканирование Process Monitor на их компьютере, сохранить данные на флэш-накопитель, а затем загрузить Process Monitor на свой невероятно быстрый персональный ноутбук и приступить к работе, анализируя, что могло произойти. Вы даже можете пойти в кофейню и проанализировать оттуда.

И, конечно же, вы также можете удалённо попросить запустить Process Monitor, выполнить сканирование, сохранить файл и отправить его вам для анализа. Таким образом вы можете сделать работу удалённо.

Следующий урок

В следующем уроке мы соберём воедино все полученные знания и покажем, как использовать Process Monitor в реальном мире для выполнения забавных и интересных вещей.

По программе Process Monitor дано уже довольно-таки много материала, да и изучение основ функционирования утилиты всегда было доступно даже для неподготовленного пользователя. Но все же, я лично не совсем понимал многие аспекты работы (а некоторые не понимаю до сих пор :), поэтому и решил набросать очередную заметку по поводу данной, весьма полезной утилиты, дабы впоследствии можно было использовать статью как своего рода подсказку. Если рассматривать любую операционную систему с точки зрения обобщения, то можно условно дифференцировать её на блоки кода/данных, которые взаимодействуют между собой на основе определенных закономерностей. Чтобы приблизиться к привычным нам терминам, будем считать упомянутый блок процессом, объединяющим в себе и код и данные, предназначающимся для решения определенной задачи. Таким образом, взаимодействие между подобными процессами и составляет (за некоторым исключением) понятие функционирования операционной системы. Во время работы операционной системы, в ней выполняется большое количество процессов и назначение любого из этих процессов может варьироваться в достаточно широком диапазоне.

Каждый процесс в операционной системе совокупностью собственных операций и результатов их выполнения, фактически определяет отпечаток активности системы в тот или иной момент времени. Но, как мы знаем из теории, сами процессы являются лишь контейнерами для потоков (нитей), которые непосредственно и делают всю вычислительную работу. Понятно, что потоки представляют собой код, набор машинных команд, исполняемых процессором, но это на достаточно низкоуровневом восприятии. Если же оперировать структурами Windows, то потоки все так же содержат машинный код, однако весь функционал операционной системы доступен через обращение к функциям различных системных библиотек и вызовы драйверов, поэтому потоки, помимо простых арифметико-логических операций, взаимодействуют с различными подсистемами Windows: виртуальной памятью, файловой системой, реестром, аппаратными компонентами и многими другими. Межпроцессное взаимодействие настолько интенсивно, что в каждый момент времени в системе выполняются тысячи подобных операций. Соответственно, в реалиях Windows нам было бы интересно наблюдать взаимодействие процессов именно с определенными компонентами операционной системы на уровне функций и результатов их исполнения, поскольку именно такой уровень активности вполне достаточен для решения большинства задач. Подобная информация была бы нам крайне полезна и с точки зрения чисто исследовательского интереса к изучению алгоритмов, и с точки зрения поиска решения тех или иных проблем, возникающих в процессе работы. Но нам потребуется инструмент, который в состоянии предоставить столь подробную информацию, ведь нам необходимо погрузиться в межпроцессное взаимодействие значительно глубже уровня встроенного инструментария, понять, что конкретно делают процессы. Что-то подобное нам предоставляет средство под называнием Process Monitor, принадлежащее к классу инструментов с расширенной функциональностью, и будет темой нашей сегодняшней статьи.
Process Monitor — программа мониторинга активности процессов в операционной системе, которая в режиме протоколирования операций позволяет отслеживать активность процессов по отношению к таким подсистемам ОС как файловая система, реестр, сеть. Позволяет оценивать количество процессорного времени, расходуемого для выполнения потоков в рамках процессов.
Process Monitor выполняется наблюдение в реальном времени для следующих классов событий:

• Файловая система: создание(открытие)/закрытие/чтение/запись/удаление элементов файловой системы: файлов, каталогов, атрибутов, содержимого.
• Реестр: создание/чтение/запись/перечисление/удаление элементов реестра: ветвей, ключей, значений.
• Сеть: установка соединения, передача данных, закрытие соединения. Информация об источнике/приемнике TCP/UDP трафика. Общая информация о протоколах, пакетах. Сами передаваемые данные не записываются.
• Процесс/поток: Создание процесса, создание потока внутри процесса, завершение потока/процесса. детальная информация о процессе (путь, командная строка, ID пользователя/сессии), запуск/завершение, загрузка образов (библиотеки/драйвера), стек выполнения.
• Профилирование: Специальный класс событий, записываемых с целью отслеживания количества процессорного времени, затрачиваемого каждым процессом. Использование памяти процесса.

На ум сразу приходят основные, наиболее вероятные сценарии применения Process Monitor:

• В каких именно ключах реестра та или иная программа хранит свои установки?
• Какие операции совершает процесс при старте, в процессе функционирования и на этапе закрытия?
• Кому принадлежат те или иные файлы? Как часто владелец к ним обращается?
• Какой процесс обращается к внешним узлам сети?
• Какой процесс тормозит загрузку операционной системы?

Process Monitor позволяет получить ответ на вопрос: какие действия выполняет тот или иной процесс в системе.

Но, в отличии от таких инструментов, как Process Exploer, это не утилита реального времени, позволяющая на ходу взаимодействовать с процессами, закрывать хендлы, убивать процессы и производить другие подобные действия, это скорее глобальный журнал, состоящий из событий, происходящих в операционной системе. Ключевым словом в предыдущем предложении было «подробный», потому как имеются в виду не те события, которые мы привыкли видеть, к примеру, в Журнале событий, а более низкоуровневые, происходящие на заданного набора функций API некоторых компонентов ОС. Эти, как и некоторые другие, уникальные особенности функционала делают программу Process Monitor практически незаменимым инструментом для устранения неполадок и выяснения причин подозрительной активности в системе.
Но не спешите очаровываться, ибо на каждую бочку меда всегда припасена своя ложка дегтя. Так и в случае с Process Monitor имеются некоторые «нюансы». Не стоит рассматривать Process Monitor в качестве эдакой волшебной палочки-выручалочки на все случаи жизни, поскольку «видит» он далеко не все. К примеру, он не отследит перемещение указателя мыши, перетаскивание окон, не покажет содержимое пакетов сетевого трафика, не покажет все многообразие вызываемых программой функций, и это далеко не полный перечень тех вещей, которых Process Monitor делать не умеет. Как и в любом деле диагностирования проблем операционной системы, подобный инструментарий предоставляет, грубо говоря, ограниченный набор функций и операций потока, оставляя поле для деятельности и требуя от специалиста самостоятельных выводов и порой достаточно глубоких знаний, которые и составляют основу любого анализа. Я не берусь утверждать, что абсолютно все диагностируемые с помощью Process Monitor проблемы требуют высокого уровня знания архитектуры ОС, но это не такое уж и редкое явление. Пример из дикой природы: как-то раз попался баг с Outlook 2010, когда в свойствах программы outlook.exe были выставлены опции совместимости, которые препятствовали запуску программы со стартовой ошибкой «Невозможно открыть почтовые папки, используемые по умолчанию. Не удается открыть банк сообщений». Отследить данную проблему при помощи утилиты Process Monitor можно, но надо знать, что именно искать в огромном стоге сообщений от процесса Outlook. Для того случая надо было искать флаги WINSRV08SP1 и RUNASADMIN при считывании ключа AppCompatFlags, что уже само по себе говорит о том, что порой надо представлять что мы хотим найти. В идеале (а идеал недостижим), неплохо бы представлять себе, как именно меняется профиль загружаемой в режиме совместимости программы на уровне генерируемых событий по отношению к типовой загрузке приложения. В конечном итоге надо было понять, почему именно почтовому клиенту не удалось загрузить конфигурацию пользователя. Конечно, возможно именно этот пример не такой уж и показательный, потому как достаточно сложен, и было бы разумнее использовать другие средства, просто я хочу обратить внимание на то, что Process Monitor это не отладчик, и он не может отловить место вызова функции отображения окна с ошибкой, не сможет проникнуть в логику работы той или иной внутренней функции, не покажет состояние регистров, областей памяти и прочих важных для процесса структур. Иногда нет видимого результата об отсутствии доступа, поэтому иногда собираемая информация неявно содержит описание проблемы и над полученными результатами, выдаваемыми Process Monitor, надо еще поразмышлять. Изредка и вовсе наблюдаются случаи, когда функциональных возможностей Process Monitor’а просто не хватает чтобы докопаться до сущности проблемы, но это никак не умоляет достоинств данного инструмента, поскольку в большинстве случаев он довольно быстро позволяет добраться до причины бага. Ну не будете же Вы по каждой ошибке сразу браться за отладчик и тратить часы на пролет в попытке изучить алгоритм работы сбойного модуля? .. хотя
Утилита Process Monitor включает в себя возможности более ранних программ Sysinternals: программы отслеживания обращений к реестру Regmon и программы отслеживания обращений к файловой системе Filemon, давно уже сошедших со сцены. В дополнение ко всему Process Monitor может сохранять весь журнал событий в файл весом до 1 гигабайта.

