Startpagina » school- » Procesmonitor gebruiken om registerhacks op te sporen en te vinden

    Procesmonitor gebruiken om registerhacks op te sporen en te vinden

    In de huidige editie van Geek School gaan we je leren hoe je Process Monitor kunt gebruiken om het oplossen van problemen en het uitzoeken van register-hacks die je anders niet zou kennen, te voltooien.

    SCHOOLNAVIGATIE
    1. Wat zijn de SysInternals-hulpmiddelen en hoe gebruikt u ze??
    2. Procesverkenner begrijpen
    3. Procesverkenner gebruiken om problemen op te lossen en te stellen
    4. Procesmonitor begrijpen
    5. Procesmonitor gebruiken om registerhacks op te sporen en te vinden
    6. Autoruns gebruiken om opstartprocessen en malware aan te pakken
    7. BGInfo gebruiken om systeeminformatie op het bureaublad weer te geven
    8. PsTools gebruiken om andere pc's vanaf de opdrachtregel te besturen
    9. Analyse en beheer van uw bestanden, mappen en stations
    10. Inpakken en de hulpmiddelen samen gebruiken

    Process Monitor is een van de meest indrukwekkende tools die u in uw toolkit kunt hebben, omdat er bijna geen andere manier is om te zien wat een applicatie feitelijk onder de motorkap doet. Het is de enige manier om te weten naar welke bestanden wordt geschreven door welk proces en waar dingen zijn opgeslagen in het register en welke bestanden er toegang toe hebben.

    We beginnen met de les van vandaag door te kijken hoe registersleutels kunnen worden gevonden met behulp van Windows-instellingsdialogen en Process Monitor, en vervolgens zullen we een daadwerkelijk scenario voor probleemoplossing bekijken dat we tegenkwamen op een van onze computers in het lab en dit probleemloos oplossen met behulp van Process Monitor.

    Procesverkenner gebruiken om registersleutels te vinden voor algemene instellingen

    Iedereen heeft ooit op een selectievakje geklikt of de waarde van een vervolgkeuzelijst gewijzigd, maar heb je je ooit afgevraagd waar die waarden feitelijk zijn opgeslagen? Veel applicaties, en vrijwel alles in Windows, worden opgeslagen in het register ... ergens.

    Voor het voorbeeld van vandaag gebruiken we de eerste optie in het eerste paneel van de taakbalk en navigatie-eigenschappen, een dialoogvenster dat in alle versies van Windows zou moeten bestaan. Dus onze missie is nu om erachter te komen waar die instelling feitelijk in het register is opgeslagen. U kunt deze specifieke instelling volgen, of u kunt een van de andere instellingen in hetzelfde dialoogvenster proberen - of ergens anders waar u de verborgen instellingenlocatie wilt vinden voor.

    Het eerste dat u wilt doen wanneer u probeert een set gegevens vast te leggen, is Process Monitor starten en vervolgens de instelling wijzigen. Op dat moment kunt u voorkomen dat Process Monitor gebeurtenissen vastlegt, zodat de lijst niet uit de hand loopt. (Hint: het Bestand menu heeft de optie, of het is het derde icoon van links).

    Nu we een hoop gegevens in de lijst hebben, is het tijd om de lijst te filteren om het aantal rijen te verminderen waar we doorheen moeten kijken. Omdat we een registerwaarde bekijken die wordt gewijzigd, moeten we filteren op 'RegSetValue', wat Windows gebruikt om een ​​registersleutel in te stellen voor een nieuwe instelling. Gebruik de optie "Opnemen" om weer te geven enkel en alleen die evenementen.

    Je lijst moet nu worden beperkt tot alleen registersleutels die zijn gewijzigd, dus het is tijd om de gebeurtenissen te bekijken en uit te zoeken welke registersleutel het kan zijn. Omdat we de "Vergrendel de taakbalk" -instelling controleren en een van de registersleutels die worden ingesteld het woord "Taskbar" in de naam bevat, is dat een goede plaats om te starten. Klik met de rechtermuisknop op het pad en kies om naar de locatie te springen.

    Process Monitor opent de Register-editor en markeert de sleutel in de lijst. Nu moeten we ervoor zorgen dat dit de juiste sleutel is, wat vrij gemakkelijk te achterhalen is. Bekijk de instelling en bekijk de sleutel. Op dit moment is de instelling ingeschakeld en staat de sleutel op 0.

    Dus verander de instelling, druk op Toepassen in het dialoogvenster en gebruik vervolgens de F5-toets om het venster Register-editor te vernieuwen. In ons geval hebben we zeker de juiste instelling gekozen, dus nu kun je zien dat de waarde TaskbarSizeMove is ingesteld op 1.

    Als u niet de juiste waarde hebt gekozen, ziet u geen verandering wanneer u de instellingstest opnieuw uitvoert. Dus ga op zoek naar de volgende logische en begin opnieuw.

    Problemen oplossen Problemen met Process Monitor

    Het is niet echt mogelijk om in een enkel artikel te illustreren hoe je een probleem met Process Monitor of een ander hulpmiddel voor die kwestie kunt oplossen. Er zijn gewoon veel te veel combinaties van problemen die mogelijk fout kunnen gaan.

    Wat we wel kunnen doen, is laten zien hoe we Process Monitor daadwerkelijk hebben gebruikt om een ​​echt probleem op te lossen dat daadwerkelijk met een van onze testcomputers is gebeurd. We hadden wat crapware geïnstalleerd en besloten om de computer op te ruimen. Het probleem was een vermelding in het paneel Uninstall Programs die gewoon niet zou verdwijnen.

    Volgende pagina: Problemen oplossen Problemen met Process Monitor

    PsTools gebruiken om andere pc's vanaf de opdrachtregel te besturen
    Beveiligde aanmelding gebruiken in Firefox
    Gebruik wachtwoordfrasen voor een betere beveiliging
    Volgend artikel
    De programmacompatibiliteitsmodus gebruiken in Windows 7
    Vorig artikel
    Procesverkenner gebruiken om problemen op te lossen en te stellen