برنامج تتبع العمليات. مراقب العمليات: كيفية تعقب تطبيق يكتب ملفات غريبة على القرص

19.04.2019

نقوم باكتشاف الملفات غير المعروفة على القرص بطريقتين. إما أنها مرئية بوضوح في Explorer أو مدير الملفات، أو يتم طرحها من خلال البحث عن سبب اختفاء المساحة الحرة على القرص. من الجيد أن لا تظهر بعد حذف الملفات. لكن هذا ليس هو الحال دائمًا، وفي هذه الحالة يتعين عليك تحديد التطبيق الذي يقوم بإنشائها.

في أحد الأيام، جاء شخص إلى المنتدى وكان تطبيقه يكتب الملفات إلى جذر محرك أقراص النظام الذي تحتوي أسماؤه على اسمه tmp_out.

بالطبع، من الممكن أن يكون هذا النظام مصابًا، ويلزم إجراء فحص شامل لجميع أنواع أدوات مكافحة الفيروسات. لكن المشكلة لا ترتبط دائمًا بالشفرات الضارة، ومن ثم ستكون هناك حاجة إلى نهج مختلف. أسهل طريقة لمعرفة السبب وراء ظهور مثل هذه الملفات هي استخدام الأداة المساعدة. في هذا الفيديو الذي تبلغ مدته أربع دقائق ستتعلم كيفية القيام بذلك.

تتبع النشاط

عند تشغيل الأداة المساعدة، فإنها تراقب عدة أنواع من نشاط النظام:

  • التسجيل
  • نظام الملفات
  • العمليات والخيوط

نظرًا لأننا نبحث عن سبب كتابة الملفات على القرص، فنحن بحاجة إلى التركيز على النشاط على نظام الملفات. للقيام بذلك، اترك زرًا واحدًا فقط على شريط الأدوات ممكّنًا، وهو المسؤول عن نشاط القرص.

تأكد أيضًا من أن الأداة المساعدة تتعقب النشاط. إذا كان لديك زر مشطوب ومحاط بدائرة باللون الأحمر في الشكل، فانقر فوق CTRL+E.

في الشكل أعلاه، تتم مراقبة النشاط، وذلك على نظام الملفات فقط.

الفلتر الرئيسي

أنت الآن بحاجة إلى تطبيق عامل تصفية لاستبعاد الأنشطة غير ذات الصلة. اضغط على اختصار لوحة المفاتيح CTRL+Lوسترى خيارات التصفية. في مراقبة العمليات، تكون بعض المرشحات نشطة على الفور، باستثناء تتبع نشاط البرنامج نفسه، وكذلك بعض مكونات النظام (ملف ترحيل الصفحات، جدول MFT، وما إلى ذلك). يتم ذلك من أجل استبعاد مراقبة نشاط النظام القياسي. في معظم الحالات، ليست هناك حاجة لإزالة هذه المرشحات، وتحتاج فقط إلى إضافة عوامل التصفية الخاصة بك.

يوضح الشكل أعلاه عامل التصفية الذي سيتتبع إنشاء وتعديل جميع الملفات التي تحتوي مساراتها على tmp_out. دعونا نلقي نظرة فاحصة على الفلتر من اليسار إلى اليمين:

  • طريق. المسار في نظام الملفات. يمكنك أيضًا تحديد مفاتيح التسجيل عند مراقبة النشاط في السجل.
  • يتضمن. الشرط الذي يتم من خلاله تحديد البحث عن الكلمة الرئيسية. ترجمت هذه الكلمة من الإنجليزية وتعني "يحتوي على". اعتمادا على المهمة، يمكنك تحديد الشرط عن طريق تحديد الخيار يبدأ ب(يبدأ ب) أو ينتهي ب(ينتهي ب).
  • tmp_out. الكلمة الأساسية، والتي في هذه الحالة يجب أن تكون موجودة في المسار. يعد اسم الملف وامتداده جزءًا من المسار الكامل للملف.
  • يشمل. إدراج حالة محددة في قائمة الحالات المراقبة.

