troushoo

Process Monitorのインストールからチィップスまで (1)

Process MonitorとはMicrosoftのサイトからダウンロードできる無料のツールで、リアルタイムにファイルアクセス・レジストリアクセス・ネットワーク・プロセスといったイベントをモニターできます。したがって、システムやアプリの挙動を把握するのに強力に役に立ちます。
以下、3回に分けてProcess Monitorを紹介します。
1回目はインストール方法と基本的な使い方を説明します。
2, 3回目は、今年6月に開催されたTechEdのセッションのうち、Process Monitorの作者であるMark Russinovichがセッションで紹介したチィップスと、Process Monitorについても記述されているWindows Sysinternals Administrator’s Referenceの著者の一人であるAaron Margosisのセッションで紹介されたティップスを中心に説明します。
  追記: 2回目はこちらです。
            3回目はこちらです。


インストール方法
インストール方法は簡単です。
1. Microsoftのサイトに移動し”Process Monitorのダウンロード”をクリックします。
Process Monitorのダウンロード
ProcessMonitor.zipをダウンロードしますので、解凍します。これで終了です。
解凍したProcess Monotorのフォルダ

基本的な使い方
・Process Monitorの起動
Procmon.exeを起動すると以下のような画面になります。
*初回起動時は使用許諾に同意する必要があります。
Process Monitor起動直後の画面
デフォルトの設定で、レジストリアクセス・ファイルアクセス・ネットワーク・プロセスのイベントをモニターしています。
それぞれの出力は以下のボタンで表示の有無の設定が可能です。
出力の設定
以下、それぞれの出力例を見てみます。
- レジストリアクセス
以下の例は、Explorer.EXEがHKCR\.zip\(Default)に対してRegQueryValueを行い、結果、TypeがREG_SZ、値がCompressedFolderを取得できた時の例です。
レジストリアクセスの出力例
レジストリエディターでHKCR\.zipを確認すると、その値があることがわかります。
レジストリの値
このようにアプリのレジストリアクセス情報を取得することができます。

-ファイルアクセス
以下の例は、Explorer.EXEがC:\Program Files (x86)\desktop.iniに対してReadFileを行い、結果、成功した時の例です。
ファイルアクセスの出力例
このようにアプリのファイルアクセス情報を取得することができます。

-ネットワーク
以下の例は、iexplore.exeがWIN-1P412P8DQC1(=procmon.exeを動かしているマシン)からt11.top.vip.tnz.yahoo.co.jpに対してhttpアクセスをし、結果、成功している時の例です。
ネットワークアクセスの出力例
このようにアプリのネットワーク情報を取得することができます。

-プロセス
以下の例は、ixplore.exeがスレッドを作成した時の例です。
プロセスの出力例
このように、プロセスやスレッドのイベント情報を取得することができます。

・イベントのキャプチャ
上記のようなイベントは、以下の図のように虫眼鏡をクリックし×がついた状態にするとキャプチャされないようにすることも可能です。
また、下図のように左下の部分より、キャプチャしたイベント数・現在表示されているイベント数がわかります。
以下の例ではキャプチャしたイベント数が78,871個で、表示されているイベント数が6,069個です。
イベントのキャプチャ

・保存
キャプチャしたイベントは保存することも可能です。保存することにより、後日再度確認したり、ほかの人に調査を依頼することが可能です。
保存するにはFile –> Saveを選択します。
保存
以下のような画面になります。
保存

リンク
・Process Monitorのサイト
http://technet.microsoft.com/ja-jp/sysinternals/bb896645.aspx


  1. 2012/07/30(月) 16:30:42|
  2. ツール
  3. | トラックバック:0
  4. | コメント:0
<<Process Monitorのインストールからチィップスまで (2) | ホーム | Windows Azureのコンピュートエミュレーターに表示されるトレースを、Windows Azure OS上でも簡単に確認する方法>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/68-6fb961a4
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (22)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する