» Sysinternals (Microsoft) Process Monitor

forexmir
гуглите следующее:

Цитата:

скачать книгу winternals

и скачиваете. все найдете (filemon+regmon) от сих до сих.
более того, эта книга должна быть настольной у каждого.

потерял приличную ссылку, а барыжные давать не буду.
может кто подскажет или в теме айти-книг есть.

folta

Это ТА книга?
http://rutracker.org/forum/viewtopic.php?t=857644

forexmir
именно!
вот только рапидшаровская ссылка валяется.
прямую так и не нашел(
http://rapidshare.com/files/111809779/Winternals.Rukovodstvo.po.administrirovani.rar

Почитаю, спасибо. Жаль, что в fb2 нет её..

В FB2 есть программы, это не проблема, я так делал, читаю на работе...

Цитата:

В FB2 есть программы, это не проблема, я так делал, читаю на работе...

Вы из формата DjVu делали?? Не подскажете, как?

qwerty1956
Думаю, надо прогнать через finereader, потом вычитать, а уж FB2 сверстать не проблема - и я могу помочь...

Stanner
Так я сам умею. Куча работы, куча времени, куча ошибок. Лучше я в DjVu почитаю. Просто все ссылки на готовый в fb2 нерабочие

Ну вот у меня есть конкрентный вопрос по ProcMon. Сделал миниролик . В первую секунду там видно, с какими параметрами создан фильтр, потом видно, что при модификации реестра ProcMon никак не реагирует. Модифицированы десятки ключей. Вопрос - я неправильно настроил фильтр или прога тупит?

Stanner
А как обстоят дела с версией 3.03?

40sergey
На этой неделе будет вместе с ProcExp.

Русская версия Process Monitor 3.03

Вопрос. Странно не нашел в ветке.
Как сделать так чтобы при переходе к.. реестру, открывался не regedit.exe, а Registry Workshop, т.е. RegWorkshop.exe?
Думаю всем понятно почему. Потому что regedit.exe не запоминает действия, неудобен, и т.п.

DmitryFedorov
Думаю, только искать вызовы regedit.exe в жестко закодированных строках и пробовать по очереди заменять на RegWorkshop.exe. Ну или написать Марку - пусть добавит в опции

можно и проще:
reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe" /v "Debugger" /t REG_SZ /d "x:\path\RegWorkshop.exe" /f

это только для вызова RegWorkshop вместо regedit. а вот после запуска, насколько я понимаю, еще идет управление окном regedit для перехода на нужный ключ реестра - вот тут скорее всего и будет облом.

DrakonHaSh
Спасибо попробую.
Stanner
Я не открывал жесткие строки. Там прописан системный путь?
В любом случае спасибо.


Добавлено:
DrakonHaSh
Попробовал. Пока не открывает даже.
И в случае если вызываешь Старт-выполнить: regedit
и в случае если жмешь в ПроцессМонитор перейти к..
выдает "Ошибка при загрузке файла реестра. Неверный формат файла"
Т.е. аналогия с подменой как в Process Explorer (он в этой же ветке может подменять taskmgr.exe - не хиляет.

Еще есть варианты с Hook (так делает Dopus). Но я просто как и в этом случае не до конца понимаю логику и не знаю правил.

Цитата:

Попробовал. Пока не открывает даже.
И в случае если вызываешь Старт-выполнить: regedit
и в случае если жмешь в ПроцессМонитор перейти к..
выдает "Ошибка при загрузке файла реестра. Неверный формат файла"
Т.е. аналогия с подменой как в Process Explorer (он в этой же ветке может подменять taskmgr.exe - не хиляет.

ну у меня сам метод "хиляет" и на win7x64 и на winxp
=>

reg add "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe" /v "Debugger" /t REG_SZ /d "c:\wincmd\TOTALCMD.EXE" /f

run regedit.exe => запуск TOTALCMD

Procmon + [Jump To ...] на вертке реестра => запуск TOTALCMD +
---------------------------
Process Monitor
---------------------------
Process Monitor was unable to launch Regedit.
---------------------------
ОК
---------------------------

DrakonHaSh
А у меня не получается (в смысле сам regworkshop показывается, но толку нет). Для regworkshop.exe в справке написано /f - это найти. /g - это Go=перейти к..

