Мониторинг, или Подсматриваем за любимой программой

Задумывались ли вы когда-нибудь над тем, что скрывается за работой запускаемых вами программ, к каким файлам на диске они обращаются, что прописывают в реестре, что удаляют, копируют или создают? А задуматься над этим иногда очень полезно. Бывает, даже самая маленькая программка так “наследит”, что убрать все это удается только при полной переустановке системы, что, согласитесь, не очень приятно.

Хотите узнать, чем на самом деле занимаются на вашем компьютере программы? Тогда именно для вас Марк Руссинович и Брюс Когсвелл, доктора философии в области вычислительной техники Университета Карнеги-Меллон из компании Sysinternals, создали серию небольших, но очень полезных программ, таких как Filemon, Regmon, Diskmon, Portmon, CPUMon, NTFSDOS, CacheSet и прочие. В этом обзоре мы остановимся на программах мониторинга.

Regmon
Win9x/Me/NT/2000/XP
Возникала ли у вас необходимость проследить за тем, какие обращения к реестру делает какая-нибудь программа? А не хотелось посмотреть, какие изменения вносит в реестр какой-нибудь там WinBoost или тот же Tweak UI? Если да, то программа Regmon вам просто необходима! Немного поработав с ней, вы хорошо будете представлять, как работает реестр Windows.
Regmon — мощный инструмент контроля активности реестра системы в реальном масштабе времени. Программа позволяет отслеживать, какие программы обращаются к реестру в данный момент, к каким именно ключам идет обращение, а так же фиксировать операции чтения/записи. Вы также легко сможете посмотреть изменения ключей и значений реестра с помощью так называемых статических инструментов.
До недавнего времени для “тонкой” настройки Windows XP мне приходилось пользоваться программкой под названием Customizer XP. Программа хорошая, но громоздкая, и к тому же за нее надо платить. Да и кроме внесения определенных изменений в реестре она ничего делать, собственно, и не умеет. Тут мне и пришлось опробовать на практике Regmon. Запускаем мониторинг, ставим в нем фильтрацию процесса, выставляем все нужные параметры в Customizer XP, сохраняем, останавливаем мониторинг. Теперь дело за малым — смотрим, что же этот Customizer XP наделал в нашем реестре. Находим нужную запись в логе, щелкаем по ней, Regmon сам открывает стандартный редактор реестра и пошагово проводит нас к ветви, где и расположен нужный нам параметр, который теперь можно сохранить в reg-файл. И Customizer XP, Tweak UI и им подобные нам больше не нужны!
Regmon должен пригодиться широкому кругу пользователей, особенно “кул хацкерам”. С ним вы будете держать реестр “под прицелом”. А для особо продвинутых на сайте www.sysinternals.com есть исходные коды программы.
Но не одним реестром жив Windows… Следующий монитор отслеживает файловую активность.

Filemon
Win9x/Me/NT/2000/XP, есть версия для Linux
Filemon контролирует деятельность файловой системы в реальном времени. Продвинутые возможности делают его мощным инструментом для исследования работы Windows, наблюдения за тем, как приложения используют файлы и библиотеки. С помощью Filemon можно отслеживать проблемы в системе или прикладных программах. Функция “временная печать” файл-монитора покажет вам точно, когда каждый файл был открыт, прочитан, записан или удален, а в колонке “Result” вы узнаете о результате проделанной операции. Filemon, как и Regmon настолько удобен, что вы станете экспертом в работе с ним за несколько минут. Мониторинг начинается сразу после запуска программы, все его результаты могут быть сохранены в файл. Filemon имеет полноценный поиск, для ограничения параметров слежения имеется фильтр сообщений.
А теперь на практике… Недавно на моем компьютере в корневом каталоге стал появляться непонятно откуда файл baseclasses.log с непонятным содержанием­ вида: failed to initialize output sample… Сами понимаете, трудно отыскать “писателя” методом научного тыка. Помог, конечно, Filemon. Запустил, поставил фильтр на “C:/baseclasses.log”… Результат не заставил себя долго ждать: “писателем” оказался Windows Media Player, точнее кодек DivX 4.11 (в версии 4.12 ошибка исправлена).
Filemon очень пригодится для отслеживания “хвостов”, оставленных программами с ограниченным временем действия (trial), ведь, как правило, информацию о первом запуске такие программы любят прятать в каком-нибудь хитром файле.

Diskmon
NT/2000/XP
Diskmon — монитор, который контролирует­ и показывает всю деятельность жесткого диска. Усовершенствованная функция поиска, делает его мощным инструментом для исследования работы системы на ядре NT и наблюдением за тем, как файловая система использует жесткие диски. После запуска Diskmon с параметром “/l”, в System Tray появляется индикатор, который имитирует светодиод на системном блоке, причем при чтении с диска будет появляться зеленое изображение, а при записи — красное.

Portmon
Win9x/Me/NT/2000/XP
Как вы уже догадались, это монитор, который следит за всеми последовательными и параллельными портами на вашем компьютере. Программа умеет отслеживать, какой процесс и в какое время посылает запрос определенному порту и выводит результат такого обращения. По функциям­ программа схожа со своими собратьями, отличительной особенностью является возможность подключения к удаленному компьютеру.
Все вышеописанные программы и многие другие не менее полезные утилиты свободно можно скачать с сайта разработчика www.sysinternals.com. Данные программы можно в какой-то степени отнести к классу образовательных, а вот как вы сможете их применить — зависит от вашей фантазии и сообразительности.


Рекомендуем почитать: