Домашняя » школа » Понимание Process Explorer

    Понимание Process Explorer

    Этот урок из серии Geek School охватывает Process Explorer, пожалуй, самое используемое и полезное приложение в наборе инструментов SysInternals. Но насколько хорошо вы действительно знаете эту утилиту?

    ШКОЛЬНАЯ НАВИГАЦИЯ
    1. Что такое инструменты SysInternals и как вы ими пользуетесь?
    2. Понимание Process Explorer
    3. Использование Process Explorer для устранения неполадок и диагностики
    4. Понимание Process Monitor
    5. Использование Process Monitor для устранения неполадок и поиска взлома реестра
    6. Использование автозапуска для работы с процессами запуска и вредоносными программами
    7. Использование BgInfo для отображения системной информации на рабочем столе
    8. Использование PsTools для управления другими ПК из командной строки
    9. Анализ и управление вашими файлами, папками и дисками
    10. Заключение и совместное использование инструментов

    Process Explorer, диспетчер задач и приложение для мониторинга системы, существует с 2001 года, и хотя раньше он работал даже в Windows 9x, современные версии поддерживают только XP и более поздние версии, и они постоянно пополняются функциями для современных версий Окна. Это стандарт defacto для работы с процессами устранения неполадок..

    Итак, что может сделать Process Explorer?

    Некоторые из лучших функций включают следующее, хотя это далеко не полный список. Это приложение имеет много функций, и многие из них скрыты глубоко в интерфейсе. Удивительно, но это также очень маленький файл.

    • Древовидное представление по умолчанию показывает иерархические родительские отношения между процессами и отображает с использованием цветов, чтобы легко понять процессы с первого взгляда.
    • Очень точное отслеживание использования процессора для процессов.
    • Может использоваться для замены диспетчера задач, что особенно полезно в XP, Vista и Windows 7.
    • Можно добавить несколько значков в трее для мониторинга процессора, диска, графического процессора, сети и т. Д..
    • Выясните, какой процесс загрузил файл DLL.
    • Выяснить, какой процесс работает в открытом окне.
    • Выясните, в каком процессе файл или папка открыты и заблокированы.
    • Просмотр полных данных о любом процессе, включая потоки, использование памяти, дескрипторы, объекты и многое другое, что нужно знать.
    • Может уничтожить все дерево процессов, включая любые процессы, запущенные тем, который вы решите убить.
    • Может приостановить процесс, заморозив все его потоки, чтобы они ничего не делали.
    • Можно увидеть, какой поток в процессе на самом деле увеличивает процессор.
    • Последняя версия (v16) интегрирует VirusTotal в интерфейс, так что вы можете проверить процесс на наличие вирусов, не выходя из Process Explorer..

    Каждый раз, когда у вас возникают проблемы с приложением, или что-то продолжает зависать на вашем компьютере, или, возможно, вы пытаетесь выяснить, для чего используется определенный файл DLL, Process Explorer - это инструмент для работы..

    Понимание дерева

    Когда вы впервые запускаете Process Explorer, вы сразу получаете много визуальных данных - существует иерархическое древовидное представление процессов, запущенных на вашем компьютере, включая использование ЦП и ОЗУ с использованием числовых значений для каждого процесса. В верхней части панели инструментов есть несколько мини-графиков активности, показывающих загрузку процессора, которые можно щелкнуть для отображения в отдельном окне..

    Там определенно много чего происходит, и было бы легко ошеломить все на экране.

    Первоначальное отображение дает вам набор столбцов, которые включают в себя:

    • Процесс - имя файла исполняемого файла вместе со значком, если таковой существует.
    • ЦПУ - процент времени процессора в последнюю секунду (или независимо от того, установлена ​​ли скорость обновления)
    • Частные байты - объем памяти, выделенный только для этой программы.
    • Рабочий набор - количество фактической оперативной памяти, выделенной для этой программы Windows.
    • PID  - идентификатор процесса.
    • Описание - описание, если приложение имеет.
    • название компании - этот полезнее, чем вы думаете. Если что-то не так, начните с поиска процессов, не принадлежащих Microsoft..

