Process Monitor (também conhecido como Procmon) é um utilitário gratuito da Microsoft como parte de seu Suite Sysinternal, criado pelo famoso Mark Russinovich. O pacote tem uma grande quantidade de ferramentas incrivelmente úteis para profissionais e desenvolvedores de TI da Microsoft, mas pode ser opressor para começar e ver.
O Procmon é ótimo para começar, pois é útil em uma grande quantidade de cenários de solução de problemas e não é difícil de usar. Ele mostra um feed ao vivo em tempo real do que está sendo lido e gravado em seu computador para arquivos, o registro, a rede e os processos / threads. Isso significa que você pode fazer algo como alternar uma opção em um programa e, em seguida, percorrer os registros para descobrir como o programa está realmente salvando a configuração. Normalmente, um aplicativo Win32 / 64 padrão grava no registro (mas nem sempre!) Quando uma configuração é alterada, mas encontrar a configuração exata pode ser um processo complicado.
Vamos dar uma olhada em como usar o Procmon para ver onde uma configuração do Windows 10 está sendo salva.
- Execute o Procmon. Se você estiver no Windows 10, você já deve ter isso em Windows \ System32 e pode encontrá-lo simplesmente digitando 'procmon' no menu Iniciar, caso contrário, baixe-o em Microsoft.
- Aprenda quais botões pressionar. Quando você carregá-lo pela primeira vez, haverá uma lista de botões que valem a pena aprender:
Os importantes para começar aqui são o terceiro botão - Capturar (a lupa), que inicia / interrompe o monitoramento (terá uma cruz sobre ele quando interrompido), e o quinto botão (papel com borracha) que é transparente, para limpar os logs e começar de novo. Pare de capturar se estiver em execução e limpe tudo na tela. - Prepare sua opção. Queremos a menor quantidade de registros possível, então prepare a opção que deseja capturar. Você vai querer ir rapidamente e alterar a opção entre iniciar e parar o registro. Para mim, vou desligar as notificações informativas para o Windows Defender:
- Comece a registrar, faça mudanças, pare de registrar. Muito simples aqui, clique no botão Capturar no Procmon, faça sua alteração de configuração e clique no botão Capturar novamente. Você acabará com uma lista enorme de eventos para filtrar.
- Encontre sua agulha no palheiro. É aqui que o Procmon brilha. Pode ser impressionante ver uma grande quantidade de eventos em Procmon, mas restringir os eventos pode ajudar. Se você vir um nome de processo que não tem nada a ver com sua configuração, como Explorer.EXE, você pode clicar com o botão direito em um desses processos e escolher 'Excluir Explorer.EXE'. Isso ocultará todos esses eventos. Você também pode optar por mostrar apenas as entradas do registro, em vez de todas as entradas capturadas. Os últimos 5 botões na interface são alternadores para registro, arquivos, rede, processo / thread e criação de perfil. Como provavelmente é o registro, você pode clicar nas outras 4 opções e desativá-las.
Você também pode ocultar certos tipos de operação. Você verá isso na exibição de coluna padrão / Para o registro, existem valores como RegQueryKey e RegQueryValue - você pode ocultar todos eles também, pois estamos procurando um valor de chave de registro sendo definido. Depois de se sentir mais confortável com o uso do Procmon, você pode escolher a operação 'SetRegValue' e Incluir em vez de Excluir, e ele só mostrará esses tipos de registros. Também há uma função de pesquisa padrão, então você também pode para a palavra 'Defensor' neste exemplo. Quando achar que encontrou um registro que pode ser o que você está procurando, clique duas vezes nele para ver exatamente o que ele fez:
Felizmente, este é nomeado claramente com base na configuração que estamos verificando. Também está dizendo que os dados são 1, que é o valor para o qual o valor do registro foi definido. Você pode verificar isso via RegEdit e ver por si mesmo. - Teste a configuração. Agora que encontramos uma configuração que mudou durante a captura que parece estar correta, podemos alterá-la e ver se ela realmente alterna a opção para frente e para trás. A maioria das configurações do registro para um valor ativado ou desativado é 1 ou 0, respectivamente. Por ser uma configuração 'DisableEnhancedNotifications' definida como 1, isso significa que estamos ativando uma configuração que desativou uma opção - às vezes isso pode ser confuso. Nesse caso, alterar o valor e voltar às configurações do Windows Defender parece alternar a opção, portanto, essa parece ser a configuração certa para o que queríamos!
Depois de fazer isso algumas vezes, fica mais fácil e familiar de usar. Se você está tentando descobrir uma configuração (o que é especialmente útil se você deseja criar um script / implantar certas configurações como parte de um SOE), brinque com o Procmon. Nem sempre é tão fácil quanto o exemplo acima, mas na maioria das vezes não é tão difícil encontrar o que você procura.
English
Arabic
Bengali
Dutch
English
French
German
Greek
Hindi
Irish
Italian
Japanese
Portuguese
Spanish
Swedish