لا تنسى الضغط على الزر يضيفلإضافة عامل تصفية إلى القائمة. ومع ذلك، إذا نسيت، فسوف يذكرك مراقب العمليات قبل إغلاق نافذة التصفية.

في هذه الحالة، استخدمت جزءًا من اسم الملف ككلمة رئيسية، نظرًا لأن جميع الملفات الغريبة تحتوي على tmp_out في الاسم. إذا تم إنشاء ملفات بأسماء مختلفة، ولكن في مجلد معين، فاستخدم المسار إلى هذا المجلد ككلمة أساسية.

نظرًا لوضع شرط صارم لتصفية نشاط الملف، فمن المرجح ألا تعرض نافذة البرنامج أي عمليات بعد الآن. لكن مراقب العمليات بدأ بالفعل في تتبعهم.

التحقق من تشغيل الفلتر بسيط للغاية. يكفي إنشاء ملف في محرر نصوص بالاسم المطلوب أو في مجلد مراقب، وسوف يستجيب مراقب العمليات لهذا على الفور.

مرشحات إضافية

يرجى ملاحظة أن الأداة المساعدة لم تسجل نشاط المفكرة فحسب، بل سجلت أيضًا مستكشف Windows والبحث. يمكن استبعاد العمليات غير ذات الصلة من النتائج عن طريق إنشاء مرشحات إضافية. فقط انقر بزر الماوس الأيمن على العملية واختر من قائمة السياق استبعاد<имя процесса> . هذه هي أبسط طريقة لإنشاء فلتر، ولكن يمكنك القيام بذلك من نافذة الفلتر كما هو موضح أعلاه. في هذه الحالة سيكون الشرط: اسم العملية – هل –<имя процесса>- استبعاد.

تسجيل وفتح السجل

يرجى ملاحظة أنه أثناء التتبع طويل المدى، يمكن قياس حجم السجل بالجيجابايت. بشكل افتراضي، يقوم مراقب العمليات بكتابة السجلات إلى ملف الصفحة. إذا كان لديك قسم نظام صغير، فمن المنطقي حفظ السجل في ملف على قسم قرص آخر.

لحفظ السجل في ملف، اضغط على اختصار لوحة المفاتيح CTRL + بوحدد الاسم والموقع المطلوب للملف.

تسري التغييرات بعد إعادة تشغيل التقاط النشاط. يمكنك الآن ترك مراقبة العمليات قيد التشغيل بأمان لفترة طويلة دون القلق بشأن الحد الأقصى لمساحة القرص لديك.

يمكنك إيقاف تتبع النشاط باستخدام اختصار لوحة المفاتيح CTRL+E.

وبعد ذلك، يمكنك دائمًا تحميل السجل من الملف المحفوظ إلى الأداة المساعدة. أغلق مراقبة العمليات وانقر نقرًا مزدوجًا فوق ملف السجل بامتداد PML. سيتم عرض محتويات السجل في نافذة Process Explorer.

الشخص الذي اتصل بالمنتدى بسبب مشكلة لم يعد أبدًا ليقول ما إذا كانت نصيحتي قد ساعدته. لكنه لم يكن أول من طرح مثل هذا السؤال وبالتأكيد ليس الأخير. إذا كان لديك سؤال، يمكنك الإجابة عليه باستخدام مراقبة العمليات.

حول الفيديو

أعرب قراء المدونة عن دعمهم لفكرتي في استكمال المقالات بمواد فيديو. اعتقدت أن هذه الحالة مناسبة جدًا وسجلت مقطع فيديو مدته أقل من 4 دقائق.

