Диалоговое окно Свойств события

Чтобы найти больше деталей о событии, дважды щелкните по строке события, чтобы открыть диалоговое окно Свойств События. Нажатие Ctrl+K открывает диалоговое окно Свойств События с выведенной на экран вкладкой Stack. Диалоговое окно Свойств События является немодальным; мало того, что можно продолжать работать с основным окном Procmon, у Вас могут быть многократные диалоговые окна Свойств События, открытые одновременно. Диалоговые окна также изменяемого размера и могут даже быть максимизированы.

 

Вверх и вниз по кнопкам стрелки, показанным в рисунке 4-3, позвольте Вам смотреть на свойства сразу предыдущего или следующего события в дисплее. Если Вы устанавливаете флажок Next Highlighted, щелкая по кнопкам стрелки показывает свойства предыдущего или следующего элемента, который выделяется. (Выделение описывается в "Фильтрации и Выделении" раздела позже в этой главе.)

Рис. 4-3. Кнопки навигации в конечном счете диалоговое окно Свойств.

Кнопка Copy All копирует контент текущей вкладки к буферу обмена как разделенный от вкладки простой текст.

Вкладка события.

Вкладка Event диалогового окна Свойств События, показанного в рисунке 4-4, показывает следующую информацию для каждого события: Дата и время, TID, класс события, работа, результат, путь, и продолжительность. Ниже горизонтали строка - специфичная для работы информация, которая также появляется в столбце Detail, но это появляется здесь в более читаемой форме.

Таблица 4-3. Коды Атрибута файла, Используемые в Столбце Детали

 

110 Руководств по Использованию Второй части

В рисунке 4-4 работа была предпринятой работой CreateFile на файле в корневом каталоге диска C, который привел к Доступу запрещен. Детали включают требуемый доступ. Строка Расположения указывает, что существующий объект был бы открыт, если бы ­работа была успешна, а не новый создаваемый объект. Строка ShareMode ­указывает, что это не эксклюзивный доступ и что другие процессы могут открыть объект для чтения, запишите, или удалите операции. Эти детали являются очевидно определенными для работы CreateFile и не появились бы для работы Изображения Загрузки, например. (Если текст слишком широк, чтобы поместиться в дисплей, та ситуация может быть исправлена, изменяя размеры или максимизируя диалоговое окно. Можно также щелкнуть по Copy All — или щелкнуть правой кнопкой в пределах поля Details — щелкают по Select All и Копии, и затем вставляют текст в другом месте.)

Рис. 4-4. Вкладка Event диалогового окна Свойств События.

 

Вкладка процесса.

Вкладка Process диалогового окна Свойств События, показанного в рисунке 4-5, выводит на экран подробную информацию о процессе позади выбранного события в то время, когда событие имело место.

Рис. 4-5. Вкладка Process диалогового окна Свойств События.

Информация, выведенная на экран на вкладке Process, включает:

■                Значок приложения, извлеченный из изображения процесса (или значок по умолчанию, если у изображения нет ни одного).

■                Описание, название компании, и версия файла извлекаются из ресурса информации о версии изображения.

■                Имя процесса.

■                Путь к файлу к исполнимому изображению.

■                Командная строка, которая использовалась, чтобы запустить этот процесс.

■                ID процесса для этого процесса и для родительского процесса, который запустил этого.

■                Терминальный ID сеанса служб, в котором работает этот процесс.

■                Учетная запись пользователя, под которой работает процесс.

■                ID аутентификации (Подлинный ID) для маркера процесса. ID Аутентификации - локально уникальный ID (LUID), который идентифицирует Власти Локальной защиты (LSA) сеанс входа в систему, который создал маркер доступа, который использует этот процесс. (LUID - сгенерированное системой, 64-разрядное значение, которое, как гарантируют, будет уникально во время единственного сеанса начальной загрузки на системе, на которой он был сгенерирован.) LogonSessions перечисляет активные сеансы входа в систему LSA и описывается в Главе 8, "Утилиты Безопасности."

 

■                Когда процесс запускался, и когда он закончился (если он имеет).

■                Архитектура (32-разрядный или 64-разрядный исполнимый код).

■                Включается ли виртуализация файла и реестра UAC для этого процесса (Windows Vista и более новая только).

■                Уровень целостности процесса (Windows Vista и более новый только).

■                Список модулей (исполнимые изображения) загруженный в адресное пространство процесса в это время это событие произошел. У недавно запущенного процесса будет пустой список, пока некоторые события Load Image не загрузят exe, Ntdll.dll, и другие модули.

Вкладка стека.

Вкладка Stack диалогового окна Свойств События, показанного в рисунке 4-6, выводит на экран стек вызова потока, когда событие было записано. Стек может быть полезным для определения ­причины, событие имело место и компонент, ответственный за событие. См. "Стеки вызова и Символы" раздел в Главе 2, чтобы понять то, что стек вызова и как сконфигурировать Procmon, чтобы максимизировать информацию, которую можно получить от одного.

Каждая строка представляет один стековый фрейм с пятью столбцами данных:

■                Фрейм. Выводит на экран число фрейма, и K для фрейма режима ядра или U для фрейма пользовательского режима. (Стековые фреймы пользовательского режима не получаются на x64 версиях Windows до Windows Vista SP1 и Windows Server 2008.)

■           Модуль. Имя файла, содержащего код, выполняемый в этом фрейме.

■                Расположение. Определенное расположение в пределах модуля, где код выполняется. Если символы доступны, расположение выражается как имя функции и смещение с начала той функции; если информация об исходном файле будет также доступна, то расположение будет включать путь к и номер строки в пределах исходного файла. Если символы не доступны, и у модуля есть таблица экспорта, расположение дается как самое близкое ­предыдущее экспортируемое имя и смещение от того расположения. Если никакие символы или экспорт не доступны, расположение выражается как смещение от базового адреса модуля в памяти. См. "Стеки вызова и Символы" раздел в Главе 2 для получения дополнительной информации.

■                Адрес. Адрес инструкции кода в виртуальном адресном пространстве процесса выполнения.

■                Путь. Весь путь файла идентифицируется в столбце Module. С размером по умолчанию диалогового окна Вы должны прокрутить или изменить размеры диалогового окна, чтобы видеть этот столбец. Это может помочь Вам проверить, какая версия DLL выполняется.

Рис. 4-6. Вкладка Stack диалогового окна Свойств События.

На вкладке Stack можно сделать следующее:

■                Щелкните по Save, чтобы сохранить трассировку стека как разделенные от запятой значения (CSV) файл.

■                Дважды щелкните по строке в трассировке стека, чтобы открыть диалоговое окно Свойств Модуля. Это диалоговое окно выводит на экран имя и путь модуля в трассировке стека, наряду с описанием, версией файла, и названием компании, извлеченным из ресурса информации о версии модуля.

■                Выберите строку и щелкните по Search, чтобы искать онлайн для получения дополнительной информации о символе или имени модуля в столбце Location. Procmon будет инициировать поиск, используя Ваш браузер по умолчанию и поисковую систему.

■                Нажмите кнопку Source, которая включается, если информация о символе для выбранного стекового фрейма включает информацию об исходном файле. Исходный файл (если найдено в ожидаемом расположении) выводится на экран в новом окне с идентифицированной строкой выбранного исходного кода.

Отметьте, что Символы должны быть сконфигурированы для Procmon, чтобы активировать некоторые из этих опций. Вы конфигурируете их из окна Procmon (показанный в рисунке 4-1) выбором, Конфигурируют Символы от меню опций. Обратитесь к "разделу" Символов Конфигурирования в Главе 2 для деталей.