Forstå Process Explorer

Anonim

Denne leksjonen i vår Geek School-serie dekker Process Explorer, kanskje den mest brukte og nyttige applikasjonen i SysInternals verktøykasse. Men hvor bra vet du virkelig dette verktøyet?

SCHOOL NAVIGASJON

  1. Hva er SysInternals Tools og hvordan bruker du dem?
  2. Forstå Process Explorer
  3. Bruk Prosess Explorer til Feilsøking og diagnostisering
  4. Forstå prosessovervåking
  5. Bruk Prosess Monitor til Feilsøking og Finn Register Hacks
  6. Ved hjelp av Autoruns å håndtere oppstartsprosesser og malware
  7. Bruke BgInfo til å vise systeminformasjon på skrivebordet
  8. Bruke PsTools til å kontrollere andre PCer fra kommandolinjen
  9. Analysere og administrere filer, mapper og stasjoner
  10. Pakke opp og bruke verktøyene sammen

Process Explorer, en oppgavebehandling og systemovervåkingsprogram, har eksistert siden 2001, og mens det pleide å fungere på Windows 9x, støtter de moderne versjonene bare XP og over, og de har blitt kontinuerlig oppdatert med funksjoner for moderne versjoner av Windows. Det er defacto-standarden for å håndtere feilsøkingsprosesser.

Så Hva kan Process Explorer gjøre?

Noen av de bedre funksjonene inkluderer følgende, selv om dette ikke på noen måte er en uttømmende liste. Denne applikasjonen har mange funksjoner, og mange av dem er begravet dypt inne i grensesnittet. Utrolig er det også en veldig liten fil.

  • Standard trevisningen viser det hierarkiske foreldreforholdet mellom prosesser og skjermer ved hjelp av farger for å enkelt forstå prosesser med et blikk.
  • Svært nøyaktig CPU bruk sporing for prosesser.
  • Kan brukes til å erstatte Oppgavebehandling, som er spesielt nyttig på XP, Vista og Windows 7.
  • Kan legge til flere skuffikoner for å overvåke CPU, Disk, GPU, Nettverk og mer.
  • Finn ut hvilken prosess som har lastet en DLL-fil.
  • Finn ut hvilken prosess som kjører et åpent vindu.
  • Finn ut hvilken prosess som har en fil eller mappe åpen og låst.
  • Se fullstendige data om hvilken som helst prosess, inkludert tråder, minnebruk, håndtak, objekter, og stort sett alt annet som er å vite.
  • Kan drepe et helt prosess-tre, inkludert eventuelle prosesser som startes av den du velger å drepe.
  • Kan suspendere en prosess, fryser alle tråder, slik at de ikke gjør noe.
  • Kan se hvilken tråd i en prosess som faktisk er maxing ut CPU.
  • Den nyeste versjonen (v16) integrerer VirusTotal i grensesnittet slik at du kan sjekke en prosess for virus uten å forlate Process Explorer.

Hver gang du har et problem med et program, eller noe holder fryser på datamaskinen din, eller kanskje du prøver å finne ut hva en bestemt DLL-fil brukes til, er Process Explorer verktøyet for jobben.

Forstå Tree View

Når du først starter Prosess Explorer, presenteres du med en rekke visuelle data med en gang - det er et hierarkisk trevisning av prosessene som kjører på datamaskinen, inkludert CPU og RAM-bruk ved hjelp av numeriske verdier for hver prosess. Det er noen små miniaktivitetsgrafer som kjører øverst i verktøylinjen, og viser deg CPU-bruken, som kan klikkes på for å vises i et eget vindu.

Det skjer definitivt mye, og det vil være lett å bli overveldet av alt på skjermen.

