Główna » szkoła » Omówienie Eksploratora procesów

    Omówienie Eksploratora procesów

    Ta lekcja w naszej serii Geek School obejmuje Process Explorer, być może najczęściej używaną i użyteczną aplikację w zestawie narzędzi SysInternals. Ale jak dobrze znasz to narzędzie?

    NAWIGACJA SZKOLNA
    1. Jakie są narzędzia Sysinternet i jak ich używasz?
    2. Omówienie Eksploratora procesów
    3. Używanie Eksploratora procesów do rozwiązywania problemów i diagnozowania
    4. Omówienie Monitora procesu
    5. Używanie monitora procesu do rozwiązywania problemów i znajdowania haseł rejestru
    6. Korzystanie z autouruchamiania w celu radzenia sobie z procesami uruchamiania i złośliwym oprogramowaniem
    7. Używanie BgInfo do wyświetlania informacji o systemie na pulpicie
    8. Używanie PsTools do sterowania innymi komputerami z poziomu wiersza poleceń
    9. Analizowanie i zarządzanie plikami, folderami i dyskami
    10. Pakowanie i używanie narzędzi razem

    Process Explorer, aplikacja do zarządzania zadaniami i aplikacja do monitorowania systemu, istnieje od 2001 roku i choć pracowała nawet w systemie Windows 9x, nowoczesne wersje obsługują jedynie XP i nowsze, i są one stale aktualizowane dzięki funkcjom dla nowoczesnych wersji aplikacji. Windows. Jest to standard defacto do obsługi procesów rozwiązywania problemów.

    Więc co można zrobić Explorer Explorer?

    Niektóre z lepszych funkcji obejmują następujące, chociaż nie jest to w żadnym wypadku wyczerpująca lista. Ta aplikacja ma wiele funkcji, a wiele z nich jest ukrytych głęboko w interfejsie. Co ciekawe, jest to również bardzo mały plik.

    • Domyślny widok drzewa pokazuje hierarchiczną relację nadrzędną między procesami i wyświetla za pomocą kolorów, aby łatwo zrozumieć procesy na pierwszy rzut oka.
    • Bardzo dokładne śledzenie wykorzystania procesora w procesach.
    • Może być użyty do zastąpienia Menedżera zadań, co jest szczególnie przydatne w systemach XP, Vista i Windows 7.
    • Można dodać wiele ikon podajników do monitorowania procesora, dysku, GPU, sieci i innych.
    • Sprawdź, który proces załadował plik DLL.
    • Sprawdź, który proces uruchamia otwarte okno.
    • Sprawdź, który proces ma otwarty lub zablokowany plik lub folder.
    • Wyświetl pełne dane o dowolnym procesie, w tym wątki, wykorzystanie pamięci, uchwyty, obiekty i prawie wszystko, co trzeba wiedzieć.
    • Może zabić całe drzewo procesu, w tym wszelkie procesy rozpoczęte przez ten, który wybrałeś do zabicia.
    • Może zawiesić proces, zamrażając wszystkie wątki, aby nic nie robił.
    • Widzi, który wątek w procesie faktycznie maksymalizuje procesor.
    • Najnowsza wersja (v16) integruje VirusTotal w interfejsie, dzięki czemu można sprawdzić proces dla wirusów bez opuszczania Process Explorer.

    Za każdym razem, gdy masz problem z aplikacją lub coś utrzymuje się na komputerze, lub próbujesz ustalić, do czego konkretny plik DLL jest używany, Process Explorer to narzędzie do pracy.

    Zrozumienie widoku drzewa

    Podczas pierwszego uruchomienia Eksploratora procesów od razu pojawia się wiele danych wizualnych - istnieje hierarchiczny widok drzewa procesów uruchomionych na komputerze, w tym użycie procesora i pamięci RAM, przy użyciu wartości liczbowych dla każdego procesu. Na pasku narzędzi znajduje się kilka małych wykresów aktywności, pokazujących zużycie procesora, które można kliknąć, aby wyświetlić w osobnym oknie.

    Na pewno dużo się dzieje i łatwo byłoby być przytłoczonym przez wszystko na ekranie.

    Początkowy ekran daje zestaw kolumn, które zawierają:

    • Proces - nazwa pliku wykonywalnego wraz z ikoną, jeśli taka istnieje.
    • procesor - procent czasu procesora w ostatniej sekundzie (lub jakakolwiek jest prędkość aktualizacji)
    • Prywatne bajty - ilość pamięci przydzielonej tylko do tego programu.
    • Zestaw roboczy - ilość rzeczywistej pamięci RAM przydzielonej do tego programu przez system Windows.
    • PID  - identyfikator procesu.
    • Opis - opis, jeśli aplikacja go posiada.
    • Nazwa firmy - ten jest bardziej przydatny niż myślisz. Jeśli coś nie jest w porządku, zacznij od poszukiwania procesów, które nie pochodzą od firmy Microsoft.

