Windows v3.03 için portmon

  • Makale

Tarafından Mark Russinovich

Yayımlanma Tarihi: 12 Ocak 2012

DownloadPortmon'ı indirin(226 KB)
Şimdi Sysinternals Live'dan çalıştırın.

Giriş

Portmon , bir sistemdeki tüm seri ve paralel bağlantı noktası etkinliğini izleyen ve görüntüleyen bir yardımcı programdır. Windows'un çalışma şeklini keşfetmek, uygulamaların bağlantı noktalarını nasıl kullandığını görmek veya sistem veya uygulama yapılandırmalarındaki sorunları izlemek için güçlü bir araç haline getiren gelişmiş filtreleme ve arama özelliklerine sahiptir.

Portmon 3.x

Portmon'un 3.x sürümü, bir dizi güçlü özelliğin kullanıma sunulduğuna işaret eder.

  • Uzaktan izleme: İnternet üzerinden bile TCP/IP üzerinden erişilebilen herhangi bir bilgisayardan çekirdek modu ve/veya Win32 hata ayıklama çıktısını yakalayın. Aynı anda birden çok uzak bilgisayarı izleyebilirsiniz. Windows NT/2K sisteminde çalıştırıyorsanız ve aynı Ağ Mahallesi'ndeki başka bir Windows NT/2K sisteminden alıyorsanız, Portmon istemci yazılımının kendisini bile yükler.
  • En son filtre listeleri:Portmon , güçlü filtreleme özellikleriyle genişletilmiştir ve yeniden seçmeyi kolaylaştıran bir arabirimle en son filtre seçimlerinizi anımsar.
  • Pano kopyalama: Çıkış penceresinde birden çok satır seçin ve içeriğini panoya kopyalayın.
  • Vurgulama: Vurgulama filtrenizle eşleşen hata ayıklama çıkışını vurgulayın ve hatta vurgulama renklerini özelleştirin.
  • Dosyaya günlük: Bir dosyaya yakalanırken hata ayıklama çıktısı yazın.
  • Yazdırma: Yakalanan hata ayıklama çıktısının tamamını veya bir bölümünü yazıcıya yazdırın.
  • Tek dosyalı payload:Portmon artık tek bir dosya olarak uygulandı.

On-line yardım dosyası tüm bu özellikleri ve daha fazlasını ayrıntılı olarak açıklar.

PortMon screenshot

Yükleme ve Kullanma

Yalnızca Portmon program dosyasını (portmon.exe) yürütür ve Portmon hemen hata ayıklama çıkışını yakalamaya başlar. Windows 95'te Portmon çalıştırmak için WinSock2 güncelleştirmesini Microsoft'tan almanız gerekir. Windows NT/2K üzerinde Portmon çalıştırıyorsanız portmon.exe dosyasının ağ dışı bir sürücüde bulunması ve yönetici ayrıcalığına sahip olmanız gerektiğini unutmayın. Menüler, kısayol tuşları veya araç çubuğu düğmeleri pencereyi temizlemek, izlenen verileri bir dosyaya kaydetmek, çıktıda arama yapmak, pencere yazı tipini değiştirmek ve daha fazlasını yapmak için kullanılabilir. Satır içi yardım, Portmon'un tüm özelliklerini açıklar.

Portmon tüm seri ve paralel bağlantı noktası G/Ç denetimi (IOCTL) komutlarını anlar ve ilişkili parametreleriyle ilgili ilginç bilgilerle birlikte bunları görüntüler. Okuma ve yazma istekleri için Portmon , yazdırılamayan karakterleri temsil etmek için '.' kullanarak arabelleğin ilk birkaç düzine baytını görüntüler. Onaltılık Göster menü seçeneği, arabellek verilerinin ASCII ve ham onaltılık çıkışı arasında geçiş yapmanızı sağlar.

Nasıl Çalışır: WinNT

Portmon GUI, seri ve paralel bağlantı noktalarını tanımlamakla sorumludur. Bunu, HKEY_LOCAL_MACHINE\Hardware\DeviceMap\SerialComm altında yapılandırılan seri bağlantı noktalarını ve HKEY_LOCAL_MACHINE\Hardware\DeviceMap\Parallel Ports altında tanımlanan paralel bağlantı noktalarını numaralandırarak yapar. Bu anahtarlar, seri ve paralel bağlantı noktası cihaz adları ile Win32 erişilebilir adları arasındaki eşlemeleri içerir.

İzlenecek bir bağlantı noktası seçtiğinizde, Portmon cihaz sürücüsüne ilgilendiğiniz NT adını (ör. \device\serial0) içeren bir istek gönderir. Sürücü, hedef cihaz nesnesine kendi filtre cihazı nesnesini eklemek için standart filtreleme API'lerini kullanır. İlk olarak, hedef cihazı açmak için ZwCreateFile kullanır. Ardından ZwCreateFile dosyasından aldığı tanıtıcıyı bir cihaz nesne işaretçisine çevirir. Sürücü, hedefin özellikleriyle eşleşen kendi filtre cihazı nesnesini oluşturduktan sonra, filtreyi oluşturmak için IoAttachDeviceByPointer'ı çağırır. Bu noktadan itibaren Portmon sürücüsünde hedef cihaza yönelik tüm istekler gösterilir.

Portmon , uygulamaların ve sürücülerin bağlantı noktalarından durum bilgilerini yapılandırma ve okumanın birincil yolu olan tüm standart seri ve paralel bağlantı noktası IOCTL'leri hakkında yerleşik bilgilere sahiptir. GÇTL'ler \ddk\src\comm\inc\ntddser.h ve \ddk\src\comm\inc\ntddpar.h DDK dosyasında tanımlanır ve bazıları DDK'da belgelenmiştir.

Nasıl Çalışır: Windows 95 ve 98

Windows 95 ve 98'de, Portmon GUI seri ve paralel etkinliği yakalamak için dinamik olarak yüklenen bir VxD'ye dayanır. Windows VCOMM (Sanal İletişim) cihaz sürücüsü, paralel ve seri cihazlar için arabirim görevi görür, bu nedenle bağlantı noktalarına erişen uygulamalar dolaylı olarak hizmetlerini kullanır. Portmon VxD, VCOMM işlevlerine tüm erişimleri kesmek için standart VxD hizmeti kancasını kullanır. NT cihaz sürücüsü gibi, Portmon'un VxD'si de istekleri kolay bir biçimde görüntülemek için yorumlar. Windows 95 ve 98'de Portmon tüm bağlantı noktalarını izler, bu nedenle NT'de olduğu gibi bir bağlantı noktası seçimi yoktur.

DownloadPortmon'ı indirin(226 KB)

Şimdi Sysinternals Live'dan çalıştırın.