Как это работает

В процессе наблюдения за активностью Process Monitor была выявлена интересная особенность, оказывается программа использует собственный драйвер режима ядра (а как же подпись? а подпись от Symantec). В 32-разрядной системе Process Monitor использует 32-битный драйвер-фильтр под названием procmon23.sys как в процессе работы непосредственно исполняемого образа, так и на этапе загрузки операционной системы (при включении опции Enable Boot Logging). Но ведь кроме самого исполняемого образа procmon.exe в рабочей директории приложения нет никаких других бинарных файлов? Дело в том, что драйвер упакован в тело главного исполняемого модуля procmon.exe. При помощи любого средства работы с ресурсами PE-файлов можно удостовериться в том, что драйвер procmon23.sys содержится внутри исполняемого файла в ресурсе RCDRIVERNT директории BINRES секции ресурсов, то есть является частью основного файла:

В 64-разрядной системе Process Monitor при запуске распаковывает во временную директорию %TEMP% скрытый файл с именем Procmon64.exe. Образ procmon64.exe содержится в ресурсе 1308 директории BINRES внутри ресурсной секции основного файла procmon.exe. А вот уже в самом Procmon64.exe, в секции BINRES ресурсной секции содержится 64-битный драйвер, который используется в процессе работы.

Драйвер procmon23.sys может работать и как драйвер режима загрузки. Когда пользователь активирует опцию Enable Boot Logging, Process Monitor копирует драйвер в папку %SystemRoot%System32Drivers и прописывает его в разделе реестра HKLMSYSTEMCurrentControlSetServices со значением параметра Start = 0, что говорит о том, что драйвер будет загружен на стадии выполнения Winload.exe при загрузке операционной системы.

Похоже, через этот драйвер-фильтр проходят все события, отслеживаемые Process Monitor. В дополнение к этому, Process Monitor использует технологию Трассировки событий (ETW, Event Tracing for Windows), как минимум для наблюдения за событиями сетевой активности. Не совсем пока ясно, тот же драйвер используется в качестве контроллера и получателя для ETW или же сам исполняемый модуль? Напомню, что ETW это своеобразная расширяемая система журналирования, встроенная в систему Windows, реализованная на уровне ядра и позволяющая (по запросу) собирать события от приложений пользовательского режима и модулей режима ядра. А как мы знаем, практически во все компоненты операционной системы включена возможность отслеживания выполняемых операций. Понятное дело, что функционал ETW значительно шире, он предоставляет обширнейшую информацию по функционированию: переключение контекста, статистика по прерываниям, отложенные вызовы процедур (DPC), процедуры обработки прерываний (ISR), создание и уничтожение процессов и потоков, дисковый ввод-вывод, ошибки страниц, переходы процессора между режимами в рабочем состоянии (p-state), операции с реестром, и многое другое.

