2.2 Практичне застосування Process Monitor
Одне з основних застосувань Process Monitor - визначення причин аварійного завершення додатків у разі відсутності або невірного розташування файлів, каталогів, розділів і ключів реєстру. Іноді програма використовується для дослідження роботи конкретного додатка, наприклад для визначення місцезнаходження налаштувань оглядача Mozilla Firefox. При дослідженні поведінки конкретного додатка, бажано створити такі умови фільтрації, щоб не відображалася зайва інформація і не загубилася потрібна. Як правило, налаштування додатків зберігаються або в реєстрі, або у файлі, тому, потрібно відсіяти відображення подій, не пов'язаних з даним додатком (ім'я процесу не дорівнює firefox.exe) і потрібним видом активності Event Class (виключити події мережевої активності Network і класу Profiling і включити події класів Registry і File System). Після налаштування фільтра, бажано очистити активний буфер (CTRL + X) і викликати виконання досліджуваного події - тобто перейти у вікно Firefox.exe, змінити і зберегти якусь із налаштувань. Після чого потрібно повернутися у вікно Process Monitor, зупинити процес перехоплення подій і приступити до аналізу отриманих даних. Звичайно, у випадку складної програми, кількість операцій звернення до реєстру і файлової системи може обчислюватися сотнями або навіть тисячами, і в подібних випадках, доведеться розбиратися виходячи зі здорового глузду і можливої логіки роботи програми. Так, найбільш ймовірно, що:
Налаштування будь-якого додатку не можуть зберігатися в тимчасових файлах, тому їх можна відразу виключити з аналізу. - Налаштування оглядача Firefox індивідуальні для кожного користувача, і отже, пов'язані з його профілем (каталог C:\Documents And Settings\користувач для Win2k/XP, C:\Users\Користувач для Windows Vista/7) і розділ реєстру HKEY CURRENT USER ( HKCU)).
Можна також виділити той факт, що збереження опцій - це операція запису. В результаті таких припущень, коло пошуку буде значно звужений і процес аналізу подій стане простіше. В якості відповіді для задачі пошуку місця зберігання налаштувань Firefox - для користувача налаштування зберігаються не в реєстрі, а файлі з ім'ям prefs.js. Аналіз вмісту файлу підтверджує припущення, що це саме налаштування. У перших рядках міститься текст:
# Mozilla User Preferences
/* Do not edit this file.
*
* If you make changes to this file while the application is running,
* the changes will be overwritten when the application exits.
*
* To make a manual change to preferences, you can visit the URL about:config
* For more information, see http://www.mozilla.org/unix/customizing.html#prefs
*/
З перекладу стає зрозуміло, що налаштування, внесені вручну в даний файл, при запущеному оглядачі, не будуть збережені, оскільки будуть перезаписані при його завершенні. І для ручного зміни налаштувань слід в адресному рядку Mozilla Firefox набрати about:config. За додатковою інформацією пропонується перейти по посиланню на сайт mozilla.org. А також, зрозуміло, що для збереження поточних налаштувань оглядача, можна скопіювати вміст файлу prefs.js в файл з іншим ім'ям і при необхідності, в будь-який момент, відновити їх з збереженої копії.
Можливості Process Monitor дозволяють також отримувати сумарні показники використання ресурсів системи (меню Tools -: Summary) (рисунок 2.6).
Рисунок 2.6 Приклад відображення сумарних показників використання файлової системи
При необхідності отримання даних про статистику використання окремих каталогів можна перейти на вкладку By Folder (рисунок 2.7).
Рисунок 2.7 Приклад відображення окремих каталогів
При необхідності отримання статистики використання файлів по розширенню, потрібно перейти на вкладку By Extensions (рисунок 2.8).
Рисунок 2.8 Статистики використання файлів по розширенню
відображається статистика
Total - загальне число звернень до реєстру
Opens - число виконань операцій відкриття
Closes - число виконань операцій закриття
Reads - число виконань операцій читання
Writes - число виконань операцій запису
Others - число виконань інших операцій
Paths - Шлях розділу або ключа реєстру