Archiv Windows XP 25.916 Themen, 128.567 Beiträge

Verfolgung starten Optionen

Start einer Anwendung protokollieren

Andy30 / 10 Antworten / Baumansicht Nickles

Lässt sich irgendwie protokollieren, welche Dateien beim Starten einer Anwendung geändert, erstellt und geladen werden (sollen) bzw. welche Reg.-Einträge mglw. abgefragt oder erstellt werden?

mi~we Andy30 „Start einer Anwendung protokollieren“
Optionen

Da fällt mir spontan "Process Monitor" ein
http://technet.microsoft.com/en-us/sysinternals/bb896645

Andy30 mi~we „Da fällt mir spontan Process Monitor ein...“
Optionen

Danke für Blitz-Antwort, werde es gleich mal testen.

Andy30 Nachtrag zu: „Danke für Blitz-Antwort, werde es gleich mal testen.“
Optionen

Vorab: Suche immer noch nach der Ursache von

http://www.nickles.de/forum/windows-xp/2011/starten-ueber-ausfuehren-als-geht-in-1-fall-nur-ueber-umweg-538820947.html

Will quasi protokollieren, was "abgeht", wenn's nicht funktioniert, und anschließend erneut, wenn es dann funktioniert. Diese beiden Protokolle will ich nebeneinanderstellen, um den Fehler zu finden.

Aber der Process Monitor erschlägt mich regelrecht. Selbst wenn nichts zu laufen scheint, werden zig Befehle ausgeführt, kein Ende in Sicht.

Habe dann den "Mitschnitt" zunächst angehalten, das Protokoll geleert, dann die Aufzeichnung und gleich darauf die besagte Anwendung gestartet. Gleich nach dem Schließen des Programmfensters habe ich die Aufzeichnung gestoppt und die Events als CSV gespeichert.
Nun wieder Protokoll geleert, die andere Anwendung (Diashow) gestartet und wieder geschlossen.
Jetzt Aufzeichnung und sofort die Anwendung gestartet, bis sie aufgebaut war, dann Aufzeichnung gestoppt und als CSV unter anderem Namen gespeicht.
Nun Vergleich der beiden CSVs mit WinMerge - keine Chance.

Obwohl ja beim zweiten Start der besagten Anwendung alles funktionierte, wurden in diesem zeitlichen Zusammenhang viele Fehler protokolliert (NOT FOUND usw.).

Ich fürchte, so komme ich nicht weiter.
Gibt's den ProcessMonitor auch auf deutsch? Oder lässt sich die Protokollierung nur auf bestimmte Anwendungen (hier "runas.exe" und "Universe 6.exe") beschränken, also nur das aufgezeichnet wird, was mit diesen beiden Programmen abläuft?

dirk1962 Andy30 „Vorab: Suche immer noch nach der Ursache von...“
Optionen

Hallo,

Oder lässt sich die Protokollierung nur auf bestimmte Anwendungen (hier "runas.exe" und "Universe 6.exe") beschränken, also nur das aufgezeichnet wird, was mit diesen beiden Programmen abläuft?

Ja, das geht.

Im Menü Filter > Filter auswählen.
Dann "Process Name is runas.exe Include" und
"Process Name is Universe 6.exe.exe Include"
einstellen.

Gruß
Dirk

Andy30 dirk1962 „Hallo, Ja, das geht. Im Menü Filter Filter auswählen. Dann Process Name is...“
Optionen

Astrein, Dirk.
Habe das soeben mal gemacht und beide Ergebnisse in CSV-Dateien gespeichert. Aber die schaue ich mir erst nach ein paar Stunden Schlaf an.
Gut's Nächtle.

Andy30 Nachtrag zu: „Astrein, Dirk. Habe das soeben mal gemacht und beide Ergebnisse in CSV-Dateien...“
Optionen

HI, Dirk!

Hier das Ergebnis, gefiltert nach "runas.exe" und "universe 6.exe":

Letztes gemeinsames Event:

"Universe 6.EXE","740","QueryDirectory","C:\Programme\Finanzen\UseCom\Einplatz\Win4dx\*","SUCCESS","Filter: *, 1: ."

In der NICHT funktionierenden Situation geht es dann wie folgt weiter:

"Universe 6.EXE","740","Thread Exit","","SUCCESS","Thread ID: 920, User Time: 0.0781250, Kernel Time: 0.1406250"

"Universe 6.EXE","740","Process Exit","","SUCCESS","Exit Status: -1073741819, User Time: 0.0937500 seconds, Kernel Time: 0.0781250 seconds, Private Bytes: 9.240.576, Peak Private Bytes: 9.256.960, Working Set: 7.520.256, Peak Working Set: 7.557.120"

"Universe 6.EXE","740","CloseFile","C:\Programme\Finanzen\UseCom\Einplatz\UNIVERSE 6.RSR","SUCCESS",""

...

Hingegen in der funktonierenden Situation so:

"Universe 6.EXE","3100","QueryDirectory","C:\Programme\Finanzen\UseCom\Einplatz\Win4dx","SUCCESS","0: .., 1: 4DCalc.4DX, 2: 4DCalc.RSR, 3: 4dwrite.4dx, 4: 4DWrite.RSR, 5: Aci_pack.4dx, 6: Aci_pack.rsr, 7: Arealist.4dx, 8: Arealist.rsr, 9: FilePk.4dx, 10: FilePk.rsr, 11: Iopack.4dx, 12: Iopack.rsr, 13: Srpro.4dx, 14: Srpro.rsr, 15: W4d_drag.dll"

...

Mir fällt nur der Eintrag "Thread Exit" als erstes abweichendes Event auf.

Hast Du vielleicht eine Idee?

Gruß
Andy

Andy30 Nachtrag zu: „HI, Dirk! Hier das Ergebnis, gefiltert nach runas.exe und universe 6.exe :...“
Optionen

Ich nochmal, Dirk!
Habe das "Spielchen" mal mit FileMon wiederholt, scheint übersichtlicher. Ergebnis:

Letzter gemeinsamer Eintrag in Zeilen 5:

runas.exe:1488 READ C:\WINDOWS\Prefetch\RUNAS.EXE-00979155.pf SUCCESS Offset: 0 Length: 18326

In der NICHT funktionierenden Situation wird jetzt auf die Verzeichnisse "C:\Programme\Finanzen\UseCom\Einplatz", "C:\WINDOWS\AppPatch" und "C:\WINDOWS\system32 zugegriffen":

runas.exe:3544 OPEN C:\Programme\Finanzen\UseCom\Einplatz SUCCESS Options: Open Directory Access: 00100020
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\system32\runas.exe.Local NOT FOUND Attributes: Error
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\system32\credui.dll SUCCESS Attributes:
runas.exe:3544 OPEN C:\WINDOWS\system32\credui.dll SUCCESS Options: Open Access: 00100020
runas.exe:3544 CLOSE C:\WINDOWS\system32\credui.dll SUCCESS
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\system32\ShimEng.dll SUCCESS Attributes:
runas.exe:3544 OPEN C:\WINDOWS\system32\ShimEng.dll SUCCESS Options: Open Access: 00100020
runas.exe:3544 CLOSE C:\WINDOWS\system32\ShimEng.dll SUCCESS
runas.exe:3544 OPEN C:\WINDOWS\AppPatch\sysmain.sdb SUCCESS Options: Open Access: Read
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\AppPatch\sysmain.sdb SUCCESS Length: 1193414
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\AppPatch\sysmain.sdb SUCCESS Length: 1193414
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\AppPatch\sysmain.sdb SUCCESS Length: 1193414
runas.exe:3544 OPEN C:\WINDOWS\AppPatch\systest.sdb NOT FOUND Options: Open Access: Read
runas.exe:3544 OPEN C:\WINDOWS\AppPatch\AcGenral.DLL SUCCESS Options: Open Access: Read
runas.exe:3544 CLOSE C:\WINDOWS\AppPatch\AcGenral.DLL SUCCESS
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\AppPatch\AcGenral.DLL SUCCESS Attributes:
runas.exe:3544 OPEN C:\WINDOWS\AppPatch\AcGenral.DLL SUCCESS Options: Open Access: 00100020
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\AppPatch\AcGenral.DLL SUCCESS Length: 1852928
runas.exe:3544 CLOSE C:\WINDOWS\AppPatch\AcGenral.DLL SUCCESS
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\AppPatch\AcGenral.DLL SUCCESS Attributes:
runas.exe:3544 OPEN C:\WINDOWS\AppPatch\AcGenral.DLL SUCCESS Options: Open Access: 00100020
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\AppPatch\AcGenral.DLL SUCCESS Length: 1852928
runas.exe:3544 CLOSE C:\WINDOWS\AppPatch\AcGenral.DLL SUCCESS
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\AppPatch\AcGenral.DLL SUCCESS Attributes:
runas.exe:3544 OPEN C:\WINDOWS\AppPatch\AcGenral.DLL SUCCESS Options: Open Access: 00100020
runas.exe:3544 CLOSE C:\WINDOWS\AppPatch\AcGenral.DLL SUCCESS
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\system32\WINMM.dll SUCCESS Attributes:
runas.exe:3544 OPEN C:\WINDOWS\system32\WINMM.dll SUCCESS Options: Open Access: 00100020
runas.exe:3544 CLOSE C:\WINDOWS\system32\WINMM.dll SUCCESS
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\system32\MSACM32.dll SUCCESS Attributes:
runas.exe:3544 OPEN C:\WINDOWS\system32\MSACM32.dll SUCCESS Options: Open Access: 00100020
runas.exe:3544 CLOSE C:\WINDOWS\system32\MSACM32.dll SUCCESS
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\system32\UxTheme.dll SUCCESS Attributes:
runas.exe:3544 OPEN C:\WINDOWS\system32\UxTheme.dll SUCCESS Options: Open Access: 00100020
runas.exe:3544 CLOSE C:\WINDOWS\system32\UxTheme.dll SUCCESS
runas.exe:3544 CLOSE C:\WINDOWS\AppPatch\sysmain.sdb SUCCESS
runas.exe:3544 OPEN C:\WINDOWS\system32\SHELL32.dll SUCCESS Options: Open Access: 001200A9
runas.exe:3544 QUERY INFORMATION C:\WINDOWS\system32\SHELL32.dll SUCCESS Length: 8501248
runas.exe:3544 OPEN C:\WINDOWS\system32\SHELL32.dll.124.Manifest NOT FOUND Options: Open Access: 001200A9
runas.exe:3544 OPEN C:\WINDOWS\system32\SHELL32.dll.124.Config NOT FOUND Options: Open Access: 001200A9
runas.exe:3544 CLOSE C:\WINDOWS\system32\SHELL32.dll SUCCESS

Dagegen wird in der funktionierenden Situation zunächst auf das Verzeichnis "C:\DOKUMENTE UND EINSTELLUNGEN" zugegriffen, während das Windows-Verzeichnis erst viel später aufgerufen wird:

runas.exe:1488 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\ SUCCESS Options: Open Directory Access: 00100001
runas.exe:1488 DIRECTORY C:\DOKUMENTE UND EINSTELLUNGEN\ SUCCESS FileNamesInformation
runas.exe:1488 DIRECTORY C:\DOKUMENTE UND EINSTELLUNGEN\ NO MORE FILES FileNamesInformation
runas.exe:1488 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\ SUCCESS Options: Open Directory Access: 00100001
runas.exe:1488 DIRECTORY C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\ SUCCESS FileNamesInformation
runas.exe:1488 DIRECTORY C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\ NO MORE FILES FileNamesInformation
runas.exe:1488 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\LOKALE EINSTELLUNGEN\ SUCCESS Options: Open Directory Access: 00100001
runas.exe:1488 DIRECTORY C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\LOKALE EINSTELLUNGEN\ SUCCESS FileNamesInformation
runas.exe:1488 DIRECTORY C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\LOKALE EINSTELLUNGEN\ NO MORE FILES FileNamesInformation
runas.exe:1488 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\ SUCCESS Options: Open Directory Access: 00100001
runas.exe:1488 DIRECTORY C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\ SUCCESS FileNamesInformation
runas.exe:1488 DIRECTORY C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\ NO MORE FILES FileNamesInformation
runas.exe:1488 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\ SUCCESS Options: Open Directory Access: 00100001
runas.exe:1488 DIRECTORY C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\ SUCCESS FileNamesInformation
runas.exe:1488 DIRECTORY C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\ NO MORE FILES FileNamesInformation
runas.exe:1488 OPEN C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\ SUCCESS Options: Open Directory Access: 00100001
runas.exe:1488 DIRECTORY C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\ SUCCESS FileNamesInformation
runas.exe:1488 DIRECTORY C:\DOKUMENTE UND EINSTELLUNGEN\Volluser\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\MICROSOFT\WINDOWS\ NO MORE FILES FileNamesInformation