Интерфейс

Перед запуском неплохо было бы получить исполняемый модуль утилиты. Скачать Process Monitor можно отсюда. Утилита распространяется в виде портабельного приложения и не требует инсталляции, а просто может быть извлечена из архивного файла в произвольную директорию, что крайне полезно при диагностировании с переносных носителей и при интегрировании в среду предустановки (WinPE).

Поскольку Process Monitor использует собственный драйвер, для запуска ей требуются права локального администратора.

В случае запуска Process Monitor с установленными в предыдущих сеансах работы фильтрами, программа открывает окно настройки фильтров (Filter). Делается это для того, чтобы пользователь смог, при желании, модифицировать фильтры перед началом процедуры сбора данных.
Интерфейс программы Process Monitor чрезвычайно прост и по умолчанию выглядит следующим образом:

Согласитесь, всё гениальное действительно просто. Простота интерфейса обуславливает интуитивность восприятия происходящего в системе. Непосредственно после запуска Process Monitor сразу же начинает захватывать события, происходящие в операционной системе, производится мониторинг основных компонентов, таких как: файловая система, реестр, сеть, активность процессов/потоков. После захвата события, не попавшие под фильтр, выводятся в хронологическом порядке в главное окно приложения. Причем пользователь наблюдает такое огромное количество данных, которое просто по первости может запросто обескуражить, вся эта тонна данных мгновенно переполняет основное окно программы и устремляется за её пределы, о чем красноречиво говорит стремительно уменьшающийся боковой ползунок прокрутки. Каждая выводимая таким образом строка представляет собой событие, произошедшее в системе, видимое и захваченное драйвером Process Monitor и не попавшее под правила фильтрации. Основной массив информации отформатирован в виде таблицы, соответственно каждая строка поделена на некоторое количество столбцов, состав и расположение которых может быть изменен через настройки программы. В конфигурации по-умолчанию используются следующие столбцы:

Поле результата операции (Result) является одним из ключевых и требует дополнительного пояснения:

* — цветом я попытался отметить те результаты, которые могут являться значимыми для поиска проблем, но всё достаточно условно и присутствие некоторых результатов может не указывать на ошибку, все требуется рассматривать в контексте происходящего и окружающих событий.
Вновь фиксируемые события добавляются в конец списка событий в хронологическом порядке, и, соответственно, если событий много, то они мгновенно выходят за границы активного окна. Таким образом, при базовых настройках интерфейса информация в окне остается статической и отражает только события, захваченные первыми, последние события пишутся в конец списка и об изменении общей его длины говорит лишь изменяющийся размер бокового курсора прокрутки. Однако подобное поведение программы можно изменить, включив автопрокрутку (Autoscroll) списка событий через включение соответствующей опции, либо посредством нажатия сочетания клавиш Ctrl+A. В этом случае список событий будет непрерывно скроллироваться вверх, показывая поступающие последними системные события в реальном режиме времени.

Панель инструментов

Поясним назначение кнопок, размещенных на панели инструментов интерфейса утилиты Process Monitor:

Слева направо:

• Open — Загрузка сохраненных ранее событий (трассировок);
• Save — Сохранение всех захваченных событий (трассировок);
• Capture — Включение/Отключение захвата событий;
• Autoscroll — Автопрокрутка событий в главном экране;
• Clear — Очистка главного окна и всех захваченных событий;
• Filter — Настройка фильтрации и подсветки событий;
• Highlight — Настройка подсветки событий;
• Include Process From Window — Настройка фильтрации событий по определенному окну на рабочем столе. Позволяет навести мишень на выбранное окно, Process Monitor сам определит принадлежность окна процессу и включить фильтрацию по данному процессу;
• Show Process Tree — Дерево процессов;
• Find — Поиск событий по заданным критериям;
• Jump To Object — Переход к разделу реестра или файлу. Process Monitor анализирует содержимое столбца Path выделенной строки, запускает проводник/редактор реестра и открывает соответствующий элемент дерева;
• Show Registry Activity — Переключатель состояния отображения событий активности реестра среди всех событий системы;
• Show File System Activity — Переключатель состояния отображения событий активности файловой системы среди всех событий системы;
• Show Network Activity — Переключатель состояния отображения событий активности сети среди всех событий системы;
• Show Process and Thread Activity — Переключатель состояния отображения событий активности процессов/потоков среди всех событий системы;
• Show Profiling Events — Переключатель состояния отображения событий профилирования среди всех событий системы. Профайлинг – события, записываемые утилитой Process Monitor для вычисления количества процессорного времени и объема памяти, используемого каждым процессом.