Den første skjermen gir deg et sett med kolonner som inkluderer:

  • Prosess - filnavnet på den kjørbare sammen med ikonet hvis det finnes en.
  • CPU - prosentandelen CPU-tid i det siste sekund (eller hva oppdateringshastigheten er satt til)
  • Private Bytes - mengden minne som er tildelt dette programmet alene.
  • Arbeidssett - hvor mye RAM som er tildelt dette programmet av Windows.
  • PID - prosessidentifikatoren.
  • Beskrivelse - beskrivelsen, hvis søknaden har en.
  • Firmanavn - dette er mer nyttig enn du tror. Hvis noe ikke er helt riktig, start med å lete etter prosesser som ikke er av Microsoft.

Du kan tilpasse disse kolonnene og legge til mange andre alternativer, eller du kan bare klikke på en av kolonnene for å sortere etter det aktuelle feltet. Hvis du noen gang har brukt Oppgavebehandling før, har du sannsynligvis sortert etter Minne eller CPU, og du kan også gjøre det her også.

Hvis du klikker på Prosess, blar du mellom sortering etter prosessnavnet, eller går tilbake til standard trevisning, noe som er veldig nyttig når du blir vant til det.

Visningen oppdateres en gang per sekund, men du kan gå til Vis -> Oppdater hastighet og tilpasse hvor ofte den oppdateres, den laveste er 0, 5 sekunder og toppnivået er 10 sekunder. Hvis du bruker den til feilsøking, er standardverdien sannsynligvis bra, men hvis du vil bruke den som en CPU-skjerm i systemstatusfeltet, kan 5 eller 10 sekunder bruke mindre CPU mens den går i bakgrunnen.

Du kan også sette pause på visningen under samme undermeny, eller ved å trykke bare på mellomromstasten. Dette vil fryse visningen som et øyeblikksbilde i tid, noe som kan være nyttig hvis du prøver å identifisere en prosess som starter og raskt dør, eller hvis du har bestemt deg for å sortere etter CPU-bruk og alle radene fortsetter å hoppe rundt.

I tilfelle av en hurtig avsluttende prosess, vil du imidlertid legge til ekstra kolonner i standardvisningen for alt du kanskje trenger å vite, fordi klikke på en avvist prosess i listen ikke vil vises mye i detaljvisningen hvis prosessen kjører ikke, selv om du stoppet alt.

Forstå alle disse farger

Det er definitivt mange farger i en typisk Prosess Explorer-liste, som kan være litt forvirrende for nybegynneren. Det er veldig viktig å lære hva alle disse fargene betyr, fordi de ikke er der bare for show - de betyr alt noe viktig.

Når du ikke kan huske hva en av fargene betyr, kan du gå til Alternativer -> Konfigurer farger på menyen for å trekke opp fargevalgsdialogen. Dette er i utgangspunktet en rask luringsplate til hva alt betyr. Fortsett å lese, siden vi skal forklare det her også.

Basert på fargene i bildet ovenfor, er her hva hver av de valgte elementene betyr (de andre er ikke veldig viktige).

  • Nye objekter (Bright Green) - Når en ny prosess vises i Process Explorer, begynner den som lysegrønn.
  • Slettede objekter (rødt) - Når en prosess blir drept eller stengt, vil den vanligvis blinke rødt rett før sletting.
  • Ekte prosesser (Light Blueish) - Prosesser som kjører som samme brukerkonto som Process Explorer.
  • Tjenester (lysrosa) - Windows Service prosesser, selv om det er verdt å merke seg at de kan ha barnprosesser som lanseres som en annen bruker, og de kan ha en annen farge.
  • Suspended Processes (Mørkegrå) - Når en prosess er suspendert, kan den ikke gjøre noe. Du kan enkelt bruke Prosess Explorer til å suspendere et program. Noen ganger vil krasjede apper kort vises i grått mens Windows håndterer krasj.
  • Immersive Process (Bright Blue) - Dette er bare en fin måte å si at prosessen er et Windows 8-program ved hjelp av de nye APIene. I skjermbildet tidligere har du kanskje lagt merke til WSHost.exe, som er en "Windows Store Host" -prosess som kjører Metro apps. Av en eller annen grunn vil Explorer.exe og Task Manager også vises som nedsenkende.
  • Pakket bilder (Lilla) - disse prosessene kan inneholde komprimert kode gjemt inne i dem, eller i det minste Process Explorer mener at de gjør det ved å bruke heuristics. Hvis du ser en lilla prosess, må du sørge for å skanne etter skadelig programvare!

