Tool'ekalender 2006

9. dec 2006 00:01

Den korte version:

Process Monitor viser aktiviteter i forbindelse med filsystemet, registryet og processer.

Den lidt længere version:

Process Monitor er et særdeles nyttigt værktøj, når man skal forsøge at forstå, hvad der egentlig sker på ens Windows maskine - specielt hvis der er noget, der ikke helt opfører sig som det burde.

Lad os tage et lille, simpelt eksempel for at give en simpel demonstration af de funktioner Process Monitor stiller til rådighed: Antag at vi benytter et program (i dette tilfælde kaldet "FileReaderDemo.exe"), som vi kun har adgang til i en binær version. Dette program opfører sig måske ikke helt, som vi forventer, men det kommer til gengæld heller ikke med nogen egentlige runtime-fejl - eller exceptions om man vil. I en sådan situation kan gode råd gå hen at blive endda særdeles dyre. Men muligvis kan Process Monitor hjælpe os lidt på vej.

Programmet er særdeles simpelt at bruge: Man vælger blot "Capture Events" i "File"-menuen og straks begynder events'ene at trille ind.

Den største udfordring er næsten, at finde rundt i de mange informationer. For at sætte dette i perspektiv gav et par uformelle tests følgende resultater: Et minut uden brugeraktivitet på PCen resulterede i 7813 events og til sammenligning resulterede et minut med ganske almindelig læsning af mails i Outlook og brug af IE i 55.313 events.

Masser af events

I vores konkrete scenarium ligger brugen af "FileReaderDemo.exe" som det ses af ovenstående skærmbillede begravet imellem ialt 46.375 events.

For at finde nogle brugbare informationer til løsning af vores lille problem, skal vi have luget lidt ud i den samlede mængde af events. Til dette stiller Process Monitor filtre til rådighed. I vores eksempel kunne et passende filter være et, der sørger for, at vi kun ser på events, der skyldes aktivitet i "FileReaderDemo.exe".

Process Monitor Filter - Process Name

I det konkrete - og meget simple - eksempel er dette filter meget effektivt, og vi er nu nede på blot 5 events.

Process Monitor - Filtered Result

I virkelighedens verden vil man ofte skulle tilføje en række andre filtre på eksempelvis felterne "Operation", "Result" og så videre. Men i dette eksempel er det næppe nødvendigt, idet eventet med "Sequence" nummeret 36.023 formentlig er synderen (filen med det sigende navn "C:\NonExistingFile.txt" kunne ikke findes).

Ønsker vi at se nærmere på dette event, kan vi vælge at se den samlede mængde af properties for eventet: Vi kan blandt andet se hvilke filer, der er loadet af den aktuelle process.

Process Monitor - Event Properties

For de historisk interesserede kan det nævnes, at Process Monitor er lavet af Sysinternals, som også stod bag de berømte (men nu mere eller mindre hedengangne) Regmon og Filemon værktøjer - værktøjer som Process Monitor netop er en afløser for.

Download:

Download af Process Monitor


Abonnér på mit RSS feed.   Læs også de øvrige indlæg i denne Blog.