19.11.2014, 14:07
Darmowy program od Microsoftu - Process Monitor to zaawansowane narzędzie do monitorowania wszelkich zdarzeń dziejących się w naszym systemie w czasie rzeczywistym. To tyle tytułem krótkiego wstępu, bo program jest bardzo znany i szeroko opisywany.
Chciałbym się skupić wyłącznie na wykorzystaniu Process Monitora przy dokładnym usuwaniu pozostałości po różnych aplikacjach.
Artykułów tłumaczących funkcje oraz działanie tego programu jest cała masa. Po zapoznaniu się z ich częścią, pokażę jak przy pomocy tego softu prześledzić i zapisać zmiany dokonane w systemie przez zainstalowane właśnie nowe aplikacje.
Powszechnie wiadomo, że nawet te najlepsze deinstalatory potrafią pozostawić resztki (głównie w rejestrze), więc w niektórych przypadkach dokładne wyczyszczenie pozostałości po programach może się przydać.
Jak to wszystko wygląda przedstawię na przykładzie monitorowania instalacji WinRAR.
Ściągamy Process Monitor i uruchamiamy plik Procmon.exe
Rejestracja zdarzeń Capture Events jest domyślnie włączona i tak zostawiamy.
![[Obrazek: Ay2JKDfLFTLx.jpg]](https://cdn.mediacru.sh/Ay2JKDfLFTLx.jpg)
Następnie instalujemy wybrany soft (w moim przypadku WinRAR)
Po zakończeniu instalacji zatrzymujemy Capture Events (nie jest to co prawda konieczne, ale im mniej różnych procesów do filtrowania tym lepiej)
![[Obrazek: eRVULfe0Iq4H.jpg]](https://cdn.mediacru.sh/eRVULfe0Iq4H.jpg)
Przechodzimy do Tools > Process Tree, by znaleźć nazwę zainstalowanego dopiero co programu i powiązanych z nim identyfikatorów PID procesów.
![[Obrazek: -tL4ff4xbon4.jpg]](https://cdn.mediacru.sh/-tL4ff4xbon4.jpg)
Zaznaczamy PID-y procesu i podprocesów związanych z instalacją i klikamy Include Process po każdym zaznaczeniu.
![[Obrazek: kFyix4uUVdZ9.jpg]](https://cdn.mediacru.sh/kFyix4uUVdZ9.jpg)
Gdy klikniemy na Filter > Filter, to zobaczymy efekt tego zaznaczenia
![[Obrazek: OTC-7JN3GQwp.jpg]](https://cdn.mediacru.sh/OTC-7JN3GQwp.jpg)
Pliki
Teraz sprawdzamy jakie pliki powstały podczas instalacji.
Pozostawiamy włączone Show File System Activity
![[Obrazek: 7uQ_JOUhKxUm.jpg]](https://cdn.mediacru.sh/7uQ_JOUhKxUm.jpg)
Wyszukujemy (klik na ikonkę lornetki). Wpisujemy frazę WriteFile> Znajdź
![[Obrazek: DkMucakGhxh3.jpg]](https://cdn.mediacru.sh/DkMucakGhxh3.jpg)
Gdy już operacja WriteFile zostanie znaleziona, to klikamy na nia PPM i Include "WriteFile"
![[Obrazek: SIdDAOSqPYQb.jpg]](https://cdn.mediacru.sh/SIdDAOSqPYQb.jpg)
Mamy więc przefiltrowane pliki związane z instalacją. Teraz ustalamy ścieżki (path) instalacji.
Klikamy na Tools > Count Occurrences
![[Obrazek: wLITUacSzeTG.jpg]](https://cdn.mediacru.sh/wLITUacSzeTG.jpg)
W "Column" wybieramy Path > i klik na "Count"
![[Obrazek: PgN_6xVVlI1u.jpg]](https://cdn.mediacru.sh/PgN_6xVVlI1u.jpg)
Pojawia nam się okno z plikami do zapisania w logu. Zapisujemy > Save
![[Obrazek: TukbiedWTX71.jpg]](https://cdn.mediacru.sh/TukbiedWTX71.jpg)
Rejestr
Klikamy na Filter > Filter, następnie zaznaczamy "WriteFile" i usuwamy te pozycję przez Remove
![[Obrazek: LVVL02UlfK-d.jpg]](https://cdn.mediacru.sh/LVVL02UlfK-d.jpg)
Zostawiamy włączone "Show Registry Activity".