    Вы можете настроить эти столбцы и добавить множество других опций, или вы можете просто щелкнуть по любому из столбцов, чтобы отсортировать по этому полю. Если вы когда-либо использовали диспетчер задач, вы, вероятно, отсортировали по памяти или процессору, и вы можете сделать это и здесь.

    Нажатие на Process будет переключаться между сортировкой по имени процесса или возвращением к представлению дерева по умолчанию, которое очень полезно, когда вы привыкнете к нему..

    Представление обновляется один раз в секунду, но вы можете перейти в меню «Просмотр» -> «Скорость обновления» и настроить частоту обновления: самое низкое значение - 0,5 секунды, а верхний уровень - 10 секунд. Если вы используете его для устранения неполадок, значение по умолчанию, вероятно, подойдет, но если вы хотите использовать его в качестве монитора ЦП, находящегося в системном трее, 5 или 10 секунд могут использовать меньше ЦП, пока он работает в фоновом режиме..

    Вы также можете приостановить просмотр в том же подменю или просто нажав клавишу пробела. Это зафиксирует представление как моментальный снимок, что может быть полезно, если вы пытаетесь определить процесс, который запускается и быстро умирает, или если вы решили отсортировать данные по загрузке ЦП и все строки продолжают прыгать.

    В случае быстро закрывающегося процесса, однако, вы захотите добавить дополнительные столбцы в представление по умолчанию для всего, что вам может понадобиться знать, потому что нажатие на несуществующий процесс в списке не будет сильно отображаться в подробном представлении, если процесс не работает, даже если вы все приостановили.

    Понимание всех этих цветов

    В типичном списке Process Explorer определенно много цветов, что может немного запутать начинающего гика. Очень важно узнать, что означают все эти цвета, потому что они не только для показа - каждый из них означает что-то важное.

    Когда вы не можете вспомнить, что означает один из цветов, вы можете перейти в «Параметры» -> «Настроить цвета» в меню, чтобы открыть диалоговое окно «Выбор цвета». Это в основном быстрый шпаргалка к тому, что все значит. Продолжайте читать, так как мы собираемся объяснить это здесь.

    Основываясь на цветах на картинке выше, вот что означает каждый из выбранных элементов (остальные не очень важны).

    • Новые объекты (ярко-зеленый) - Когда в Process Explorer появляется новый процесс, он начинает ярко-зеленый.
    • Удаленные объекты (красный) - Когда процесс завершается или закрывается, он обычно мигает красным перед удалением.
    • Собственные процессы (светло-голубоватый) - Процессы, запущенные с той же учетной записью, что и Process Explorer.
    • Услуги (светло-розовый) - Процессы службы Windows, хотя стоит отметить, что они могут иметь дочерние процессы, которые запускаются от имени другого пользователя, и они могут быть другого цвета..
    • Подвесные процессы (темно-серый) - Когда процесс приостановлен, он ничего не может сделать. Вы можете легко использовать Process Explorer, чтобы приостановить приложение. Иногда сбойные приложения ненадолго отображаются серым цветом, пока Windows обрабатывает сбой.
    • Процесс погружения (ярко-синий) - Это просто причудливый способ сказать, что процесс представляет собой приложение для Windows 8, использующее новые API. На снимке экрана ранее вы могли заметить WSHost.exe, который представляет собой процесс «Хранилище Windows», который запускает приложения Metro. По какой-то причине Explorer.exe и диспетчер задач также будут отображаться как захватывающие.
    • Упакованные изображения (фиолетовый) - эти процессы могут содержать сжатый код, скрытый внутри них, или, по крайней мере, Process Explorer считает, что они используют эвристику. Если вы видите фиолетовый процесс, убедитесь, что сканировали на наличие вредоносных программ.!

