Skip to main content

使用進程監視器來排除故障並查找註冊表黑客

使用進程監視器來排除故障並查找註冊表黑客

Geoffrey Carr

在今天的Geek School版本中,我們將教你如何使用Process Monitor實際完成故障排除並找出你不會知道的註冊表黑客。

學校導航
  1. 什麼是SysInternals工具以及如何使用它們?
  2. 了解Process Explorer
  3. 使用Process Explorer進行故障排除和診斷
  4. 了解進程監視器
  5. 使用進程監視器來排除故障並查找註冊表黑客
  6. 使用Autoruns處理啟動進程和惡意軟件
  7. 使用BgInfo在桌面上顯示系統信息
  8. 使用PsTools從命令行控制其他PC
  9. 分析和管理文件,文件夾和驅動器
  10. 一起包裝和使用工具

Process Monitor是您在工具箱中可以擁有的最令人印象深刻的工具之一,因為幾乎沒有其他方法可以查看應用程序實際上在做什麼。這是了解哪些文件由哪個進程寫入的唯一方法,以及存儲在註冊表中的文件以及訪問它們的文件。

我們將從今天的課程開始,查看如何使用Windows設置對話框和Process Monitor查找註冊表項,然後我們將詳細介紹我們在實驗室中的某台計算機上遇到的實際故障排除方案,並輕鬆解決使用Process Monitor。

使用Process Explorer查找常用設置的註冊表項

每個人都點擊了一個複選框或者在某個時候更改了下拉框的值,但你有沒有想過這些值實際存儲在哪裡?許多應用程序,以及Windows中的幾乎所有內容,都存儲在註冊表中......某處。

對於今天的示例,我們將使用任務欄和導航屬性的第一個窗格中的第一個選項,該窗口應該存在於所有版本的Windows中。所以現在我們的任務是弄清楚該設置實際存儲在註冊表中的位置。您可以按照此特定設置進行操作,也可以嘗試在同一對話框中的其他設置之一 - 或者您想要找到隱藏設置位置的任何其他設置。

嘗試捕獲一組數據時,您首先要做的是啟動Process Monitor,然後更改設置。此時,您可以阻止Process Monitor繼續捕獲事件,因此列表不會失控。 (提示:文件菜單有選項,或者它是左邊的第三個圖標)。

現在我們已經在列表中獲得了大量數據,現在是時候過濾列表以減少我們必須查看的行數。由於我們正在查看正在更改的註冊表值,因此我們需要按“RegSetValue”進行過濾,這是Windows用於將註冊表項實際設置為新設置的內容。使用“包含”選項顯示只要 那些事件。

您的列表現在應該僅限於已更改的註冊表項,因此是時候查看事件並嘗試確定它可能是哪個註冊表項。由於我們正在檢查“鎖定任務欄”設置,並且正在設置的其中一個註冊表項在名稱中包含“任務欄”一詞,這是一個很好的起點。右鍵單擊路徑,然後選擇“跳轉到該位置”。

Process Monitor將打開註冊表編輯器並突出顯示列表中的鍵。現在我們需要確保這實際上是正確的密鑰,這很容易理解。看一下設置,然後看一下鍵。此時設置已打開,鍵設置為0。

因此,更改設置,在對話框中單擊“應用”,然後使用F5鍵刷新“註冊表編輯器”窗口。在我們的例子中,我們肯定選擇了正確的設置,所以現在您可以看到TaskbarSizeMove值設置為1。

如果未選擇正確的值,則再次進行設置測試時將看不到更改。所以去找下一個合乎邏輯的,然後重新開始吧。

解決Process Monitor問題

在一篇文章中,如何使用Process Monitor或任何其他工具來解決任何問題,這是不可能的。有太多可能出錯的問題組合。

但是,我們可以做的是展示我們如何實際使用Process Monitor來解決實際發生在我們的某台測試計算機上的真正問題。我們一直在安裝一些crapware,然後決定嘗試清理電腦。問題是“卸載程序”面板中的條目不會消失。

下一頁:解決Process Monitor問題

Link
Plus
Send
Send
Pin