Siden det er åpenbart noen overlapping mellom disse forskjellige scenariene, vil fargene bli brukt i en rekkefølge av forrang. Hvis en prosess er en tjeneste og er suspendert, vises den i mørkegrå fordi den fargen er viktigere.

Fra det vi har lært under forskningen, er bestillingen Suspended> Packed> Immersive> Services -> Own Processes.

Verifiserer applikasjonsidentitet

Et veldig nyttig alternativ som vi er overrasket over, er ikke aktivert som standard, finnes i Valg -> Bekreft bilde signaturer.

Dette alternativet kontrollerer den digitale signaturen for hver kjørbar fil i listen, noe som er et uvurderlig feilsøkingsverktøy når du ser på noe mistenkelig program som kjører i listen.

Det store flertallet av anerkjente programmer skal være digitalt signert på dette tidspunktet. Hvis noe ikke er, bør du se veldig nøye på om du skal bruke den.

Å ta tak i en prosess

Du kan raskt gjøre noe på en hvilken som helst prosess ved å høyreklikke på den og velge mellom ett av alternativene, eller ved å bruke hurtigtastene hvis du foretrekker det. Disse alternativene inkluderer:

  • Vindu - har muligheter, inkludert Bring to Front, som kan være nyttig for å hjelpe til med å identifisere vinduet som er knyttet til en prosess. Hvis det ikke er noen vinduer for den prosessen, blir den gråtonet.
  • Sett prioritet - du kan bruke dette til å konfigurere prioriteten til en prosess. Dette er for det meste nyttig for taming en runde prosess som du ikke vil drepe.
  • Drep prosess - akkurat som du kan tenke deg, dette dreper raskt den prosessen.
  • Kill Process Tree - Dette dreper ikke bare elementet i listen, men også barna til den overordnede prosessen.
  • Restart - spektakulært nyttig under testing, dette dreper bare prosessen og starter deretter på nytt. Det er verdt å merke seg at drapsprosesser kan føre til tapte data.
  • Suspend - dette praktiske alternativet er flott for feilsøking når en prosess er ute av kontroll. Du kan rett og slett suspendere prosessen i stedet for å drepe den, og sjekk for å se om noe er ute av strid.
  • Sjekk VirusTotal - dette er et nytt alternativ som vi vil forklare nærmere. Det er ganske praktisk, da det sjekker prosessen for virus.
  • Søk på nettet - dette vil bare søke på nettet for navnet på prosessen.

Og selvfølgelig hvis du åpner opp egenskaper som tar deg til enda mer nyttig informasjon om prosessen, hvor mye vi kommer inn i neste leksjon.

Merk: Vi testet Temp-alternativet, men hadde ingen anelse om hva den gjorde.

Kjører som administrator

Selv om du ikke trenger å kjøre Prosess Explorer som Administrator, vil ikke mange nyttige funksjoner fungere, og du vil ikke kunne se så mye informasjon om hver prosess.

Hvis du kjører på Windows XP eller 2003, må du kjøre som en konto som har full administratorrettigheter til å bruke de fleste funksjonene. Dette er trolig ikke et problem for de fleste, fordi XP likevel ga standardkontoen full privilegier uansett, men hvis du prøver å bruke dette på jobb uten administratortilgang, fungerer det heller ikke bra.

Siden de fleste av våre lesere bruker Windows 7, 8.x eller Vista, vil du sannsynligvis være kjent med å kjøre et program som administrator. Det er veldig enkelt.

bare høyreklikk og velg alternativet fra menyen.

Morsomt faktum: Prosess Explorer bruker faktisk Debug Program-privilegiet, som går langt for å forklare hvorfor det er så kraftig.

