Navigation: Bedienung ArchiCrypt System Doctor > Tools > System Spy >
Echtzeit-Überwachung
|
Navigation: Bedienung ArchiCrypt System Doctor > Tools > System Spy > Echtzeit-Überwachung |
|
WARNUNG - unbedingt lesen
Insbesondere die Echtzeit-Überwachung der Zugriffe auf die Registrierdatenbank (Registry) kann das System instabil machen. Die Wahrscheinlichkeit, dass der Rechner deutlich langsamer reagiert ist hoch. Bitte schließen Sie daher möglichst alle Anwendungen die Sie nicht in die Untersuchung mit einschließen möchten und sichern Sie alle wichtigen Daten. Antiviren- und AntiSpyware Software sollten Sie beenden. Diese verlangsamen nicht nur den Rechner zusätzlich, sondern können auch dafür sorgen, dass System Spy die Echtzeit-Überwachung nicht ausführen kann.
Echtzeit Überwachung
Bei der Echtzeit-Überwachung werden alle Aktivitäten im laufenden System überwacht und protokolliert.
Auch die Echtzeit-Überwachung bietet die beiden Modi Registry und Dateien.
Um die Zugriffe auf die Registry zu überwachen, aktivieren Sie bitte den Modus Registry und wechseln Sie zu Echtzeit-Überwachung
Echtzeit-Überwachung (Registry)
Sie sehen zunächst eine Seite, auf der Sie festlegen können, welche Einstellungen bei der Überwachung berücksichtigt werden sollen.
 |
| Klick zum Zoomen |
Tragen Sie in 1 den Schlüssel der Registry ein, der überwacht werden soll. Bitte nutzen Sie dabei die nachfolgenden Abkürzungen. Verwenden Sie ggf. Platzhalter.
Um bei einer Überwachung von HKCU\Software zum Beispiel auch die Schlüssel darunter zu berücksichtigen, geben Sie HKCU\Software* an.
Bezeichnung |
Abkürzung |
HKEY_CURRENT_USER |
HKCU |
HKEY_LOCAL_MACHINE |
HKLM |
HKEY_CLASSES_ROOT |
HKCR |
HKEY_USERS |
HKUS |
HKEY_CURRENT_CONFIG |
HKCC |
TIPP: Wenn Sie keinen Eintrag vornehmen, werden alle Zugriffe überwacht. Da ständig unzählige Zugriffe auf die Registry erfolgen, wird Ihr Rechner meist nur noch zäh reagieren. Schränken Sie daher den zu überwachenden Bereich soweit wie möglich ein.
Sofern Sie es wünschen, können Sie in 2 Anwendungen festlegen, bei denen System Spy ausschließlich überwacht oder keine Überwachung durchführt. Wenn Sie zum Beispiel wissen wollen, welche Änderungen word.exe an der Registry vornimmt, tragen Sie hier word.exe ein und aktivieren bei 3 "überwachen". Wenn Sie hingegen die Zugriffe von word.exe nicht interessieren, aktivieren Sie "NICHT überwachen".
Unter 4 (Folgende Aktionen Überwachen) können Sie die Aktionen festlegen die überwacht werden sollen.
Die eigentliche Überwachung startet, sobald Sie die Schaltfläche Starten betätigen. Die Überwachung wird so lange durchgeführt, bis Sie die Schaltfläche Stoppen betätigen.
Die Ansicht schaltet nach dem Start in die Tabellenansicht um, in der jetzt alle Zugriffe aufgelistet sind.
Spalte ID:
Interne Nummer, die System Spy nutzt um die Reihenfolge der Zugriffe auf die Registry zu ermitteln und Sie bestimmten Prozessen zuzuordnen. Die Zelle ist grün hinterlegt, wenn ein Schlüssel geöffnet oder erstellt wird. Diese Information ist wichtig, wenn man wissen möchte, wo genau in der Registry zugegriffen wurde.
siehe dazu Interpretation der Überwachung weiter unten.
Spalte Prozess:
Hier wird der Name des Prozesses aufgeführt, sofern dieser ermittelt werden konnte.
Spalte Aktion:
Welche Art von Zugriff erfolgte. Die Angaben hier beziehen sich auf die Einstellungen "Folgende Aktionen überwachen".