لنكون صادقين، يستغرق إنشاء فيديو مثل هذا وقتًا أطول بكثير من كتابة مقال. لذلك، في أي حال، أنا لست مستعدا لاستبدال النص المطبوع بمواد الفيديو. لكن يبدو لي أن الفيديو في هذه الحالة أكثر تشويقًا ووضوحًا. ما رأيك بهذا؟

يبلغ طول الفيديو حوالي أربع دقائق وحاولت أن أجعله سريعًا وموجزًا. بعد كل شيء، في الواقع، يستغرق التحضير لتلقي الطلب دقيقة واحدة فقط. هل أنت راضي عن سرعة العرض؟

يمكنك مشاهدة قصة أكثر تفصيلاً عن مراقبة العمليات وأمثلة أخرى لاستخدامها العملي في الفيديو الخاص بزميلي فاسيلي جوسيف، إذا كان لديك 40 دقيقة مجانية :)

يعد Process Explorer وProcess Monitor من بين ثلاث أدوات مفيدة جدًا لضبط أنظمة تشغيل Windows.

إذا كنت تريد معرفة ما يحدث على جهاز الكمبيوتر الخاص بك الآن، فجرب Process Explorer. يعد Process Explorer في جوهره إصدارًا أكثر تعقيدًا من مدير مهام Windows 10.

فهو يعرض معلومات في الوقت الفعلي حول العمليات الجارية، بما في ذلك الحساب الذي يملك عملية معينة. ما هي الملفات ومفاتيح التسجيل والكائنات الأخرى التي تم فتحها بواسطة هذه العملية. وما هي ملفات DLL التي تم تحميلها بواسطة هذه العملية. يوفر Process Explorer أيضًا لمحة سريعة عن أداء النظام واستخدام الموارد.

هل تفضل العرض المزدحم والغني بالمعلومات لـ Process Explorer على مدير المهام الأنظف ولكن الفارغ في الغالب؟ من فضلك، هناك معلمة لهذا. على وجه التحديد، في Process Explorer، حدد قائمة Options ثم Replace Task Manager (ستحتاج إلى بيانات اعتماد المسؤول لإجراء هذا التغيير). بعد ذلك، سيؤدي الضغط على Ctrl+Shift+Esc بدلاً من ذلك إلى فتح أداة Sysinternals.

يوضح المثال أدناه بوضوح أن Process Explorer نشط للغاية. ويستخدم الترميز اللوني لتحديد كل عملية حسب النوع، والرسوم المتحركة لجذب الانتباه إلى بدء العمليات وإنهائها.

تتعامل طريقة عرض التجميع الافتراضية في Process Explorer مع العمليات الأصل والفرعية وتستخدم ترميز الألوان لتحديد أنواع مختلفة من العمليات.

ترميز الألوان، يمكنك تخصيصه بنفسك. للقيام بذلك، انقر فوق "خيارات" وحدد "ضبط الألوان".

الإعدادات الافتراضية هي كما يلي:

 يشير اللون الأخضر إلى كائنات جديدة، ويشير اللون الأحمر العميق إلى لحظة إزالة الكائنات. يظهر كلا اللونين لفترة قصيرة، في بداية العملية ونهايتها.

 أزرق فاتح - يحدد "العمليات الأصلية"، تلك التي تعمل ضمن نفس الحساب مثل Process Explorer. يرجى ملاحظة أن هذه العمليات قد يتم تشغيلها في سياق أمان مختلف عن حساب المستخدم الذي تم تشغيلها من خلاله.

 اللون الوردي - يسلط الضوء على العمليات التي تحتوي على خدمة Windows واحدة أو أكثر. عندما تقوم بالتمرير فوق أحد هذه الأسطر، يظهر تلميح أداة يعرض أسماء الخدمات الفردية التي تعمل في تلك العملية. والذي يمكن أن يكون مفيدًا في تحديد مثيل Svchost.exe المسؤول عن ذلك.

 الأرجواني (أو الأرجواني الداكن) - يعني البرامج القابلة للتنفيذ المجمعة (المشفرة أو المضغوطة). قد يشير هذا إلى وجود برامج ضارة محتملة، خاصة إذا كانت مرتبطة بعملية غير معروفة.

 Teal - يعرض تجارب غامرة مرتبطة بتطبيقات Windows Store.