    Поскольку очевидно, что эти разные сценарии частично совпадают, цвета будут применяться в порядке приоритета. Если процесс является услугой и приостановлен, он будет отображаться темно-серым, потому что этот цвет важнее.

    Из того, что мы узнали во время исследования, заказ приостановлен> упакован> погружен> услуги -> собственные процессы.

    Проверка подлинности приложения

    Один действительно полезный параметр, который, как мы удивляемся, по умолчанию не включен, находится в меню «Параметры» -> «Проверить подписи изображений»..

    Эта опция будет проверять цифровую подпись для каждого исполняемого файла в списке, который является бесценным инструментом устранения неполадок, когда вы смотрите на какое-то подозрительное приложение, работающее в списке.

    На этом этапе подавляющее большинство надежного программного обеспечения должно иметь цифровую подпись. Если что-то не так, вы должны очень внимательно посмотреть, стоит ли вам это использовать.

    Принятие мер в отношении процесса

    Вы можете быстро выполнить действие с любым процессом, щелкнув правой кнопкой мыши по нему и выбрав один из вариантов, или используя сочетания клавиш, если вы предпочитаете. Эти варианты включают в себя:

    • Окно - имеет параметры, в том числе «Перевести на передний план», которые могут быть полезны для определения окна, связанного с процессом Если для этого процесса нет окон, он будет недоступен.
    • Установить приоритет - Вы можете использовать это для настройки приоритета процесса. Это в основном полезно для укрощения сбежавшего процесса, который вы не хотите убивать.
    • Убить процесс - так же, как вы могли себе представить, это быстро убивает этот процесс.
    • Убить дерево процессов - Это убивает не только элемент в списке, но и дочерние элементы этого родительского процесса.
    • Запустить снова - невероятно полезный во время тестирования, он просто убивает процесс и затем перезапускает его. Стоит отметить, что процессы уничтожения могут привести к потере данных.
    • приостановить - Эта удобная опция отлично подходит для устранения неполадок, когда процесс выходит из-под контроля. Вы можете просто приостановить процесс, а не убить его, и проверить, не вышло ли что-нибудь из строя.
    • Проверьте VirusTotal - это новый вариант, который мы объясним далее. Это очень удобно, так как проверяет процесс на наличие вирусов.
    • Поиск в Интернете - это будет просто искать в Интернете имя процесса.

    И, очевидно, если вы откроете Свойства, которые приведут вас к еще более полезной информации о процессе, большую часть которой мы рассмотрим на следующем уроке..

    Замечания: мы протестировали вариант Temp, но понятия не имели, что он делает.

    Запуск от имени администратора

    Хотя вам совершенно не обязательно запускать Process Explorer от имени администратора, без этого многие полезные функции не будут работать, и вы не сможете увидеть столько информации о каждом процессе..

    Если вы работаете в Windows XP или 2003, вам нужно будет использовать учетную запись, обладающую полными правами администратора для использования большинства функций. Вероятно, это не проблема для большинства людей, потому что XP все равно предоставил учетной записи по умолчанию полные привилегии, но если вы пытаетесь использовать это на работе без доступа администратора, это не будет работать так же хорошо.

    Поскольку большинство наших читателей используют Windows 7, 8.x или даже Vista, вы, вероятно, будете знакомы с запуском приложения в качестве администратора. Это действительно легко ... просто щелкните правой кнопкой мыши и выберите вариант из меню.

    Интересный факт: Process Explorer фактически использует привилегию Debug Programs, которая объясняет, почему она настолько мощная.

    Принудительное открытие Process Explorer от имени администратора

    Если вы хотите убедиться, что Process Explorer всегда открывается как Администратор без необходимости щелкать правой кнопкой мыши по нему, вы можете принудительно вызвать его, либо сделав специальный ярлык, требующий режима Администратора, либо открыв Свойства для procxp.exe, перейдите в раздел Совместимость, а затем выберите опцию «Запустить эту программу от имени администратора».