    Możesz dostosować te kolumny i dodać wiele innych opcji, lub możesz po prostu kliknąć dowolną z kolumn, aby sortować według tego pola. Jeśli kiedykolwiek wcześniej korzystałeś z Menedżera zadań, prawdopodobnie sortowałeś według pamięci lub procesora, i możesz to również zrobić tutaj.

    Kliknięcie przycisku Przetwarzanie powoduje przełączanie między sortowaniem według nazwy procesu lub powrotem do domyślnego widoku drzewa, co jest bardzo przydatne, gdy się do niego przyzwyczaisz..

    Widok jest aktualizowany raz na sekundę, ale możesz przejść do Widok -> Aktualizuj prędkość i dostosować częstotliwość aktualizacji, najniższy to 0,5 sekundy, a najwyższy poziom to 10 sekund. Jeśli używasz go do rozwiązywania problemów, wartość domyślna jest prawdopodobnie w porządku, ale jeśli chcesz używać go jako monitora procesora w zasobniku systemowym, 5 lub 10 sekund może zużywać mniej procesora, podczas gdy działa w tle.

    Możesz również wstrzymać widok w tym samym podmenu lub po prostu naciskając spację. Spowoduje to zablokowanie widoku jako migawki w czasie, co może być przydatne, jeśli próbujesz zidentyfikować proces, który rozpoczyna się i szybko umiera, lub jeśli zdecydowałeś się sortować według użycia procesora, a wszystkie wiersze wciąż skaczą.

    Jednak w przypadku procesu szybkiego zamykania warto dodać dodatkowe kolumny do domyślnego widoku, aby uzyskać wszystko, co może być potrzebne, ponieważ kliknięcie nieistniejącego procesu na liście nie pokaże zbyt wiele w widoku szczegółów, jeśli proces nie działa, nawet jeśli wszystko zostało zatrzymane.

    Zrozumienie wszystkich tych kolorów

    Na typowej liście Eksploratora procesów jest zdecydowanie dużo kolorów, co może być nieco mylące dla początkującego maniaka. Bardzo ważne jest, aby dowiedzieć się, co oznaczają te wszystkie kolory, ponieważ nie są one dostępne tylko na pokaz - każdy z nich ma znaczenie.

    Kiedy nie możesz zapamiętać, co oznacza jeden z kolorów, możesz przejść do Opcje -> Konfiguruj kolory w menu, aby otworzyć okno dialogowe Wybór koloru. Jest to w zasadzie szybkie oszukiwanie, do czego wszystko oznacza. Czytaj dalej, ponieważ i tutaj wyjaśnimy to.

    W oparciu o kolory na powyższym rysunku, oto co oznacza każdy z wybranych elementów (inne nie są tak naprawdę ważne).

    • Nowe obiekty (jasnozielone) - Kiedy nowy proces pojawi się w Process Explorer, zaczyna się jako jasnozielony.
    • Usunięte obiekty (czerwony) - Gdy proces zostanie zabity lub zamknięty, zwykle będzie migał na czerwono tuż przed usunięciem.
    • Własne procesy (jasnoniebieski) - Procesy działające jako to samo konto użytkownika co Eksplorator procesów.
    • Usługi (jasny różowy) - Procesy usługi Windows, chociaż warto zauważyć, że mogą one mieć procesy podrzędne, które są uruchamiane jako inny użytkownik, a te mogą mieć inny kolor.
    • Zawieszone procesy (ciemny szary) - Gdy proces jest zawieszony, nie może nic zrobić. Możesz łatwo użyć Process Explorer, aby zawiesić aplikację. Czasami zdezaktualizowane aplikacje będą na krótko wyświetlane w kolorze szarym, a system Windows będzie obsługiwał awarię.
    • Immersive Process (Bright Blue) - Jest to tylko fantazyjny sposób powiedzenia, że ​​proces jest aplikacją Windows 8 przy użyciu nowych interfejsów API. Na zrzucie ekranu wcześniej mogłeś zauważyć WSHost.exe, który jest procesem "Windows Store Host", który uruchamia aplikacje Metro. Z jakiegoś powodu Explorer.exe i Menedżer zadań będą również wyświetlane jako wciągające.
    • Zapakowane obrazy (fioletowy) - procesy te mogą zawierać skompresowany kod ukryty w nich lub przynajmniej Process Explorer uważa, że ​​robi to za pomocą heurystyki. Jeśli zobaczysz purpurowy proces, upewnij się, że skanujesz w poszukiwaniu złośliwego oprogramowania!