![[Obrazek: GGGxuIk05_Ir.jpg]](https://cdn.mediacru.sh/GGGxuIk05_Ir.jpg)
Odtąd zestaw czynności będzie podobny jak przy filtrowaniu plików. Klik na ikonę lornetki i wpisujemy RegSetValue > Znadź.
Gdy już zostanie wyszukane, to PPM i Include RegSetValue
Po tym przefiltrowaniu przechodzimy ponownie do Tools > Count Occurrences.
W "Column" zaznaczamy ścieżkę "Path" i "Count" Ponownie zapisujemy "Save"
Mamy teraz zapisane ścieżki instalacyjne, zarówno plików, jak i rejestru.
![[Obrazek: hiIz6Gh_h1zc.jpg]](https://cdn.mediacru.sh/hiIz6Gh_h1zc.jpg)
Wbrew pozorom cała operacja udokumentowania rejestracji danej aplikacji przez Process Monitortrwa bardzo szybko., i o ile przy czyszczeniu plików spokojnie możemy zaufać opisywanemu już na forum programowi Everything (będzie wygodniej), to śmieci z rejestru możemy dzięki Process Monitor
wymieść dokładnie.
Jeśli ktoś zna dłużej ten program i zauważy jakieś błedy, to proszę o uwagi
.
Chciałbym się skupić wyłącznie na wykorzystaniu Process Monitora przy dokładnym usuwaniu pozostałości po różnych aplikacjach.
Artykułów tłumaczących funkcje oraz działanie tego programu jest cała masa. Po zapoznaniu się z ich częścią, pokażę jak przy pomocy tego softu prześledzić i zapisać zmiany dokonane w systemie przez zainstalowane właśnie nowe aplikacje.
Powszechnie wiadomo, że nawet te najlepsze deinstalatory potrafią pozostawić resztki (głównie w rejestrze), więc w niektórych przypadkach dokładne wyczyszczenie pozostałości po programach może się przydać.
Jak to wszystko wygląda przedstawię na przykładzie monitorowania instalacji WinRAR.
Ściągamy Process Monitor i uruchamiamy plik Procmon.exe
Rejestracja zdarzeń Capture Events jest domyślnie włączona i tak zostawiamy.
Następnie instalujemy wybrany soft (w moim przypadku WinRAR)
Po zakończeniu instalacji zatrzymujemy Capture Events (nie jest to co prawda konieczne, ale im mniej różnych procesów do filtrowania tym lepiej)
Przechodzimy do Tools > Process Tree, by znaleźć nazwę zainstalowanego dopiero co programu i powiązanych z nim identyfikatorów PID procesów.
Zaznaczamy PID-y procesu i podprocesów związanych z instalacją i klikamy Include Process po każdym zaznaczeniu.
Gdy klikniemy na Filter > Filter, to zobaczymy efekt tego zaznaczenia
Pliki
Teraz sprawdzamy jakie pliki powstały podczas instalacji.
Pozostawiamy włączone Show File System Activity
Wyszukujemy (klik na ikonkę lornetki). Wpisujemy frazę WriteFile> Znajdź
Gdy już operacja WriteFile zostanie znaleziona, to klikamy na nia PPM i Include "WriteFile"
Mamy więc przefiltrowane pliki związane z instalacją. Teraz ustalamy ścieżki (path) instalacji.
Klikamy na Tools > Count Occurrences
W "Column" wybieramy Path > i klik na "Count"
Pojawia nam się okno z plikami do zapisania w logu. Zapisujemy > Save
Rejestr
Klikamy na Filter > Filter, następnie zaznaczamy "WriteFile" i usuwamy te pozycję przez Remove
Zostawiamy włączone "Show Registry Activity".
Odtąd zestaw czynności będzie podobny jak przy filtrowaniu plików. Klik na ikonę lornetki i wpisujemy RegSetValue > Znadź.
Gdy już zostanie wyszukane, to PPM i Include RegSetValue
Po tym przefiltrowaniu przechodzimy ponownie do Tools > Count Occurrences.
W "Column" zaznaczamy ścieżkę "Path" i "Count" Ponownie zapisujemy "Save"
Mamy teraz zapisane ścieżki instalacyjne, zarówno plików, jak i rejestru.
Wbrew pozorom cała operacja udokumentowania rejestracji danej aplikacji przez Process Monitortrwa bardzo szybko., i o ile przy czyszczeniu plików spokojnie możemy zaufać opisywanemu już na forum programowi Everything (będzie wygodniej), to śmieci z rejestru możemy dzięki Process Monitor
wymieść dokładnie.
Jeśli ktoś zna dłużej ten program i zauważy jakieś błedy, to proszę o uwagi
.