 الرمادي الداكن - يحدد العملية المعلقة. عادةً ما تكون هذه تطبيقات Windows Store التي فتحتها مسبقًا ولكنك لم تعد تستخدمها. تتم كتابة بعض تطبيقات Windows Store خصيصًا حتى تتمكن من الاستمرار في العمل في الخلفية. على سبيل المثال، سيستمر تطبيق Groove Music في تشغيل الألحان حتى عند تحويل التركيز إلى برنامج آخر.

يمكنك التعرف على تشغيل عمليات Windows و.NET من خلال ترميز الألوان الخاص بها، على الرغم من عدم عرض هذه السمات بشكل افتراضي.

تعرض الرسوم البيانية الصغيرة الموجودة أعلى نافذة Process Explorer معلومات النظام في الوقت الفعلي. لرؤية جميع الرسوم البيانية في نافذة واحدة، اضغط على Ctrl + I (كما في المعلومات)، أو في شريط القائمة، انقر فوق "عرض" وحدد "معلومات النظام". أدناه هو هذا العرض في العمل.

تعرض نافذة معلومات النظام الرسوم البيانية للأداء للنظام الحالي في الوقت الفعلي. وأيضا، عند تحريك المؤشر فوق مكان معين، نصائح مفصلة.

انتباه. إذا لم تتمكن من رؤية جميع الرسوم البيانية، فأعد تشغيل Process Explorer كمسؤول.

تحتوي كل علامة تبويب فردية — وحدة المعالجة المركزية (CPU)، والذاكرة، والإدخال/الإخراج، ووحدة معالجة الرسومات — على معلومات إضافية حول مجموعة الموارد المحددة تلك. على وجه التحديد، تضيف علامة التبويب GPU تفاصيل لن تجدها في علامة التبويب الأداء في إدارة المهام.

تصبح القوة الحقيقية لبرنامج Process Explorer واضحة عندما تنقر بزر الماوس الأيمن على عملية فردية للكشف عن قائمة بالخيارات المتاحة.

أول مكان يجب أن تبحث فيه، خاصة إذا كنت تريد معرفة ماهية هذه العملية، هو مربع الحوار "خصائص"، الذي يعرض معلومات أكثر بكثير من نظيره.

تتضمن تفاصيل العملية الجارية معلومات الإصدار وما إذا كانت ستبدأ تلقائيًا.

من مربع حوار الخصائص هذا أو من قائمة العمليات، يمكنك إرسال رمز التجزئة لهذا الملف إلى خدمة VirusTotal. أين يمكن معرفة ما إذا كان أي من برامج مكافحة الفيروسات التي يزيد عددها عن 50 والتي تراقبها VirusTotal ما إذا كانت برامج ضارة محتملة أم لا.

عادةً ما تكون اللوحة السفلية لنافذة Process Explorer مخفية. باستخدام اختصار لوحة المفاتيح Ctrl+L، يمكنك جعلها مرئية (أو، في القائمة "عرض"، حدد "إظهار اللوحة السفلية"). تعرض هذه اللوحة إحدى طريقتي العرض للعملية الحالية: أو المقابض. يمكنك التبديل بين العرضين باستخدام اختصارات لوحة المفاتيح Ctrl+D وCtrl+H على التوالي. في الشكل أدناه، توجد اللوحة السفلية في عرض DLL.

يمكن أن يعرض الجزء السفلي قائمة بمكتبات الارتباط الحيوي (DLL) أو قائمة المقابض المرتبطة بالعملية المحددة.

مراقب العملية

آخر النجوم الثلاثة في Sysinternals هو مراقب العملية، المعروف أيضًا باسم Procmon. عند إطلاقه، يقوم بمراقبة جميع الأنشطة ذات الصلة بنظام الملفات والسجل والشبكة والعملية والخيط وDLL في الوقت الفعلي.

يتتبع Procmon ملايين العمليات المختلفة في غضون ثوانٍ. والتي، للقضاء على التداخل، يمكن بعد ذلك تصفيتها والتركيز على السبب المحتمل للمشكلة. يمكنك بسهولة نسبيًا التقاط آثار نشاط النظام المتزايد وتخزينها في ملفات سجل Procmon. ثم قم بتحليل البيانات الملتقطة على نظام آخر.
للحصول على فكرة عن مستوى التفاصيل التي التقطها Procmon، راجع القائمة أدناه، والتي تمثل نشاط النظام خلال فترة تقاس بأجزاء صغيرة من الثانية.

