SysInternals 5

Uso de Process Monitor para solucionar problemas y encontrar hacks de registro

En la edición de hoy de Geek School, le enseñaremos cómo usar Process Monitor para solucionar problemas y determinar secuestros de registro que de otra manera no habría experimentado.

Process Monitor es una de las herramientas más impresionantes que puede tener en su caja de herramientas, porque casi no hay otra forma de ver lo que una aplicación está haciendo realmente bajo el capó. Esta es la única forma de saber qué archivos se están escribiendo mediante qué proceso, dónde se almacenan las cosas en el registro y qué archivos están accediendo a ellos.

Comenzaremos con la lección de hoy viendo cómo encontrar claves de registro usando los cuadros de diálogo de configuración de Windows y Process Monitor, y luego veremos un escenario de solución de problemas real que encontramos allí, una de nuestras computadoras de laboratorio y que se resuelve fácilmente usando Process Monitor.

Uso de Process Explorer para buscar claves de registro para configuraciones comunes

Todos marcaron una casilla de verificación o cambiaron el valor de una lista desplegable en algún momento, pero ¿alguna vez se preguntó dónde se almacenan realmente esos valores? Muchas aplicaciones, y casi todo en Windows, se almacenan en el registro … en algún lugar.

Para el ejemplo de hoy, usaremos la primera opción en el primer panel de la barra de tareas y las propiedades de navegación, que es un cuadro de diálogo que debería existir en todas las versiones de Windows. Así que ahora nuestra misión es averiguar dónde se almacena realmente esta configuración en el registro. Puede rastrear esa configuración en particular, o puede probar una de las otras configuraciones en el mismo cuadro de diálogo, o en cualquier otro lugar donde desee encontrar la ubicación de la configuración oculta.

Lo primero que debe hacer cada vez que intenta capturar un conjunto de datos es iniciar Process Monitor y luego cambiar la configuración. En este punto, puede evitar que Process Monitor continúe capturando eventos, para que la lista no se salga de control. (Sugerencia: el menú Archivo tiene la opción, o es el tercer ícono de la izquierda).

Ahora que tenemos una tonelada de datos en la lista, es hora de filtrar la lista para reducir la cantidad de filas que tendremos que recorrer. Dado que estamos viendo un valor de registro que se está cambiando, necesitaremos filtrar por «RegSetValue», que es lo que Windows usa para establecer una clave de registro para un nuevo parámetro. Utilice la opción «Incluir» para mostrar solo estos eventos.

Su lista ahora debería limitarse a las claves de registro que se han cambiado, por lo que es hora de mirar los eventos e intentar determinar qué clave de registro podría ser. Dado que estamos verificando la configuración «Bloquear barra de tareas» y una de las claves de registro definidas incluye la palabra «barra de tareas» en el nombre, este es un buen lugar para comenzar. Haga clic derecho en la ruta y elija Ir a la ubicación.

Process Monitor abrirá el Editor del Registro y resaltará la clave en la lista. Ahora debemos asegurarnos de que esta sea la clave correcta, lo cual es bastante fácil de averiguar. Eche un vistazo a la configuración, luego eche un vistazo a la llave inglesa. Actualmente, la configuración está habilitada y la clave se establece en 0.

Así que cambie la configuración, presione Aplicar en el cuadro de diálogo y luego use la tecla F5 para actualizar la ventana del Editor del Registro. En nuestro caso, definitivamente hemos elegido la configuración correcta, por lo que ahora puede ver que el valor de TaskbarSizeMove está establecido en 1.

Si no ha elegido el valor correcto, no verá ningún cambio cuando repita la prueba de ajuste. Así que busca la siguiente lógica y comienza de nuevo.

Resolución de problemas con Process Monitor

Realmente no es posible ilustrar en un artículo cómo resolver cualquier problema con Process Monitor, o cualquier herramienta para el caso. Hay demasiadas combinaciones de problemas que podrían salir mal.

Sin embargo, lo que podemos hacer es mostrar cómo usamos Process Monitor para resolver un problema real que ocurrió en una de nuestras computadoras de prueba. Teníamos algunos crapware instalados, luego decidimos intentar limpiar la computadora. El problema era una entrada en el panel Desinstalar programas que simplemente no desaparecía.

Cada vez que haces clic en Cambiar para poder eliminarlo, aparece un error que dice «Se produjo un error al intentar desinstalar AwfulApp». Es posible que ya se haya desinstalado. ¿Le gustaría eliminar AwfulApp de la lista de programas y funciones? «.

Eso habría sido genial, excepto que luego recibimos un error que decía «No tienes acceso suficiente para eliminar OutfoxTV de la lista de programas y funciones». Por favor, póngase en contacto con el administrador del sistema. «

Lo primero que debía hacer era volver a intentar el proceso de desinstalación con Process Monitor en ejecución, que capturó una gran cantidad de datos. Esta vez decidimos usar la función Buscar (CTRL + F) para encontrar rápidamente lo que estábamos buscando en la lista. También puede usar un filtro si lo desea, pero parecía simple y afortunadamente funcionó la primera vez.

Después de mirar el primer elemento de la lista, notamos un error: Windows estaba intentando acceder a las claves de registro relacionadas con el desinstalador, pero en realidad no estaban en el registro en el primer lugar que buscaba Windows. Si observa algunas pulsaciones de teclas, verá un evento RegOpenKey con un resultado de ÉXITO para algo en HKLM Software Wow6432Node.

La búsqueda por esta clave de registro nos llevó rápidamente al origen del problema: un mensaje de ACCESO DENEGADO cuando Windows intentó limpiar la lista utilizando la operación RegDeleteKey. ¡Interesante!

Lo primero que debía hacer era utilizar la función Ir a para encontrar la clave en el registro y echar un vistazo.

¡Por supuesto, mire todas esas claves de registro que hay! No es de extrañar que todavía esté en la lista.

Solo para estar seguros, abrimos el directorio C: Archivos de programa para ver si alguno de los archivos todavía estaba allí, pero estaba claro que la aplicación ya se había borrado de la PC.

La solución fue muy simple: simplemente eliminamos manualmente la clave de registro que Windows tenía problemas para eliminar. Si hubiéramos recibido un mensaje de acceso denegado, podríamos haber usado la configuración de Permisos para asegurarnos de que tenemos acceso y volver a intentarlo.

Afortunadamente, la eliminación funcionó de inmediato y nuestra lista de programas de desinstalación ahora estaba clara.

Estas son solo algunas de las muchas formas en que puede usar Process Monitor: es una utilidad extremadamente importante y útil que llevará algún tiempo dominar, pero una vez que lo haga, realmente puede ayudarlo a solucionar muchos problemas.

Siguiente lección

A partir del lunes con la próxima lección, veremos muchas otras utilidades en el kit de herramientas de SysInternals, incluidas algunas de las poderosas herramientas de línea de comandos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Experto Geek - Tu Guía en Tendencias Tecnológicas