Горячие клавиши

Фильтрация событий

Как уже отмечалось, количество событий, происходящих (генерируемых различными компонентами) в системе, довольно велико. Число событий, которые «видит» Process Monitor меньше, но не намного. Возникает резонный вопрос, а все ли события нам необходимы? Ответ очевиден. Большинство событий, которые отображаются в главном окне программы совершенно излишни в контексте тех или иных узкоспециализированных пользовательских задач. Ну не нужно пользователю видеть события загрузки образа внезапно стартовавшей программы обновления, в то время как он занят изучением ключей реестра, хранящих конфигурацию интересующей его программы. Именно с целью скрыть ненужные события, у Process Monitor имеются гибкие и мощные средства фильтрации. Фильтр позволяет скрывать лишние события, тем самым ограничивая количество отображаемых элементов и сужая область поиска проблемы.

Фильтрацией можно скрыть событие, то есть выключить его отображение. Однако записываться будут все события, и Вы можете в любой момент посмотреть отфильтрованные (скрытые) события отключением (сбросом) фильтра.

Поскольку фильтрация является одним из ключевых элементов Procmon, возможности её в данной программе очень хорошо проработаны. Фильтровать события можно используя любые доступные программе атрибуты событий. Отфильтровывать события в Process Monitor можно несколькими способами:

Фильтрация по классу

Это самая общая, можно сказать грубая фильтрация событий, позволяющая исключить из вывода сразу целый класс событий: реестр, файловая система, сеть, активность процессов/потоков, события профилирования. Настройка фильтрации по классу событий представлена пятью кнопками в правой части панели инструментов:

Соответственно, в тот момент, когда какая-либо из перечисленных кнопок класса деактивируется (отжимается) пользователем на панели команд, в общий набор фильтров добавляется соответствующий фильтр с предписанием Exclude (Исключить), скрывающий из вывода все события данного класса.

Меню Filter

Какие бы из типов фильтров не применялись в Process Monitor, все они доступны через меню Filter и подпункт Filter. Это полный (общий) набор параметров фильтрации и представлен он в следующем виде:

Это же окно настроек фильтров может быть быстро вызвано и другими способами: нажатием комбинации клавиш Ctrl+L либо кликом по кнопке Filter на панели инструментов. Окно настроек фильтра предоставляет пользователю достаточно богатые возможности по маскированию событий системы. Окно Process Monitor Filter разделено условно на две части: в верхней представлены элементы интерфейса для добавления фильтра, в нижней присутствует список уже примененных к стандартному выводу фильтров. Фильтр добавляется методом прохода слева направо по всем атрибутам, которые, в свою очередь, представлены ниспадающими списками. Некоторые атрибуты между собой связаны, то есть выбор атрибута из одного списка может повлечь за собой автоматическое выставление значения в других списках. В некоторых полях можно производить редактирование значения. После завершения формирования, для добавления фильтра необходимо нажать кнопку Add, она производит добавление новых параметров фильтрации к фильтрам, представленным в нижней области окна.
Для редактирования правил выбранного фильтра, просто щелкните дважды по соответствующей строке, описывающей фильтр, в нижней части окна. Тем самым Вы переместите параметры в верхнюю часть (заполнятся соответствующие условия), где сможете их отредактировать и повторным нажатием кнопки Add завершить редактирование фильтра, вновь переместив его в нижнюю часть окна, к списку активных фильтров. Удалить фильтр можно кнопкой Remove. После окончания редактирования фильтров их можно ввести в действие (активировать) нажатием кнопки OK или Apply. Для восстановления настроек фильтров по умолчанию, в начальное состояние, которое присутствовало при первом запуске программы, нажмите кнопку Reset.
Как Вы могли заметить, по умолчанию в списке предопределенных фильтров имеется набор правил типа Exclude (Исключить). Эти правила служат для маскирования событий, которые, по мнению авторов, являются событиями активности тех компонентов операционной системы, которые, в большинстве сценариев, не несут полезной информации для устранения неполадок приложений. Здесь можно встретить исключения для: процессов утилит Procmon (Process Monitor), Procexp (Process Explorer), Autoruns, системных процессов, низкоуровневых запросов ввода-вывода драйверов Windows IRP_MJ, низкоуровневых операций FAST_IO, событий трассировки, событий файла подкачки pagefile.sys, событий работы диспетчера NTFS с метаданными.