أثناء التتبع، يقوم مراقب العمليات بتسجيل كافة أحداث كل عملية، والتي، كما هو موضح في شريط الحالة، يمكن أن تؤدي إلى ملايين الأحداث المنفصلة.

على الرغم من أن Procmon يجمع كل ما يتتبعه، إلا أن الخيارات الافتراضية تتضمن مرشحًا يخفي التفاصيل الأولية من نظام الملفات وProcmon نفسه. يمكنك تكوين عامل التصفية على الطاير. ما عليك سوى النقر بزر الماوس الأيمن فوق إدخال معين في عمود معين، ثم في قائمة السياق، حدد أحد الخيارات.

على سبيل المثال، يوضح الشكل النقر بزر الماوس الأيمن على Runtimebroker.exe في عمود اسم العملية. يمكنك الآن اختيار ما إذا كنت تريد تضمين هذه العملية في عامل التصفية الحالي، الذي يعرض السجلات من تلك العملية بشكل فعال، أو استبعادها، بحيث يتم إخفاء النتائج المطابقة. يمكنك أيضًا تحديد السجلات المطابقة لتمييزها دون إخفاء السجلات غير المطابقة.

انقر بزر الماوس الأيمن فوق أي إدخال في أي عمود لرؤية قائمة خيارات تصفية الأحداث التي تحتوي على الإدخالات المطابقة.

انظر إلى شريط الحالة الموجود أسفل نافذة Procmon لمعرفة ما إذا كان قد تم تطبيق مرشح على البيانات المسجلة، وإذا كان الأمر كذلك، ما هو تأثيره. على سبيل المثال، في الشكل، تعرض القائمة التي تمت تصفيتها أقل من حدث واحد من كل 1000 حدث، مما يسمح لك بالتمرير عبر البيانات أو إجراء المزيد من التصفية للأنماط أو .

تحقق من شريط الحالة الموجود أسفل نافذة مراقبة العملية لمعرفة مدى فعالية الفلتر الخاص بك.

يمكنك أيضًا إنشاء عامل تصفية أو تحريره باستخدام مربع حوار عامل التصفية الخاص بمراقبة العمليات، مما يسهل استخدامه. للوصول إلى مربع الحوار "تصفية"، في شريط القائمة "مراقبة العملية"، انقر فوق الزر المناسب. يمكنك تعيين الشروط التي تحدد الأحداث التي سيتم تضمينها أو استبعادها. ثم انقر فوق الزر "إضافة" أو حدد مرشحًا موجودًا وانقر فوق الزر "حذف". لرؤية تأثير الفلتر الجديد على الفور، انقر فوق الزر "تطبيق".

يؤدي النقر فوق الزر "تصفية" إلى فتح مربع حوار مرشح "مراقبة العملية" حيث يمكنك، باستخدام القوائم المنسدلة، إضافة معايير. قبل الخروج، لا تنس النقر فوق الزر "تطبيق".

يهتم الكثير من الأشخاص بالسؤال "كيف يمكنني معرفة ما يفعله البرنامج عند التثبيت أو التشغيل أو الإغلاق أو التشغيل؟" كيف يمكنني متابعة البرنامج؟ الإجابة: استخدام برنامج آخر يسمى مراقبة العمليات.

عمليةشاشة- برنامج لنظام التشغيل Windows يُظهر في الوقت الفعلي مكان كتابة الملفات أو حذفها منها، والملفات التي يقرأها برنامج معين، وما هي الإجراءات التي يقوم بها البرنامج مع السجل، وكيف ومتى يستخدم البرنامج الخاضع للمراقبة الشبكة (الإنترنت)، و كما تراقب العمليات والتدفقات. البرنامج مزود بفلتر قوي لتتبع العمليات أو الأحداث الضرورية. مراقبة العمليات هي الأداة الرئيسية لاستكشاف مشكلات النظام وإصلاحها والتخلص من البرامج الضارة (الفيروسات).