    В любом случае все будет работать нормально, или вы также можете просто отключить UAC, если хотите, что заставляет все время работать от имени администратора. Мы не рекомендуем это, но вы можете сделать это.

    Использование Process Explorer для замены диспетчера задач

    Process Explorer долгое время использовался в качестве мощной замены ранее анемичного приложения «Диспетчер задач» во всех версиях Windows, предшествующих Windows 8, и, предполагая, что вам нужны реальные возможности, он работает очень хорошо, как замена в этой версии..

    Замечания: Диспетчер задач Windows 8 значительно улучшен по сравнению с предыдущими версиями. Он по-прежнему не такой мощный, как Process Explorer, но, вероятно, его проще использовать обычным людям. Так что не меняй мамин компьютер по умолчанию на Process Explorer.

    Чтобы заставить Process Explorer заменить диспетчер задач, все, что вам нужно сделать, это выбрать в меню пункт «Параметры» -> «Заменить диспетчер задач». это оно.

    После того, как вы это сделаете, использование сочетаний клавиш CTRL + SHIFT + ESC или щелчка правой кнопкой мыши на панели задач приведет к запуску Process Explorer, а не диспетчера задач. Легко, верно?

    Предупреждение: если вы замените диспетчер задач, убедитесь, что вы поместили Process Explorer в место, где вы не будете случайно перемещать или удалять файл. В противном случае вы застрянете с системой, которая не может запустить любой диспетчер задач..

    Использование Process Explorer в качестве Awesome Tray Icon Monitor

    Одной из лучших функций Process Explorer является возможность минимизировать его в системном трее, но вместо одного значка он может превратиться в полный набор иконок, которые могут контролировать CPU, I / O, Disk, Network, GPU и RAM, или любая их комбинация. Вы можете настроить их для отображения отдельно или не на всех, если вы предпочитаете.

    Чтобы настроить это, откройте меню «Параметры», перейдите в раздел «Значки на панели задач», а затем нажмите, чтобы включить все значки на панели задач, которые вы хотите видеть..

    Вы можете просто запускать Process Explorer при каждом запуске компьютера, а затем свернуть его в системный трей, чтобы он всегда был у вас. И, конечно же, если вы использовали опцию для замены диспетчера задач, вы можете быстро получить к нему доступ в любое время с помощью сочетания клавиш - хотя вы можете использовать опцию «Разрешить только один экземпляр», чтобы убедиться, что вы не открываете куча отдельных окон.

    Использование Process Explorer для быстрого поиска VirusTotal

    Если вы работаете на проблемном ПК и хотите выяснить, является ли процесс вирусом, вы можете сэкономить некоторое время, используя Process Explorer версии 16 или выше, поскольку они добавили интеграцию VirusTotal непосредственно в приложение. Просто щелкните правой кнопкой мыши на любом месте в списке, чтобы увидеть опцию.

    При первом запуске вам будет предложено принять условия использования VirusTotal, но после этого вы увидите результаты VirusTotal, которые будут отображены прямо в списке..

    Вы можете нажать на результат, чтобы перейти к VirusTotal и посмотреть детали. Это отличное новое дополнение к одной из лучших утилит когда-либо.

    Следующий урок: Использование Process Explorer для устранения неполадок и диагностики

    В следующем уроке из нашей серии мы углубимся в то, как использовать Process Explorer в некоторых реальных сценариях для устранения распространенных проблем, таких как вредоносные программы и программное обеспечение. Обязательно следите за обновлениями до конца серии.

    Понимание псевдоэлемента до и после
    Понимание маршрутизаторов, коммутаторов и сетевого оборудования
    Понимание скорости передачи данных в локальной сети
    Следующая статья
    Понимание Process Monitor
    Предыдущая статья
    Понимание микровзаимодействий в дизайне мобильных приложений