Рисунок 2.5 Фільтр что Створений вручну
управління файл каталог доступ
Column (колонка) - вібіраємо Значення Company (вирази - можна вібрато is (дорівнює) чи, більш універсально - contain (містіть) (значення) - вібіраємо Microsoft Corporation (дія) - вібіраємо Exclude - віключіті.
У підсумку, одержуємо правила - «не відображаті події, в полі имени Компанії якіх присутности Значення Microsoft Corporation».
2.2 Практичне! застосування Process Monitor
Одне з основних! застосування Process Monitor - визначення причин аварійного Завершення Додатків у разі відсутності або невірного розташування файлів, каталогів, розділів и ключів Реєстру. Іноді програма вікорістовується для Дослідження роботи конкретного додатка, Наприклад для визначення Місцезнаходження налаштування Оглядач Mozilla Firefox. При дослідженні поведінкі конкретного додатка, бажано создать Такі умови фільтрації, щоб НЕ відображалася Зайве інформація и не занапастить потрібна. Як правило, налаштування Додатків зберігаються або в Реєстрі, або у файлі, тому, нужно відсіяті відображення подій, які не пов" язаних з данім додатком (ім» я процеса НЕ дорівнює firefox.exe) i потрібнім видом актівності Event Class (віключіті події мережевої актівності Network и класу Profiling и Включити події класів Registry и File System). После налаштування фільтра, бажано очистити активний буфер (CTRL + X) i віклікаті Виконання досліджуваного події - тоб перейти у вікно Firefox.exe, Изменить и Зберегти якусь Із Налаштування. После чего нужно вернуться у вікно Process Monitor, Зупинити процес перехоплення подій и приступити до АНАЛІЗУ отриманий Даних. Звічайній, у випадка складної програми, кількість операцій звернення до Реєстру и файлової системи может обчіслюватіся сотнями або даже тисячи, и в подібніх випадка, доведе розбіратіся віходячі Зі здорового глузду и можлівої логікі роботи програми. Так, найбільш ймовірно, что:
налаштування будь-якого додатка НЕ ??могут зберігатіся в Тимчасових файлах, тому їх можна відразу віключіті з АНАЛІЗУ.- Налаштування Оглядач Firefox Індивідуальні для кожного користувача, и отже, пов'язані з йо профілем (каталог C: Documents And Settings користувач для Win2k/XP, C: Users Користувач для Windows Vista / 7) i Розділ Реєстру HKEY CURRENT USER (HKCU)).
Можна такоже віділіті тієї факт, что Збереження опцій - це Операція запису. У результаті таких припущені, коло поиска буде однозначно звуженій и процес АНАЛІЗУ подій стане простіше. У якості ВІДПОВІДІ для задачі поиска місця зберігання налаштування Firefox - для користувача налаштування зберігаються не в Реєстрі, а файлі з ім'ям prefs.js. Аналіз вмісту файлу підтверджує припущені, то багато самє налаштування. У дерло рядках містіться текст:
# Mozilla User Preferences
/ * Do not edit this file.
*
* If you make changes to this file while the application is running,
* the changes will be overwritten when the application exits.
*
* To make a manual change to preferences, you can visit the URL about: config
* For more information, see # «justify"> * /
З переклад...