Быстрый фильтр

Можно применить так называемый «быстрый фильтр» для некоторых параметров событий, отображаемых в главном окне. Активируется он нажатием правой кнопки мыши на событии в главном окне программы:

В открывшемся контекстном меню Вы можете видеть сразу несколько различных способов фильтрации. В зависимости от того, на значение какого столбца в строке была нажата правая клавиша мыши, мы можем исключать или включать из всего массива вывода события, у которых имеется совпадение по значению столбца. Выполняется это выбором соответствующего пункта, начинающегося с Include … (Включить) и Exclude … (Исключить). В контекстном меню присутствуют так же пункты Edit Filter …, Exclude Events Before, Exclude Events After.

Фильтрация по владельцу окна

В дополнение к основным вариантам фильтрации, в утилите Procmon имеется возможность отфильтровать события по описателю (идентификатору) окна приложения. Это достаточно удобная функциональная особенность, поскольку она предоставляет пользователю возможность посмотреть события процесса, окно которого появляется на рабочем столе. Для задействования данного функционала на панели инструментов найдите значок прицела:

Перетащите его на интересующее Вас окно и Procmon создаст соответствующий фильтр на процесс, являющееся владельцем выбранного окна, соответственно изменив вывод в главном окне.

Подсветка событий

В дополнение к фильтрам, в Procmon присутствует возможность маркировать события, выделяя их цветом. Тогда как фильтрация скрывает лишние события из вывода, то подсветка просто-напросто выделяет необходимые события в списке. Напрямую, вроде как, не относится к фильтрам, поскольку не скрывает события, а всего-лишь маркирует их другим цветом в списке. Вызвать окно настройки подсветки Process Monitor можно либо нажатием комбинации клавиш Ctrl+H или щелчком по соответствующему значку на панели задач. Выглядит оно следующим образом:

Как Вы видите, оно идентично окну настройки фильтров, за исключением того, что по умолчанию не имеет никаких установок, то есть подсветка полностью отключена. Алгоритм настройки параметров подсветки и выборки результатов окна Highlighting во многом схожи с аналогичными в окне Filter.

Поиск по событиям

Фильтрация результатов это превосходно! Фильтр позволяет нам гибко манипулировать выборкой из общего потока событий, однако, в большинстве случаев достаточно сложно сформировать условия, при которых диапазон отфильтровываемых событий сужался бы до какого-то приемлемого минимума. Результатов все-равно бывает много, да и в области отфильтрованных строк иногда требуется найти внезапно обнаруженную константу. Иногда бывает полезным найти какое-либо ключевое слово во всем объеме захваченной информации без понимания, в каком именно столбце оно может располагаться, поэтому создание фильтра оказывается проблематичным. Эти и многие другие рабочие моменты говорят в пользу использования традиционного, хорошо знакомого всем с детства поиска. Вызывается окно поиска комбинацией клавиш Ctrl+F или проходом по меню Edit — Find:

Будет отображено уже знакомое по другим продуктам Microsoft окно поиска. Поиск осуществляется по значениям всех без исключения полей вывода главного окна Process Monitor и при обнаружении первого попавшегося совпадения, утилита пролистывает экран до найденного значения и маркирует целиком всю строку с обнаруженным ключевым фрагментом синим цветом.