    Ponieważ istnieje oczywiście pewne pokrywanie się tych różnych scenariuszy, kolory będą stosowane w kolejności pierwszeństwa. Jeśli proces jest usługą i jest zawieszony, będzie wyświetlany w kolorze ciemnoszarym, ponieważ ten kolor jest ważniejszy.

    Z tego, czego nauczyliśmy się podczas badania, zamówienie obejmuje Zawieszony> Spakowany> Wciągający> Usługi -> Własne procesy.

    Weryfikowanie tożsamości aplikacji

    Jedna naprawdę użyteczna opcja, która nas zaskoczyła, nie jest domyślnie włączona w Opcje -> Weryfikuj podpisy obrazu.

    Ta opcja sprawdzi podpis cyfrowy dla każdego pliku wykonywalnego na liście, co jest nieocenionym narzędziem do rozwiązywania problemów, gdy patrzysz na podejrzaną aplikację działającą na liście.

    Zdecydowana większość renomowanego oprogramowania powinna być podpisana cyfrowo w tym momencie. Jeśli coś nie jest, powinieneś uważnie przyjrzeć się, czy powinieneś go używać.

    Podejmowanie działań w procesie

    Możesz szybko podjąć działanie w dowolnym procesie, klikając je prawym przyciskiem myszy i wybierając jedną z opcji lub używając klawiszy skrótów, jeśli wolisz. Te opcje obejmują:

    • Okno - ma opcje, w tym Przenieś na wierzch, które mogą być pomocne w identyfikacji okna związanego z procesem. Jeśli nie ma okien dla tego procesu, będzie on wyszarzony.
    • Ustaw priorytet - możesz użyć tego do skonfigurowania priorytetu procesu. Jest to szczególnie przydatne do oswajania procesu ucieczki, którego nie chcesz zabijać.
    • Zamknij proces - tak jak sobie wyobrażasz, to szybko zabija ten proces.
    • Zabij drzewo procesu - To zabija nie tylko element na liście, ale także dzieci tego procesu nadrzędnego.
    • Uruchom ponownie - spektakularnie przydatne podczas testowania, to po prostu zabija proces, a następnie ponownie go uruchamia. Warto zauważyć, że procesy zabijania mogą skutkować utratą danych.
    • Zawieszać - ta poręczna opcja doskonale nadaje się do rozwiązywania problemów, gdy proces wymyka się spod kontroli. Możesz po prostu zawiesić proces, zamiast go zabić, i sprawdzić, czy coś jest nie tak.
    • Sprawdź VirusTotal - jest to nowa opcja, którą wyjaśnimy dalej. Jest bardzo przydatny, ponieważ sprawdza proces w poszukiwaniu wirusów.
    • Wyszukaj online - to po prostu przeszuka internet w poszukiwaniu nazwy procesu.

    I oczywiście, jeśli otworzysz Właściwości, które doprowadzą cię do jeszcze bardziej przydatnych informacji o procesie, z których wiele zrobimy na następnej lekcji.

    Uwaga: przetestowaliśmy opcję Temp, ale nie mieliśmy pojęcia, co robi.

    Działa jako administrator

    Chociaż nie musisz koniecznie uruchamiać Eksploratora procesów jako Administrator, bez wykonywania wielu przydatnych funkcji, a nie będziesz w stanie zobaczyć tak wielu informacji o każdym procesie.

    Jeśli korzystasz z systemu Windows XP lub 2003, będziesz musiał działać jako konto z pełnymi uprawnieniami administratora, aby móc korzystać z większości funkcji. Prawdopodobnie nie stanowi to problemu dla większości ludzi, ponieważ XP dawał domyślne pełne uprawnienia do konta, ale jeśli spróbujesz użyć tego w pracy bez dostępu administratora, to nie będzie działać tak dobrze.

    Ponieważ większość naszych czytelników korzysta z Windows 7, 8x, a nawet Vista, prawdopodobnie będziesz znał działanie aplikacji jako Administrator. To naprawdę proste ... po prostu kliknij prawym przyciskiem myszy i wybierz opcję z menu.

    Śmieszny fakt: Process Explorer faktycznie używa przywilejów Debugowania programów, co znacznie wyjaśnia, dlaczego jest tak potężny.

    Wymuszenie Eksploratora procesów, aby zawsze był otwarty jako administrator

    Jeśli chcesz mieć pewność, że Process Explorer zawsze otwiera się jako Administrator bez konieczności pamiętania, aby kliknąć prawym przyciskiem myszy, możesz wymusić go, wykonując specjalny skrót, który wymaga trybu Administratora, lub otwierając Właściwości dla procexp.exe, przechodząc do opcji Zgodność, a następnie wybierając opcję "Uruchom ten program jako administrator".