الآن دعونا نلقي نظرة فاحصة على كيفية العمل مع البرنامج وتحليل وظائفه الرئيسية. للحصول على مقدمة أكثر تفصيلاً عن البرنامج، راجع عمود "الفيديو" على اليمين، حيث أن الوصف الكامل للبرنامج سيتطلب تأليف كتاب).

هذا هو الشكل الذي تبدو عليه نافذة البرنامج الرئيسية عند بدء تشغيل "مراقبة العمليات". مباشرة بعد بدء التشغيل، يبدأ تسجيل عمليات Windows: الوصول إلى الملفات وإنشائها، والوصول إلى السجل، والشبكة، وما إلى ذلك.

بالطبع، يتم تسجيل كمية كبيرة جدًا من المعلومات مرة واحدة، وليس من السهل جدًا العثور على ما تحتاجه فيها، ولكن هنا ستساعدنا المرشحات، لكننا سننظر أولاً إلى واجهة البرنامج بعد قليل.

في لوحة البرنامج الرئيسية:

يتم نشر وظائفها الرئيسية. مجموعة الرموز الموجودة في أقصى اليمين

هذه هي أيقونات التصفية الأولية (الخشنة). من اليسار إلى اليمين: إظهار الوصول إلى التسجيل، إلى نظام الملفات، إلى الشبكة (الإنترنت)، وإظهار العمليات والخيوط، والتنميط لكل عملية. وفقا لذلك، إذا قمت بتحديد رمز واحد، على سبيل المثال، الوصول إلى التسجيل، فسيتم عرض الوصول إلى التسجيل فقط، إذا كان هناك اثنان، ثم اثنان، وما إلى ذلك. وألاحظ أنه حتى إذا لم تقم بتحديد أي أيقونات، فسيظل التسجيل مستمرًا وإذا قمت بتشغيله، فسيتم عرض الأحداث قبل تشغيله.

النقطتان التاليتان هما البحث والانتقال:

وبناء على ذلك، إذا قمت بالنقر فوق "بحث"، ستظهر نافذة حيث ستحتاج إلى إدخال عبارة أو معلمات، وإذا قمت بالنقر فوق "انتقال"، فسيتم فتح مستكشف، إذا نظرت، على سبيل المثال، ما هو نوع الملف الذي يتم إنشاؤه أو السجل المحرر، إذا نظرت إلى ما يتم تغيير أو قراءة معلمات التسجيل.

مرشحات مجموعة القائمة التالية

العنصر الأول هو الفلتر نفسه؛ عند النقر عليه، ستفتح نافذة حيث ستحتاج إلى تحديد معلمات التصفية.
النقطة الثانية هي إبراز خطوط معينة، أي. إنه أيضًا مرشح، لكنه ببساطة يختار البيانات الضرورية.
النقطة الثالثة "البصر" ضرورية لإضافة عملية بسرعة إذا كنت لا تعرف اسمها. على سبيل المثال، تم فتح بعض النوافذ، لكنك لا تعرف نوع النافذة، انقر فوق علامة التقاطع مع الاستمرار، واسحبها إلى النافذة التي تظهر، وسيتم إنشاء مرشح تلقائيًا سيراقب هذه العملية.

مجموعة القائمة التالية مسؤولة عن عرض الأحداث في النافذة الرئيسية

يتم إيقاف العدسة المكبرة وبدء التتبع. يتم تمرير القائمة التي تحتوي على سهم تلقائيًا عند ظهور إدخال جديد. والقائمة التي تحتوي على ممحاة هي لمسح قائمة الأحداث التي يتم عرضها على الصنبور.