Fehler (Error) in der NICHT funktionierenden Situation sind hier und da protokolliert bei

runas.exe:3544 QUERY INFORMATION C:\WINDOWS\system32\runas.exe.Local\ NOT FOUND Attributes: Error (Anmerkung von mir: 2mal)
runas.exe:3544 QUERY INFORMATION C:\Programme\Finanzen\UseCom\Einplatz\Universe NOT FOUND Attributes: Error
runas.exe:3544 QUERY INFORMATION C:\Programme\Finanzen\UseCom\Einplatz\Universe.exe NOT FOUND Attributes: Error
Universe 6.EXE:3560 QUERY INFORMATION C:\Programme\Finanzen\UseCom\Einplatz\Universe 6.EXE.Local NOT FOUND Attributes: Error
Universe 6.EXE:3560 QUERY INFORMATION C:\Programme\Finanzen\UseCom\Einplatz\WINMM.dll NOT FOUND Attributes: Error
Universe 6.EXE:3560 QUERY INFORMATION C:\Programme\Finanzen\UseCom\Einplatz\Universe 6.EXE.Local\ NOT FOUND Attributes: Error
Universe 6.EXE:3560 QUERY INFORMATION C:\Programme\Finanzen\UseCom\Einplatz\QTIM32.DLL NOT FOUND Attributes: Error
Universe 6.EXE:3560 QUERY INFORMATION C:\WINDOWS\system32\QTIM32.DLL NOT FOUND Attributes: Error (Anmerkung von mir: Die QTIM32.DLL ist tatsächlich nicht auf meinem System vorhanden, das ist aber auch als ERROR in der funktionierenden Situation gelistet!)
Universe 6.EXE:3560 QUERY INFORMATION C:\Programme\Finanzen\UseCom\Einplatz\ByteSwap.TXT NOT FOUND Attributes: Error (Anmerkung von mir: Die ByteSwap.TXT ist tatsächlich nicht auf meinem System vorhanden, das ist aber auch als ERROR in der funktionierenden Situation gelistet!)

Viele Fehlermeldungen sind in beiden LOG-Files protokolliert, obwohl die Anwendung ja im zweiten Fall startet.

Kannst Du mir bei der Lösung weiterhelfen?
Hast Du eine Vermutung, warum Start und Schließen des Diashow-Programms die beschriebenen Unterschiede verursacht? Der Hersteller wußte hier nicht weiter.

dirk1962 Andy30 „Ich nochmal, Dirk! Habe das Spielchen mal mit FileMon wiederholt, scheint...“
Optionen

Hallo Andy,

Entschuldigung, da fragst Du leider den Falschen!
So tief reichen meine Kenntnisse dann doch nicht.

Vielleicht wartest Du auf einen Spezi von hier.

Gruß,
Dirk

Andy30 dirk1962 „Hallo Andy, Entschuldigung, da fragst Du leider den Falschen! So tief reichen...“
Optionen

Alles klar, Dirk, danke.
Hoffen wir mal.

Andy30 mi~we „Da fällt mir spontan Process Monitor ein...“
Optionen

Das ist doch zum "Mäuse melken": Seit heute klappt alles wieder wie gewohnt, ich habe nichts installiert, deinstalliert oder anderweitig konfiguriert.
Das verstehe, wer will.
Euch allen Danke für die Hilfe (und das Mitgefühl).