Детали событий

Process Monitor получает от различных компонентов операционной системы достаточно большое количество дополнительной информации. Все они отображаются в столбце Detail. Большинство из них чисто информативные, поэтому обычно пропускаются при анализе. Тут можно встретить запрашиваемый уровень доступа для операции, подробности запросов функций, дополнительные параметры некоторых функций, имена пакетов драйверов и прочее

Изучение события

Вся информация, коллекционируемая утилитой Process Monitor в процессе записи событий, представляется в виде огромной таблицы, каждая строка которой отражает лишь обобщенное описание определенного произошедшего события. Ну и что, как Вы думаете, достаточно ли этой информации, представленной в главном экране утилиты в виде ограниченных сведений, разнесенных на несколько колонок? Иногда да, но зачастую и нет! Надо отдать должное авторам Process Monitor’a за то, что они предусмотрели логику более детального исследования записываемых событий. Давайте выполним двойной щелчок на строке события, и посмотрим что же произойдет? После выполнения двойного щелчка открывается отдельное окно, имеющее следующий вид:

Во вкладке Event (Событие), мы видим общую информацию об интересующем нас событии. В общем то, именно эта вкладка не представляет для исследователя большой ценности, поскольку содержит информацию, которую можно получить в интерфейсе утилиты другими способами. Но вот две оставшиеся вкладки окна определенно могут нас заинтересовать. Средняя вкладка называется Process (Процесс) и выглядит следующим образом:

Тут мы видим путь к модулю (Path), командную строку, с использованием которой был запущен модуль (Command Line), пользователя, с привилегиями которого процесс был запущен (User), идентификатор сессии входа в систему (Auth ID), в которой процесс, хозяин операции, выполняется, и уровень целостности (Integrity), присвоенный процессу, хозяину операции, при запуске. Отдельного внимания удостаивается информационное окно со списком библиотек, загруженных в адресное пространство процесса (Modules), которое сильно способствует выявлять непрошенных гостей в виде различного рода вредоносов. Но для продвинутых исследователей настоящей ценностью является последняя, самая правая вкладка Stack (Стек), которая позволяет увидеть стек вызовов основного потока процесса:

Как мы видим, в этой вкладке можно обнаружить хорошо знакомую нам по отладчику WinDbg, классическую цепочку вызовов функций, называемую стеком вызовов. Во-первых, она позволяет отследить последовательность вызовов функций с момента начала выполнения стартовой функции потока. Во-вторых, по последовательности вызовов функций можно определить к каким модулям (библиотекам) эти функции принадлежат, тем самым выявив и системные компоненты, которые либо требуют обновления, либо вообще не должны применяться в данном модуле (например: вирусы).

Сценарии использования

Некоторые замечания по статусам программы Process Monitor:

• Событие, в поле операции которого стоит Load Image (Загрузка образа) помогает при диагностике проблем запуска программы. Если программа по каким то причинам не запускается, то ищем в общем списке событие с операцией Load Image и смотрим списки DLL, которые загружаются (описаны своими событиями) непосредственно за событием загрузки образа. Если вспомнить алгоритм загрузки образа, то мы поймем, что обычно за операцией Load Image следуют события поиска необходимых DLL библиотек. Дело в том, что загрузчик Windows готовит адресное пространство процесса, проецируя в него все необходимые программе библиотеки и производя неявное связывание на начальном этапе. Если в какой то из необходимых основной программе библиотек DLL произошла ошибка загрузки её образа, то очевидно, что загрузчик Windows не сможет запустить и основную программу. Событие загрузки образа фиксируется со статусом «отказано в доступе» (ACCESS DENIED);
• Статусы, на которые стоит обращать внимание в первую очередь: ACCESS DENIED, SHARING VIOLATION, NAME NOT FOUND (с последним имеются исключения). Статус NAME NOT FOUND в большинстве случаев достаточно типовой статус завершения, не стоит так уж прям преувеличивать его значимость и считать виновником всех бед. Зачастую статус высвечивается в случае, когда приложение проверяет наличие файла или ключа реестра (содержащих конфигурацию программы), и по результатам этой проверки выполняет тот или иной код, то есть производит логическое ветвление в зависимости от результата запроса. Программа может и не найти ключ реестра, содержащий собственную конфигурации, и в таких случаях мы увидим все тот же статус NAME NOT FOUND. Одним словом, статус NAME NOT FOUND должен рассматриваться в контексте приведшего к нему события.
• Для определения виновника чрезмерной нагрузки на дисковую подсистему: запускаем Procmon, создаем фильтр с настройками Path — begin with — C: (хотя тут может быть указан любой интересующий логический диск) и нажимаем OK. Затем, после непродолжительного сбора данных (~одна минута) идем в меню Tools и выбираем пункт Process Activity Summary. В открывшемся окне сортируем по колонке File Events и получаем в вверху списка имена процессов, активно работающих с файловой системой. Затем, чтобы узнать какие именно файлы участвуют в интенсивном обмене данными, можно выбрать меню Tools и пункт File Summary, и в открывшемся окне наблюдать список файлов, задействованных в дисковых операциях. Вывод автоматически сортируется по колонке Total Events, поэтому в верхней части списка мы наблюдаем наиболее интенсивно используемые в операциях дискового ввода-вывода файлы.

Диагностика этапа загрузки

Довольно часто встречаются ситуации, когда проблемы у операционной системы начинаются задолго до прорисовки интерфейса пользователя, уже на этапах загрузки. Для диагностирования подобных сбоев в сети имеется некоторое количество специализированного инструментария, такого например, как xbootmgr/xperf. Удачно вписывается в этот ряд и утилита Process Monitor. Procmon записывает события всех исполняющихся на стадиях загрузки процессов, с помощью драйвера этапа загрузки под названием procmon23.sys (имя может меняться от версии к версии), который был описан в начале статьи. К сожалению, драйвер стартует на этапе работы модуля Winload.exe, что препятствует фиксированию более раннего этапа Bootmgr, однако, в большинстве случаев, на эту мелочь можно закрыть глаза. Включение логирования процесса загрузки активируется через опцию Enable Boot Logging меню Options.

В дополнение к активации механизма, Procmon предлагает включить профилирование потоков через равные промежутки времени. Это немаловажно, потому что в большинстве случаев проблемы загрузки связаны с медленной работой определенных процессов. Именно с целью отследить подобные «тормозящие» процессы включается профилирование, которое позволяет создавать эдакие снимки активности потоков внутри процесса (стек вызовов и прочие данные) через равные промежутки времени. В итоге, записываемая информация помогает понять на какие именно операции поток тратит процессорное время.
После включения опции Enable Boot Logging можно перезагружать операционную систему. После завершения загрузки запускаем утилиту Process Monitor для сохранения лог-файлов процесса загрузки и видим следующее диалоговое окно:

В котором нам предлагается сохранить события процесса загрузки в отдельный лог-файл с расширением .pml. В зависимости от объема информации, лог-файл может быть сохранен как в едином файле, так и разбит на серию файлов примерно равного размера.

Объем информации, записываемой драйвером Process Monitor на стадиях загрузки, для «средненабитой» операционной системы Windows 7 SP1 x64, достаточно велик. Типичный размер со включенным профилированием потоков может превышать 1500 мегабайт.

После сохранения лог-файлов активности этапа загрузки, впоследствии можно будет проанализировать их, открыв в программе Process Monitor либо двойным щелчком по .pml-файлу, либо открыв его непосредственно через меню File — Open. Тем не менее тут есть один нюанс, если файл или набор файлов журнала процесса загрузки слишком большой, и утилита не может найти достаточного пространства в файле подкачки либо виртуальном пространстве процесса для создания буфера, то выдается ошибка «Unable to open Bootlog.pml for reading .. «. Я лично решил её временным включением файла подкачки, который у меня, традиционно, отключен вообще.

( 2 оценки, среднее 4.5 из 5 )