วิธีการติดตาม“ การเข้าถึงถูกปฏิเสธ” รีจิสทรีและไฟล์เหตุการณ์โดยใช้การตรวจสอบกระบวนการ

2019-06-24 23:10:07
หลัก·ไมโครซอฟท์·วิธีการติดตาม“ การเข้าถึงถูกปฏิเสธ” รีจิสทรีและไฟล์เหตุการณ์โดยใช้การตรวจสอบกระบวนการ

แอปพลิเคชันที่เขียนได้ดีจะจัดการข้อผิดพลาดที่เหมาะสมแจ้งผู้ใช้โดยละเอียดเกี่ยวกับข้อผิดพลาดที่ถูกโต้กลับและวิธีแก้ไขข้อผิดพลาดแทนที่จะล้มเหลวอย่างเงียบ ๆ หรือทิ้งรหัสข้อผิดพลาดที่คลุมเครือและเลิกใช้ โพสต์นี้จะบอกวิธีการติดตามเหตุการณ์ "Access Denied" สำหรับไฟล์และกิจกรรมรีจิสตรีที่เกิดขึ้นในระบบโดยใช้ Process Monitor

(ฉันมีบทความวิธีใช้การตรวจสอบกระบวนการอยู่แล้วและบทความนี้อธิบายวิธีติดตาม / ติดตามรายการ "Access Denied" โดยกำหนดค่าตัวเลือกการกรองในการตรวจสอบกระบวนการ)

1. รับการตรวจสอบกระบวนการจากหน้า Windows SysInternals

2. ยอมรับ EULA ที่ปรากฏขึ้นเมื่อคุณเรียกใช้โปรแกรมเป็นครั้งแรก

3. การตรวจสอบกระบวนการเริ่มจับภาพเหตุการณ์โดยอัตโนมัติ หยุดการจับภาพโดยคลิกปุ่มถ่ายภาพ (CTRL + E) ในแถบเครื่องมือ

ชุดของ 5 ปุ่มที่คุณเห็นทางด้านขวาสำหรับแสดงกิจกรรม 5 อย่างที่ถูกจับ

(ทุกอย่างถูกจับอยู่แล้ว แต่คุณสามารถเลือกสิ่งที่แสดงในหน้าต่างผลลัพธ์)

  1. Registry

  2. ระบบไฟล์

  3. กิจกรรมเครือข่าย

  4. กิจกรรมกระบวนการและเธรด

  5. การทำโปรไฟล์กระบวนการ

4. ขั้นตอนการแก้ไขปัญหาเบื้องต้นส่วนใหญ่ต้องใช้ปุ่ม 1 หรือ 2 (หรือทั้งสองอย่างหากจำเป็น) ดังนั้นเปิดใช้งานปุ่ม 1 & 2 เพื่อเริ่มต้นด้วย

5. จากเมนูตัวกรองและคลิกตัวกรอง (CTRL + L)

6. ในกล่องโต้ตอบตัวกรองการตรวจสอบกระบวนการให้คลิกปุ่มรีเซ็ต นี่คือการล้างตัวกรองใด ๆ หากคุณได้กำหนดค่าไว้ก่อนหน้า

7. จากนั้นตั้งค่าตัวเลือกการกรองตามด้านล่างเพื่อจับเฉพาะรายการ "ปฏิเสธการเข้าถึง"

 ผลลัพธ์ประกอบด้วย DENIED จากนั้นรวมถึง 

8. คลิก เพิ่ม และคลิกตกลง

9. เริ่มการจับภาพโดยเปิดใช้งานปุ่มสลับสลับในแถบเครื่องมือ

10. ตอนนี้เริ่มทำซ้ำปัญหา สมมติว่าคุณพยายามสร้างรีจิสตรีคีย์และพบข้อผิดพลาด .. ลองทำการดำเนินการเดียวกันในขณะที่ Process Monitor กำลังจับภาพในพื้นหลัง

11. หลังจากสร้างปัญหาขึ้นมาอีกครั้งคุณจะเห็นรายการตรวจสอบกระบวนการของรายการถูกปฏิเสธการเข้าถึง (ถ้าเกิดขึ้น)

ในตัวอย่างนี้ฉันพยายามสร้างรีจิสตรีคีย์ภายใต้สาขา HKEY_CLASSES_ROOT โดยใช้บรรทัดคำสั่ง REG.EXE และมันโต้กลับข้อผิดพลาดการปฏิเสธการเข้าถึง แน่นอนฉันรู้ REG.EXE ต้องทำงานภายใต้ Command Prompt เพื่อสร้างหรือปรับเปลี่ยนคีย์ในพื้นที่ระบบของรีจิสทรี นี่คือเพื่อภาพประกอบ

12. จดบันทึกชื่อกระบวนการการดำเนินการที่พยายามดำเนินการและไฟล์ / ไดเรกทอรีหรือเส้นทางรีจิสทรีที่พยายามแก้ไข แก้ไขการอนุญาตหากจำเป็น

อย่างไรก็ตามโปรดทราบว่ารายการ ACEN DENIED บางรายการที่คุณเห็นในการตรวจสอบกระบวนการอาจไม่จำเป็นต้องมีเหตุการณ์ บางอย่างเป็นเรื่องปกติอย่างสมบูรณ์ หากคุณไม่แน่ใจว่ามีอะไรปรากฏในบันทึกให้บันทึกไฟล์เป็นไฟล์ PML บีบอัดมันและส่งไปยังทีมสนับสนุนที่เกี่ยวข้อง

ตัวเลือกของบรรณาธิการ