プロセスモニター「猫原喜雨」さん (読み:ねこはら きう) (英語名:CatField JoyRain)
概要
●概要
|
重要注意事項
|
基本操作
| ●基本的な操作の流れ 「イベント表示」ボタンを押せば、その時点での取得済みイベントと、イベント表示フィルターや表示対象イベントの指定を基に、イベントリストを表示します。そのため基本的な操作としては、起動後、イベント表示フィルターや表示対象イベントを指定してから、「イベント表示」ボタンを押します。起動から「イベント表示」ボタン押し下げまでの間に、情報を取得したい挙動を解析対象が行うようにタイミングを合わせてください。また、「クリア」ボタンや「イベント取得一時停止」ボタンを用いて、情報を取得したい挙動を解析対象が行うタイミングに合わせてイベント情報を取得することもできます。なお、「イベント自動表示」チェックボックスで、イベントリストの表示を自動的に更新することも可能です。これは2秒ごとに「イベント表示」ボタンを押すのと同じ操作に当たります。 ●イベント表示フィルター関連 イベント表示フィルターの文字入力欄で、複数のフィルター用文字列を入力したい場合は、半角カンマ「,」で区切ってください。この場合、入力した複数のフィルター用文字列のどれかに合致すれば表示することになります。フィルターの「部分一致」は、指定したフィルター用文字列が含まれているか否かで、合致するか判断することを意味します。なお、フィルター用プロセス名は、利便性の理由により大文字と小文字の区別をせずに合致するか判断します。フィルターの「除外指定」は、指定した文字が含まれているイベントは表示しないという意味です。正規表現による検索については、.NET Framework用の正規表現の仕様解説を参照願います。有効にしたフィルターでの指定文字列が未入力(空文字)の場合は、全て合致扱いになります。 初期設定として、「Idle」や「System」プロセスおよび、PID(プロセスID)が不明なプロセスは、イベント表示フィルター「無効なプロセスを除外」で表示対象外に指定しています。 イベント名のうち、「DCStart」など「DC」で始まるものは、すでに実行された過去の実行処理を意味します。この情報が不要ならば、イベント表示フィルターのイベント名の除外設定で、文字列「DC」を指定してください。 イベント名「StackWalk/Stack」は、その直前に実行された、発生原因とみられる「StackWalk/Stack」以外のイベントが存在するときに表示します。常に発生原因とみられるイベントとセットで表示するため、イベント表示フィルターや表示対象イベントの指定で、「StackWalk/Stack」イベントだけを表示させることはできません。なお、イベントの状況によっては、発生原因とは異なるイベントの「StackWalk/Stack」イベントが表示される可能性があります。 ●イベント表示内容関連 イベント情報として表示される、アドレス、オフセット、ハンドル、各種サイズなどの数値は、うさみみハリケーン等での解析における利便性から、基本的に16進数で表示します。PID、TID(スレッドID)、IPアドレスやポートは10進数表示です。 表示されたイベントリスト上で、任意の項目を選択して右クリックで表示されるメニューから、下記の操作が可能です。 ・表示内容をコピー ・表示内容を基に、イベント表示フィルターへ文字列を追加 ・選択項目のプロセスを「うさみみハリケーン」で開いて解析 ・選択項目のプロセスを実行一時停止や実行再開 また、イベント名が「StackWalk/Stack」の項目を右クリックした場合は、シンボル情報といったコールスタックのスタックフレーム内容詳細をダイアログで表示します。表示されたスタックフレーム内容詳細のリスト上でも、項目を選択して右クリックから、表示内容のコピーができます。なお、スタックフレーム内容詳細では、シンボル解析に用いるAPI関数の仕様により、32ビットプロセスが使用する32ビット版ntdll.dllが認識できず、「Unknown」表示になります。 上記右クリックで、選択項目のプロセスを「うさみみハリケーン」で開いた場合は、メニューの「プロセス」→「プロセスの各種情報を表示」で、当該プロセスのカテゴリ別の詳細情報を表示します。 表示対象イベントの「ファイル作成/削除」の有効時には、ファイルの名前変更イベント「FileIO/Rename」や、ファイルの時刻情報等の変更イベント「FileIO/SetInfo」も取得します。さらに、ファイルの読み書きを含む各種ファイル関連処理の結果情報(成功またはエラー発生)を示す、「FileIO/OperationEnd」イベントも取得します。このイベントで示される「NtStatus」は、値ゼロが処理の成功を意味します。各NTSTATUS値が意味する内容は、「うさみみハリケーン」本体のUsaMimi.exe/UsaMimi32.exe/UsaMimi64.exeで、メニューの「その他」→「エラーコードを説明文に変換」から取得できます。 ファイルの削除に関して、解析対象の「FileIO/Create」イベントで、オプションに「FILE_DELETE_ON_CLOSE」が指定された場合は、ファイル削除時に「FileIO/Delete」イベントが発生しません。また、解析対象によるファイル削除時に、復元妨害を目的としてファイル名と拡張子をランダムに変更してから削除するケースでは、イベント表示フィルターで元のファイル名を指定していると、「FileIO/Rename」イベントは表示されますが、その後の「FileIO/Delete」イベントは表示されませんので注意が必要です。 ●イベント表示件数・取得件数関連 「イベント取得一時停止」ボタンで、イベント取得の一時停止と再開が可能です。また、「クリア」ボタンで表示と取得済みイベント情報を破棄し、イベント取得を新たに開始します。これらのボタンが、必要なタイミングでのイベント取得と表示、すなわち本来取得不要なイベントの表示件数の低減に役立ちます。 「取得件数上限解除」チェックボックスで、イベント取得件数の初期上限値40万件を無制限に変更します。この変更で、状況によっては、当ソフトウェアのメモリ使用量がギガバイト単位になるため、通常は使用しないでください。 ●設定保存 「設定保存」ボタンで、ウィンドウの位置とサイズおよび、イベント表示フィルターや表示対象イベント等の指定内容を保存し、次回起動時に自動で反映させます。 |
動画再生機能
|
実行ファイルと同じフォルダにMP4動画ファイル「NekoharaKiu.mp4」があれば、起動時から終了時まで、イベントリストの背景でこの動画をループ再生します。この際、初期設定として、音量0.5、不透明度(Opacity)0.42、速度1.0で再生します。これらの動画再生設定は、「設定保存」ボタンで設定ファイル「NekoharaKiu.xml」(文字コードUTF-8のテキストファイル)を出力すると、その中に設定項目「VideoName」、「VideoVolume」、「VideoOpacity」および「VideoSpeed」があるので手動で変更可能です。 設定項目のうち、音量と不透明度の数値指定は0.00から1.00で、速度は処理の安全性のため0.10から5.00の範囲で行います。 この機能で再生可能な動画形式は、MP4、MPEG、AVI、WMVなど、実行環境のWindowsに付属する「Windows Media Player」が対応している動画形式です。 |
開発補足
|
Windowsにおけるイベントトレース関連機能は、Windows10において何度か仕様が更新され、今後も仕様の細かい更新が行われると予想されます。このような状況にあたり、当ソフトウェアは互換性保持の観点から、イベントトレースの古い仕様をベースにして製作しています。また、この古い仕様をベースにすることで、依存するモジュールの数を減らしています。 .NET CLR関連の各種イベントやコールスタックの情報取得機能は、いったん実装したものの、挙動の解析には不要な情報が多いため無効化しています。 |