Pełna deinstalacja aplikacji przy pomocy Process Monitor

[oldblues]

Darmowy program od Microsoftu - Process Monitor to zaawansowane narzędzie do monitorowania wszelkich zdarzeń dziejących się w naszym systemie w czasie rzeczywistym. To tyle tytułem krótkiego wstępu, bo program jest bardzo znany i szeroko opisywany.
Chciałbym się skupić wyłącznie na wykorzystaniu Process Monitora przy dokładnym usuwaniu pozostałości po różnych aplikacjach.
Artykułów tłumaczących funkcje oraz działanie tego programu jest cała masa. Po zapoznaniu się z ich częścią, pokażę jak przy pomocy tego softu prześledzić i zapisać zmiany dokonane w systemie przez zainstalowane właśnie nowe aplikacje.
Powszechnie wiadomo, że nawet te najlepsze deinstalatory potrafią pozostawić resztki (głównie w rejestrze), więc w niektórych przypadkach dokładne wyczyszczenie pozostałości po programach może się przydać.
Jak to wszystko wygląda przedstawię na przykładzie monitorowania instalacji WinRAR.

Ściągamy Process Monitor i uruchamiamy plik Procmon.exe
Rejestracja zdarzeń Capture Events jest domyślnie włączona i tak zostawiamy.



Następnie instalujemy wybrany soft (w moim przypadku WinRAR)

Po zakończeniu instalacji zatrzymujemy Capture Events (nie jest to co prawda konieczne, ale im mniej różnych procesów do filtrowania tym lepiej)



Przechodzimy do Tools > Process Tree, by znaleźć nazwę zainstalowanego dopiero co programu i powiązanych z nim identyfikatorów PID procesów.



Zaznaczamy PID-y procesu i podprocesów związanych z instalacją i klikamy Include Process po każdym zaznaczeniu.



Gdy klikniemy na Filter > Filter, to zobaczymy efekt tego zaznaczenia



Pliki

Teraz sprawdzamy jakie pliki powstały podczas instalacji.
Pozostawiamy włączone Show File System Activity



Wyszukujemy (klik na ikonkę lornetki). Wpisujemy frazę WriteFile> Znajdź



Gdy już operacja WriteFile zostanie znaleziona, to klikamy na nia PPM i Include "WriteFile"



Mamy więc przefiltrowane pliki związane z instalacją. Teraz ustalamy ścieżki (path) instalacji.
Klikamy na Tools > Count Occurrences



W "Column" wybieramy Path > i klik na "Count"



Pojawia nam się okno z plikami do zapisania w logu. Zapisujemy > Save



Rejestr

Klikamy na Filter > Filter, następnie zaznaczamy "WriteFile" i usuwamy te pozycję przez Remove



Zostawiamy włączone "Show Registry Activity".



Odtąd zestaw czynności będzie podobny jak przy filtrowaniu plików. Klik na ikonę lornetki i wpisujemy RegSetValue > Znadź.

Gdy już zostanie wyszukane, to PPM i Include RegSetValue

Po tym przefiltrowaniu przechodzimy ponownie do Tools > Count Occurrences.
W "Column" zaznaczamy ścieżkę "Path" i "Count" Ponownie zapisujemy "Save"

Mamy teraz zapisane ścieżki instalacyjne, zarówno plików, jak i rejestru.



Wbrew pozorom cała operacja udokumentowania rejestracji danej aplikacji przez Process Monitortrwa bardzo szybko., i o ile przy czyszczeniu plików spokojnie możemy zaufać opisywanemu już na forum programowi Everything (będzie wygodniej), to śmieci z rejestru możemy dzięki Process Monitor
wymieść dokładnie.
Jeśli ktoś zna dłużej ten program i zauważy jakieś błedy, to proszę o uwagi .

[ichito]

Czytałem, że ten program da się do tego zastosować, ale trudno mi było znaleźć cierpliwość, by przez tutoriale przebrnąć...tu mamy wszystko od ręki. Duży plus i dzięki

[Jacenty]

Bardzo duży plus za chęci i wytrwałość potrzebna do stworzenia tego artykułu dzieki . Obawiam się jednak ze dla normalnego usera będzie to trochę za skomplikowane. Mam takie małe pytanko

Mamy teraz zapisane ścieżki instalacyjne, zarówno plików, jak i rejestru.

i co dalej z nimi, mamy te ścieżki instalacyjne i ścieżki plików i rejestru, co potem? W tytule pisze "czysta deinstalacja aplikacji przy pomocy Proces Monitor", znalazłem wszystko i ....? Według tego jak to przedstawiłeś, rozumiem ze teraz muszę ręcznie znaleźć wszystkie ścieżki żeby je usunąć. A gdzie ich szukać?


Pytam tylko jako normalny user

Pozdrawiam

Jacenty

[oldblues]

Dziękuję za dotychczasowe opinie.

Mam takie małe pytanko

Mamy teraz zapisane ścieżki instalacyjne, zarówno plików, jak i rejestru.

i co dalej z nimi, mamy te ścieżki instalacyjne i ścieżki plików i rejestru, co potem? W tytule pisze "czysta deinstalacja aplikacji przy pomocy Proces Monitor", znalazłem wszystko i ....? Według tego jak to przedstawiłeś, rozumiem ze teraz muszę ręcznie znaleźć wszystkie ścieżki żeby je usunąć. A gdzie ich szukać?


Pytam tylko jako normalny user

Pozdrawiam

Jacenty

Jacenty słusznie zauważyłeś, że ktoś zapisze pliki ze ścieżkami i zostanie trochę w lesie, bo nie wiadomo do czego "ręce włożyć"
Muszę przyznać, że sobie ułatwiłem nieco robotę na poczet artykułu i zamieniłem rozszerzenie zapisanych plików ze ścieżkami z CSV (tak zapisuje Process Monitor) na txt, by je wstawić do tekstu. Do odczytu oryginalnego pliku CSV można użyć np. programu CSVed (jest i instalacyjny i portable).



Klikamy na "File" > "Open" i importujemy logi Process Monitora. Program posiada duże możliwości, m.in.kasowania poszczególnych wpisów, jak i kolumn.

[Jacenty]

@oldblues

o to mi chodziło żebyś właśnie pokazał do końca co z tymi plikami zrobić, bo samo ich znalezienie i zapisanie np. na pulpicie to nie wszystko. Ja to oczywiście wiem ale inni użytkownicy może nie. To nie tak do końca chyba to o co Ci chodziło ale ja zrozumiałem i mi się bardzo podoba. Napisz może druga część tego artykułu gdzie pokażesz wszystkim jak te ścieżki usunąć przy pomocy właśnie CSVed. Tak żeby była do końca "czysta deinstalacja aplikacji przy pomocy Proces Monitor"


Pozdrawiam serdecznie

Jacek

[oldblues]

Update

Muszę skorygować pewne rzeczy, by nie wprowadzać w błąd.
Tak więc, sprawa jest bardziej skomplikowana niż przypuszczałem na początku. Widocznie za mało poznałem materiałów, a część z nich była dość wątpliwa.
Od razu powinienem wykasować mój ostatni post na temat CSVed. Ten program się do tego nie nadaje.
Sama filtracja w Process Monitor różnych operacji musi być o wiele szersza niż przedstawiłem. Dotarłem do tekstu oraz video na ten temat Aarona Margosisa z Microsoftu. Nie będę powtarzał za nim, bo każdy zainteresowany sam zapozna się z tymi materiałami. Zrobię to tylko krótko na temat samej wstępnej filtracji operacji.
Możemy od razu przed instalacją danej aplikacji przefiltrować operacje.
Wybieramy w pierwszym okienku "Operation", a w trzecim poszczególne operacje.



Wybieramy następujące:



Na koniec zmieniamy w pierwszym okienku na "Result" i w trzecim zaznaczamy "SUCCESS", bo interesują nas tylko procesy, które zakończyły się pomyślnie. Po każdej dodanej operacji do listy klikamy "Add", a gdy dodamy wszystkie, na koniec "OK"

Gdy już zainstalujemy jakiś program przechodzimy do Drzewa procesów:



Tam zaznaczamy proces związany z instalacją danej aplikacji. Nie trzeba osobno zaznaczać poszczególnych procesów, tylko klikamy "Include Subtree"
To może jednak być za mało. Być może trzeba będzie niekiedy zaznaczyć procesy związane ze svchost. Jako, że nie chce niczego przekręcić odsyłam do linków. Jest tam o tym jak zapisać logi oraz jaki program zastosować (Windows PowerShell w formie aktualizacji), by wykorzystać posiadane logi z Process Monitor.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]