Spalte Pfad:
Hier wird der betroffene Pfad oder Teil des Pfades der Registry angezeigt.
siehe dazu Interpretation der Überwachung weiter unten.
Spalte Info:
Hier werden, sofern vorhanden und ermittelbar, weitere Informationen wie z.B. Wert etc. aufgeführt.
Spalte Ergebnis:
Hier wird aufgeführt, ob die Aktion erfolgreich oder nicht erfolgreich vom betroffenen Prozess ausgeführt werden konnte.
Interpretation der Überwachung
Um wirklich zu wissen, wo in der Registry genau ein Zugriff erfolgte, suchen wir von der entsprechenden Zeile so weit zurück, bis wir eine grün hinterlegte Zelle finden, die im Feld Pfad einen Hauptschlüssel (siehe Tabelle) enthält. Von diesem Hauptschlüssel ausgehend können wir jetzt sehen, wie sich die Anwendung durch die Registry gearbeitet hat.
Am besten kann man dies an einem Beispiel erläutern:
Wir möchten wissen, wo genau der Zugriff auf den Wert \ReminderPeriod (5) erfolgte. Dazu gehen wir so lange zurück, bis wir eine Zelle mit Hauptschlüssel finden. Wir werden bei (1) fündig.
Hier wurde der Schlüssel HKCU\software geöffnet. Von hier aus erfolgte der Zugriff auf \TechSmith (2) und dann auf \SnagIt (3) und schließlich auf \7 (4)
Insgesamt erfolgte also ein Zugriff auf HKCU\Software\TechSmith\SnagIt\7 . Der Versuch der Anwendung hier einen Wert ReminderPeriod auszulesen schlug fehlt (Ergebnis Misserfolg). Ein Blick in die Registry offenbart uns schließlich auch, dass es einen solchen Eintrag nicht gibt. Wir könnten theoretisch einen solchen Wert erstellen und einen Testwert einfügen.
Bitte bedenken Sie, dass Eingriffe in die Registry die Stabilität von Programmen oder die Stabilität des Betriebssystems beeinträchtigen können.
Echtzeit-Überwachung (Dateien)
Sie sehen zunächst eine Seite, auf der Sie festlegen können, welche Einstellungen bei der Überwachung berücksichtigt werden sollen.
 |
| Klick zum Zoomen |
Sie können ganze Laufwerke überwachen oder aber bestimmte Verzeichnisse. Um Ein Laufwerk zu überwachen setzen Sie einfach ein Häkchen vor den entsprechenden Laufwerksbuchstaben in (1). Um ein spezielles Verzeichnis zu überwachen setzen Sie bitte ein Häkchen bei "nachfolgendes Verzeichnis" (2), klicken auf die mit Pfeil markierte Schaltfläche und wählen im Dialog das zu überwachende Verzeichnis aus. Bei (3) "Folgende Aktionen überwachen" können Sie festlegen, was genau System Spy überwachen soll.
Anmerkung: Bei der Überwachung des Dateisystems ist es leider nicht möglich die Überwachung auf bestimmte Prozesse zu beschränken oder festzustellen, welcher Prozess für den Zugriff verantwortlich ist.
Die eigentliche Überwachung startet, sobald Sie die Schaltfläche Starten betätigen. Die Überwachung wird so lange durchgeführt, bis Sie die Schaltfläche Stoppen betätigen.
Die Ansicht schaltet nach dem Start in die Tabellenansicht um, in der jetzt alle Zugriffe aufgelistet sind.
Spalte ID:
Interne Nummer, die System Spy nutzt um die Reihenfolge der Zugriffe zu ermitteln.
Spalte Aktion:
Enthält Informationen über die durchgeführte Operation gemäß Einstellungen bei "Folgende Aktionen überwachen" und ggf. das Ergebnis der Aktion (zum Beispiel neuer Dateiname beim Umbenennen).
Spalte Datei-/Verzeichnisname:
Datei mit der oder Verzeichnis in dem eine Aktion ausgeführt wurde.
Page url: http://www.ArchiCrypt.com/sysdoc/index.html?echtzeit_ueberwachung.htm