Come tenere traccia degli eventi del registro e dei file "Accesso negato" mediante Process Monitor

Un'applicazione ben scritta esegue correttamente la gestione degli errori, avvisando l'utente in dettaglio sull'errore che ha contrastato e su come procedere per risolverlo, piuttosto che fallire silenziosamente o lanciare un codice di errore oscuro e uscire. Questo post spiega come tracciare gli eventi "Accesso negato" per le attività di file e registro che si verificano nel sistema, usando Process Monitor.

(Ho già un articolo informativo sull'uso di Process Monitor con l'esempio e questo articolo spiega in modo specifico come tenere traccia / traccia delle voci "Accesso negato" configurando le Opzioni di filtro in Process Monitor.)

1. Ottieni Process Monitor dalla pagina Windows SysInternals.

2. Accettare l'EULA che appare quando si esegue il programma per la prima volta.

3. Process Monitor avvia l'acquisizione automatica degli eventi. Interrompere l'acquisizione facendo clic sul pulsante Acquisisci (CTRL + E) nella barra degli strumenti.

L'insieme di 5 pulsanti visualizzati a destra serve per visualizzare 5 diverse attività acquisite.

(Tutto viene comunque catturato, ma è possibile scegliere ciò che viene mostrato nella finestra di output.)

  1. Registro

  2. File system

  3. Attività di rete

  4. Attività di processo e thread

  5. Profilazione del processo

4. La maggior parte delle procedure di base per la risoluzione dei problemi richiede che i pulsanti 1 o 2 (o entrambi, se necessario) siano attivati. Quindi, abilita i pulsanti 1 e 2 per iniziare.

5. Dal menu Filtro e fare clic su Filtro (CTRL + L)

$config[ads_text6] not found

6. Nella finestra di dialogo Filtro di Process Monitor, fare clic sul pulsante Reimposta. Questo serve per cancellare tutti i filtri se hai configurato in precedenza.

7. Quindi, imposta le opzioni di filtro come quella qui sotto, in modo da catturare in modo specifico le voci "Accesso negato".

 Il risultato contiene DENIED quindi Includi 

8. Fare clic su Aggiungi e fare clic su OK.

9. Inizia l'acquisizione abilitando il pulsante di attivazione / disattivazione Cattura nella barra degli strumenti.

10. Ora, inizia a riprodurre il problema. Supponiamo di provare a creare una chiave di registro e di riscontrare un errore. Prova a fare la stessa operazione mentre Process Monitor la sta acquisendo in background.

11. Dopo aver riprodotto il problema, vedrai Process Monitor elencare le voci Accesso negato (se si è verificato uno qualsiasi).

In questo esempio, ho provato a creare una chiave del Registro di sistema nel ramo HKEY_CLASSES_ROOT utilizzando la riga di comando REG.EXE e si è verificato un errore Accesso negato. Naturalmente, sapevo che REG.EXE doveva essere eseguito con il prompt dei comandi con privilegi elevati per creare o modificare le chiavi nelle aree di sistema del registro. Questo è a scopo illustrativo.

12. Annotare il nome del processo, l'operazione che ha tentato di eseguire e il file / directory o il percorso del registro che ha tentato di modificare. Modificare le autorizzazioni se necessario.

Tuttavia, tenere presente che non tutte le voci ACCESS DENIED visualizzate in Process Monitor potrebbero essere necessariamente eventi problematici. Alcuni sono perfettamente normali. Se non sei sicuro di cosa sia mostrato nel registro, salva il registro in un file PML. comprimilo e invialo al rispettivo team di supporto.

Articoli Correlati