    Oba sposoby będą działały dobrze, lub możesz również wyłączyć UAC, jeśli wolisz, co sprawia, że ​​wszystko działa jako administrator przez cały czas. Nie zalecamy tego, ale możesz to zrobić.

    Używanie Process Explorer do zastąpienia Menedżera zadań

    Process Explorer od dawna był wykorzystywany jako potężny zamiennik poprzednio anemicznej aplikacji Menedżera zadań w każdej wersji systemu Windows przed Windows 8, a przy założeniu, że chcesz mieć prawdziwą moc w Twoich rękach, działa bardzo dobrze jako zamiennik również w tej wersji.

    Uwaga: Menedżer zadań systemu Windows 8 został znacznie ulepszony z poprzednich wersji. Wciąż nie jest tak potężny jak Process Explorer, ale jest prawdopodobnie łatwiejszy w użyciu dla zwykłych ludzi. Więc nie zmieniaj komputera mamy na domyślny na Process Explorer.

    Aby proces Explorer zastąpił Menedżera zadań, wystarczy wybrać Opcje -> Zamień Menedżera zadań z menu. To jest to.

    Gdy to zrobisz, użycie klawiszy CTRL + SHIFT + ESC lub kliknięcie prawym przyciskiem myszy na pasku zadań spowoduje uruchomienie Process Explorer zamiast Task Manager. Łatwo, dobrze?

    Ostrzeżenie: jeśli zastąpisz Menedżera zadań, upewnij się, że umieściłeś Eksplorator procesów w miejscu, w którym przypadkowo się nie przeniesiesz lub usuniesz plik. W przeciwnym razie utkniesz w systemie, który nie może uruchomić żadnego Menedżera zadań.

    Używanie Process Explorer jako niesamowitego monitora ikon w zasobniku

    Jedną z najlepszych funkcji Process Explorer jest możliwość zminimalizowania jej do zasobnika systemowego, ale zamiast pojedynczej ikony można zminimalizować do pełnego zestawu ikon, które mogą monitorować procesor, I / O, dysk, sieć, GPU i RAM lub dowolną ich kombinację. Możesz je skonfigurować tak, by wyświetlały się osobno lub wcale, jeśli wolisz.

    Aby to ustawić, otwórz menu Opcje, przejdź do sekcji Ikony na tacy, a następnie kliknij, aby włączyć ikony każdego z zasobników, które chcesz widzieć.

    Po prostu możesz uruchomić Process Explorer za każdym razem, gdy uruchomisz komputer, a następnie zminimalizować go do zasobnika systemowego, aby zawsze był dostępny dla ciebie. Oczywiście, jeśli skorzystałeś z opcji zastąpienia Menedżera zadań, możesz szybko uzyskać do niego dostęp za pomocą klawisza skrótu - możesz jednak użyć opcji "Zezwalaj tylko na jedną instancję", aby upewnić się, że nie otwierasz garść oddzielnych okien.

    Korzystanie z Process Explorer do szybkiego wyszukiwania w VirusTotal

    Jeśli pracujesz na komputerze z problemami i chcesz dowiedzieć się, czy dany proces jest wirusem, możesz zaoszczędzić trochę czasu, używając Process Explorer w wersji 16 lub nowszej, ponieważ dodali integrację VirusTotal bezpośrednio do aplikacji. Kliknij wszystko prawym przyciskiem myszy na liście, aby zobaczyć opcję.

    Przy pierwszym uruchomieniu zostaniesz poproszony o zaakceptowanie warunków użytkowania VirusTotal, ale gdy to zrobisz, zobaczysz wyniki VirusTotal pojawiające się właśnie na liście.

    Możesz kliknąć wynik, aby przejść do VirusTotal i zobaczyć szczegóły. To świetny nowy dodatek do jednego z najlepszych narzędzi kiedykolwiek.

    Następna lekcja: Używanie Eksploratora procesów do rozwiązywania problemów i diagnozowania

    W następnej lekcji z naszej serii przedstawimy znacznie więcej informacji o tym, jak używać Eksploratora procesów w niektórych rzeczywistych scenariuszach do rozwiązywania typowych problemów, takich jak złośliwe oprogramowanie i oprogramowanie typu crapware. Upewnij się, aby pozostać w gotowości do końca serii.

    Zrozumienie pseudo-elementu przed i po
    Omówienie routerów, przełączników i sprzętu sieciowego
    Zrozumienie szybkości przesyłania danych w sieci LAN
    Następny artykuł
    Omówienie Monitora procesu
    Poprzedni artykuł
    Zrozumienie mikrointerakcji w projektowaniu aplikacji mobilnych