Tvinge Prosess Explorer til å alltid åpne som administrator

Hvis du vil sørge for at Process Explorer alltid åpnes som Administrator uten å huske å høyreklikke på den, kan du tvinge det ved å enten lage en spesiell snarvei som krever administratormodus eller ved å åpne egenskapene for procexp.exe, går til Kompatibilitet, og deretter velger du alternativet "Kjør dette programmet som administrator".

Uansett vil det fungere fint, eller du kan også bare deaktivere UAC hvis du foretrekker det, noe som gjør at alt går som administrator hele tiden. Vi anbefaler ikke det, men du kan gjøre det.

Bruk Prosess Explorer til å erstatte oppgavebehandling

Process Explorer har lenge vært brukt som en kraftig erstatning for det tidligere anemiske Task Manager-programmet i alle versjoner av Windows før Windows 8, og hvis du vil ha ekte kraft i hendene, fungerer det veldig bra som en erstatning i den versjonen også.

Merk: Task Manager for Windows 8 forbedres kraftig fra tidligere versjoner. Det er fortsatt ikke så kraftig som Process Explorer, men det er trolig lettere for vanlige folk å bruke. Så ikke endre mors datamaskin til standard til Process Explorer.

For å gjøre Process Explorer erstattet Oppgavebehandling, er alt du trenger å gjøre, å velge Alternativ -> Erstatt oppgavebehandling på menyen. Det er det.

Når du har gjort det, bruker du CTRL + SHIFT + ESC eller høyreklikk på oppgavelinjen, starter både Process Explorer og Oppgavebehandling. Enkelt, ikke sant?

Advarsel : Hvis du erstatter Oppgavebehandling, må du være helt sikker på at du har satt Process Explorer på et sted som du ikke vil flytte eller slette filen ved et uhell. Ellers vil du bli sittende fast med et system som ikke kan starte en oppgavebehandling.

Bruke Process Explorer som en fantastisk skuff Icon Monitor

En av de beste funksjonene i Process Explorer er muligheten til å minimere den i systemstatusfeltet, men i stedet for bare et enkelt ikon kan det minimere til et komplett sett med ikoner som kan overvåke CPU, I / O, Disk, Nettverk, GPU, og RAM, eller en hvilken som helst kombinasjon av dem. Du kan konfigurere dem til å vises separat, eller ikke i det hele tatt, hvis du foretrekker det.

For å konfigurere dette, åpner du Alternativer-menyen, går til skuffikonet, og deretter klikker du for å aktivere hver av ikonene i skuffen du vil se.

Du kan bare kjøre Process Explorer hver gang du begynner å kjøre datamaskinen, og deretter minimere den til systemstatusfeltet slik at det alltid vil være der for deg. Og selvfølgelig, hvis du brukte muligheten til å erstatte Oppgavebehandling, kan du raskt få tilgang til den med en snarveisnøkkel - selv om du kanskje vil bruke alternativet Tillat bare en instans for å forsikre deg om at du ikke åpner en haug med separate vinduer.

Bruk Prosess Explorer til å raskt søke etter VirusTotal

Hvis du jobber på et problem-PC og vil finne ut om en prosess er et virus, kan du spare deg litt tid ved å bruke Process Explorer versjon 16 eller høyere, fordi de har lagt til VirusTotal-integrering direkte inn i applikasjonen. Bare høyreklikk på noe i listen for å se alternativet.

Første gang du kjører det, blir du bedt om å godta VirusTotal bruksvilkår, men etter at du har gjort det, vil du se at VirusTotal-resultatene vises der oppe i listen.

Du kan klikke på resultatet for å gå til VirusTotal og se detaljene. Det er et flott nytt tillegg til en av de beste verktøyene noensinne.

Neste leksjon: Bruk Prosess Explorer til Feilsøking og diagnostisering

I den neste leksjonen i serien vår skal vi gå inn i mye mer dybde om hvordan du bruker Process Explorer i noen virkelige scenarier for å feilsøke vanlige problemer som skadelig programvare og crapware. Pass på at du holder deg innstilt for resten av serien.

Redaksjonens