/f [string] = Open Registry Workshop and search the entire registry for [string] with default search parameters.
/g [regpath] = Open Registry Workshop and jump to [regpath]

Оба варианта не работают. Максимум что делается - это ищется ключ с именем "regedit.exe"
Пробовал по аналогии с другими ключами такого же типа подставлять %1 за /f и /g, толку нет.

Наверно ТоталКомандер имеет другие параметры командной строки. Поэтому "хиляет". Тотал у меня не стоит поэтому не могу посмотреть. Ну и может я где-то делаю невидимую мне ошибку.

DmitryFedorov 00:54 17-09-2012
Цитата:

Наверно ТоталКомандер имеет другие параметры командной строки.

По-видимому нехватает этого:
Цитата:

/Z - игнорировать следующий параметр командной строки.

С таким ключом работают AkelPad и/или Notepad2 (для замены Блокнота). В regworkshop такого ключа нет, поэтому через "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe" /v "Debugger" его никак не подключить, скорей всего.

По чистой логике должно бы быть что-то типа open в качестве имени параметра, а не debugger. Но реестр для меня загадка без правил.
Ок. Первая попытка в лоб не удалась. Надыбаю чего у них в форуме. Может кто ответит.
Тогда отпишусь здесь.

[more=Подмена]
Код: @echo off
%~d0
cd "%~dp0"

reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths" | findstr /i "regedit.exe" >NUL
if not errorlevel 1 (
reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\regedit.exe" /f >NUL
cls
echo.
echo RegWorkshop removed from App Paths. Press any key to exit.
pause >NUL
) else (
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\regedit.exe" /ve /d "%cd%\RegWorkshop.exe" /f >NUL
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\regedit.exe" /v Path /d "%cd%" /f >NUL
cls
echo.
echo RegWorkshop added to App Paths. Press any key to exit.
pause >NUL
)

DmitryFedorov

Цитата:

А у меня не получается (в смысле сам regworkshop показывается, но толку нет).

так а с чего вы взяли что "получится" ?
я же в самом начале написал:

Цитата:

это только для вызова RegWorkshop вместо regedit. а вот после запуска, насколько я понимаю, еще идет управление окном regedit для перехода на нужный ключ реестра - вот тут скорее всего и будет облом.

Procmon вызывает regedit.exe (безо всяких параметров командной строки) и этот момент можно "исправить" - т.е. вместо regedit.exe вызывать любую другую прогу.
а вот потом уже, для перехода к нужному ключу реестра, идет управление окном regedit (это хорошо видно визуально), которого у "подмененных" прог естественно нет, если их не писали специально для этих целей.

DrakonHaSh
Да. Ты полностью прав.
Regmon полностью заточен под regedit.
При нажатии на "перейти к.." сначала вызывается regedit.

Если я подменяю regedit через параметр Debugger в ключе HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe, то вызывается подменяемая прога, ну и обрабатывает этот вызов (..\Windows\regedit.exe.) как будто это то место куда надо перейти, т.е. обрабатывает соответственно поиск (/f) или переход (в случае /g) к .. \Windows\regedit.exe. Всегда одно и тоже несуществующее место в реестре.

Само же место куда надо перейти передается в программу потом по неизвестному нам протоколу. И этого "управления окном regedit" у подменяемой проги нет.

Чтобы окончательно это проверить я взял и просто заменил сам файл regedit на переименованный файл regWorkshop и убрал изменённые записи реестра.

Да, подменянный файл вызывается. И это всё.
---------------------
Сама же прога regWorkshop работает из командной строки (с аргументами /f и /g) но значение куда ей надо перейти требуется заключать в кавычки. (это не написано в справке проги)
----------------------
Вывод: Наиболее правильным является изменение проги regworkshop. Это она претендует на замену regedit и соответственно должна соответствовать правилам и тому что она заменяет в Windows.

Win7, Procmon V 3.03. Запускаю. На форме ни одного процесса.Почему?

asadaf
Запуск от админа? Фильтр сброшен, захват включен?

Да. Фильтр сброшен и захват включен.
В статус баре пишет "The current filter excludes all 550174 events"

asadaf
Странно. Пишет все же про фильтр, что он исключает все события.
Удалите вручную раздел Procmon в реестре: HKEY_LOCAL_MACHINE\SOFTWARE\Sysinternals\Procmon и перезапуститесь

В реестре нет раздела
HKEY_LOCAL_MACHINE\SOFTWARE\Sysinternals\Procmon

Ну да, описался: HKEY_CURRENT_USER\Software\Sysinternals\Process Monitor

Спасибо. Все ОК.