9.1 常用工具使用方法
9.1.1 Procexp
Procexp主要功能和特点
- 查看进程列表,树状显示,父子关系清晰
- 查看进程详细信息,如进程命令行参数,启动时间,进程令牌,环境变量,运行线程,堆栈等信息
- 能轻松的杀掉或挂起某一进程或线程
- 能查看某进程所持有的有名内核对象和所加载的模块
- 能够根据窗口定位到该窗口所在进程
- 具有DLL或Handle的搜索功能
Procexp运用场景
- 当出现客户端登陆失败的时候,首先应该查看进程启动情况
- 出现弹出窗口时,可以定位到所属进程,SPY++也可以。
- CPU占用过高时,可以定位到进程的某一线程,可以查看到其- - 堆栈调用情况,例:DbgView卡死
- 出现拒绝访问时,可以查看或动态调整权限
- 可以确定是否加载某DLL
- 查看Mutex的占用
典型应用案例
案例1:aTrust进程是否启动正常,是否存在反复重启
1.启动aTrust诊断修复工具,下载运维工具包,解压获取到Procexp.exe工具
2.运行Procexp.exe工具,查看进程列表
2310及以上客户端,默认会存在两个aTrustAgent.exe进程和两个aTrustXTunnel.exe进程。
如果出现进程缺少,或者进程PID反复重启,则说明当前aTrust客户端存在异常。
案例2:PC上出现异常弹框,需要确认当前弹框是否为aTrust进程弹出
1.手动启动Procexp,定位当前弹框所在进程,判断该弹框属于哪个进程弹出
案例3:检查VDI agent进程是否正常启动,是否存在反复重启
1.运行Procexp.exe工具,查看进程列表,判断vECAgent.exe进程是否正常运行,确认进程是否反复在重启,PID持续变化说明vECAgent进程存在异常。
9.1.2 Procmon
Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程.
ProcessMonitor主要功能和特点
- 记录进程对文件或注册表项的操作
- 每一项操作都有详细的信息,同时可以查询调用堆栈
- 有强大的规则过滤机制
ProcessMonitor应用场景
- 过滤某个进程存在哪些文件或注册表操作,CPU占用过高时,可以查看是否是文件操作或者注册表操作过于频繁导致
- 进程启动失败时,可以分析是在操作什么文件时出现异常
典型应用案例
案例1:aTrustTray进程启动失败丢失文件路径确认
1.管理员权限ProcMon.exe
2.过滤aTrustTray进程
3.过滤文件操作记录,确认对应文件路径是否存在异常