في القائمتين الأخيرتين، أعتقد أنه ليست هناك حاجة لشرح الكثير حول حفظ العمليات التي تم تتبعها أو تحميلها

الآن دعونا نلقي نظرة على كيفية عمل البرنامج باستخدام مثال. لنفترض أننا نريد معرفة ما يفعله بعض التطبيقات على جهاز الكمبيوتر الخاص بنا. دع هذا التطبيق يكون المفكرة. في العمليات نعلم مسبقًا أنها تسمى باسم المفكرة.إملف تنفيذى.قم بتشغيل "مراقبة العمليات"، ثم اضغط على الزر "تصفية" (Ctrl+L) وانظر النافذة التالية:

بشكل افتراضي، يتضمن بالفعل العديد من المرشحات التي تستبعد من القائمة أنواعًا مختلفة من عمليات النظام، وعمليات برنامج مراقبة العمليات نفسه، وغيرها من العمليات التي لا تكون مطلوبة عادةً للتحليل.

لنقم بإنشاء مرشح خاص بنا والذي سيُظهر العملية فقط المفكرة.إملف تنفيذى.للقيام بذلك، انقر فوق السهم لأسفل الأول، حيث يشير افتراضيًا إلى "الهندسة المعمارية" وحدد "اسم العملية" من القائمة المقترحة في الشكل 1. بعد ذلك، من القائمة الثانية، حدد العنصر "is"، وهو الشكل الافتراضي 2. في القائمة التالية، يمكننا تحديد عملية من العمليات الجاري تشغيلها بالفعل أو إضافتها بأنفسنا عن طريق كتابة "notepad.exe" في الحقل. لم نطلق المفكرة بعد، فلنكتبها بأنفسنا، الشكل 3. النقطة الأخيرة هي كيفية وضع هذه العملية على "تضمين" لتركها فقط، و"استبعاد" لاستبعادها من التدفق العام. حدد "تضمين" الشكل 4. انقر فوق الزر "إضافة" أدناه لإضافة عامل تصفية.

ونتيجة لذلك ينبغي أن نحصل على ما يلي:

نضغط على "تطبيق" "موافق" في الأسفل ونرى أن القائمة في البرنامج أصبحت واضحة، وذلك لأننا قمنا بتمكين الفلتر لعملية لم يتم تشغيلها بعد وأضفنا شرطًا لتجاهل كل شيء باستثناء هذه العملية.

نقوم بتشغيل المفكرة ونرى ما يلي:

السطر الأول الذي نراه هو إطلاق العملية باستخدام PID وPID الأصل، ثم يتم إنشاء سلسلة رسائل، وتحميل ملفات الرسومات، ويتم إنشاء ملف في المجلد C:WindowsPrefetch ويسمى NOTEPAD.EXE-D8414F97.pf. يمكننا الانتقال فورًا إلى هذا المجلد؛ للقيام بذلك، ما عليك سوى تحديد السطر الخامس في هذه الحالة والنقر على السهم الأخضر الموجود على اللوحة الرئيسية، وسيتم فتح المجلد الذي تم إنشاء هذا الملف فيه على الفور. يأتي بعد ذلك تحميل مكتبات النظام المختلفة، وقراءة الإعدادات من السجل، لكل من النظام والمستخدم، وغير ذلك الكثير.

هناك أيقونة أخرى في القائمة الرئيسية لم يتم ذكرها من قبل:

هذا هو رمز شجرة العملية. إذا قمت بالنقر عليه، ستظهر لك النافذة التالية:

تعرض هذه الشجرة البرنامج والعملية التي تم إطلاقها والمجلد الذي تم إطلاقها منه ومدة استمرار العملية والكثير من المعلومات المختلفة.

هذا كل شيء، كما قلت سابقًا، لإظهار كل شيء سيتطلب كتابة كتاب كامل، لذا شاهد الفيديو على اليمين فهو يحكي المزيد ويظهره أيضًا).



مقالات مماثلة
أنواع
  • أجهزة التوجيه
  • الأقراص الصلبة
  • لا يتم تشغيله
  • الطابعات
  • الفرامل
  • يتجمد
  • الفيروسات
  • أجهزة لوحية
المواد شعبية
مقالات جديدة