프로세스 모니터를 사용하여 레지스트리 및 파일 시스템 변경 사항을 추적하는 방법

프로세스 모니터는 응용 프로그램이 실시간으로 액세스하는 파일과 레지스트리 키를 표시하는 Windows Sysinternals의 우수한 문제 해결 도구입니다. 결과를 로그 파일에 저장하면 문제를 분석하고 문제를 해결하기 위해 전문가에게 보낼 수 있습니다.

다음은 애플리케이션별로 레지스트리 및 파일 시스템 액세스를 캡처하고 추가 분석을 위해 프로세스 모니터를 사용하여 로그 파일을 생성하는 방법에 대한 안내서입니다.

프로세스 모니터를 사용하여 레지스트리 및 파일 시스템 변경 사항 추적

시나리오 : Windows에서 HOSTS 파일에 쓸 수없고 후드에서 발생하는 상황을 알고 싶다고 가정합니다. 다음 기사의 모든 단계는이 샘플 시나리오와 관련이 있습니다.

1 단계 : 프로세스 모니터 실행 및 필터 구성

1. Windows Sysinternals 사이트에서 프로세스 모니터를 다운로드하십시오.
2. zip 파일 내용을 선택한 폴더로 추출하십시오.
3. 프로세스 모니터 애플리케이션을 실행하십시오.
4. 활동을 추적하려는 프로세스를 포함하십시오. 이 예에서는 (포함) 필터에 Notepad.exe 를 포함하려고합니다.
   
5. 추가 를 클릭하고 확인을 클릭하십시오.
   
   팁 : Notepad.exe 와 함께 더 적은 수의 프로세스를 추적하려는 경우 여러 항목을 추가 할 수도 있습니다. 이 예제를 더 단순하게 유지하려면 Notepad.exe 만 추적하십시오.

   (이제 프로세스 유무에 따라 실시간으로 프로세스별로 레지스트리 및 파일 액세스 목록을 추적하는 프로세스 모니터 기본 창이 표시됩니다.)
   
   

6. 옵션 메뉴에서 열 선택을 클릭 하십시오 .
7. “Event Details”에서 Sequence Number를 활성화하고 OK를 클릭하십시오.
   

2 단계 : 이벤트 캡처

1. 메모장을 엽니 다.
2. 프로세스 모니터 창으로 전환하십시오.
3. "캡처"모드를 활성화하십시오 (아직 켜져 있지 않은 경우). 프로세스 모니터 도구 모음을 통해 "캡처"모드의 상태를 볼 수 있습니다.
   위의 강조 표시된 버튼은 현재 비활성화 된 "캡처"버튼입니다. 이벤트를 캡처하려면 해당 단추를 클릭하거나 Ctrl + E 키 순서를 사용해야합니다.
4. Ctrl + X 키 시퀀스 (중요)를 사용하여 기존 이벤트 목록을 정리하고 새로 시작
5. 메모장으로 전환 하여 문제 를 재현 해보십시오.

   문제를 재현하려면 (이 예제의 경우) HOSTS 파일 ( C:\Windows\System32\Drivers\Etc\HOSTS )에 쓰고 저장하십시오. Windows는 다른 이름으로 또는 다른 위치에 다른 이름으로 저장 대화 상자를 표시하여 파일을 저장합니다 .

   HOSTS 파일에 저장하면 어떻게됩니까? 프로세스 모니터가이를 정확하게 보여줍니다.
   
   

6. 프로세스 모니터 창으로 전환하고 문제점을 재현하자마자 캡처 (Ctrl + E)를 끄십시오. 중요 참고 사항 : 캡처를 활성화 한 후 문제를 재현하는 데 시간이 많이 걸리지 않습니다. 마찬가지로 문제를 재현하는 즉시 캡처를 해제하십시오. 이는 프로세스 모니터가 불필요한 다른 데이터를 기록하지 않도록하기위한 것입니다 (분석이 더 어려워 짐). 최대한 빨리 모든 것을해야합니다.

   솔루션 : 위의 로그 파일은 HOSTS 파일에 쓸 때 메모장에 ACCESS DENIED 오류가 발생했음을 알려줍니다. 해결책은 HOSTS 파일에 성공적으로 쓸 수 있도록 메모장을 관리자 권한으로 실행하는 것입니다 (오른쪽 클릭하고“관리자 권한으로 실행”을 선택).

3 단계 : 출력 저장

1. 프로세스 모니터 창에서 파일 메뉴를 선택하고 저장을 클릭 하십시오.
2. PML (Native Process Monitor Format)을 선택하고 출력 파일 이름과 경로를 언급 한 후 파일을 저장하십시오.
   
3. Logfile.PML 파일을 마우스 오른쪽 단추로 클릭하고 보내기를 클릭 한 다음 Compressed (zipped) folder 선택하십시오. 파일을 ~90% 압축합니다. 아래 그림을보십시오. 로그 파일을 다른 사람에게 보내기 전에 압축해야합니다.

편집자 주 : 일반적으로 클라이언트가 모든 이벤트 옵션과 함께 로그를 저장하여 대상 컴퓨터의 문제를 효과적으로 해결할 수있는 광범위한 옵션을 얻을 것을 제안합니다. 프로세스 모니터 로그를 보내려면 로그 파일을 저장할 때 모든 이벤트 옵션을 활성화해야합니다. 또한 보내기 전에 로그 파일의 압축 (.zip)을 잊지 마십시오.

그게 다야, 독자. 문서를 단순하게 유지하기 위해 최종 사용자가 Process Monitor를 사용하여 레지스트리 및 파일 시스템 이벤트를 효율적으로 추적하고 로그 파일을 생성하는 방법을 명확하게 이해하도록 가장 쉬운 예를 사용했습니다.