Разбиране на Process Explorer



Този урок от нашата серия Geek School обхваща Process Explorer, може би най-използваното и полезно приложение в инструментариума SysInternals. Но колко добре наистина познавате тази програма?

УЧИЛИЩНА НАВИГАЦИЯ
  1. Какви са инструментите на SysInternals и как ги използвате?
  2. Разбиране на Process Explorer
  3. Използване на Process Explorer за отстраняване на неизправности и диагностика
  4. Разбиране на Process Monitor
  5. Използване на Process Monitor за отстраняване на неизправности и намиране на хакове в системния регистър
  6. Използване на автоматично стартиране за справяне със стартиращи процеси и злонамерен софтуер
  7. Използване на BgInfo за показване на системна информация на работния плот
  8. Използване на PsTools за управление на други компютри от командния ред
  9. Анализиране и управление на вашите файлове, папки и дискове
  10. Завършване и използване на инструментите заедно

Process Explorer, диспечер на задачи и приложение за системен монитор, съществува от 2001 г. и макар да работи дори на Windows 9x, съвременните версии поддържат само XP и по-нови и непрекъснато се актуализират с функции за съвременните версии на Windows. Това е дефакто стандартът за справяне с процесите за отстраняване на неизправности.





И така, какво може да направи Process Explorer?

Някои от по-добрите функции включват следното, въпреки че това в никакъв случай не е изчерпателен списък. Това приложение има много функции и много от тях са заровени дълбоко в интерфейса. Удивително, това също е много малък файл.

  • Дървовидният изглед по подразбиране показва йерархичната родителска връзка между процесите и показва с помощта на цветове за лесно разбиране на процесите с един поглед.
  • Много точно проследяване на използването на процесора за процеси.
  • Може да се използва за замяна на диспечера на задачите, което е особено полезно за XP, Vista и Windows 7.
  • Може да добавя множество икони в тава за наблюдение на процесора, диска, графичния процесор, мрежата и други.
  • Разберете кой процес е заредил DLL файл.
  • Разберете кой процес изпълнява отворен прозорец.
  • Разберете кой процес има отворен и заключен файл или папка.
  • Преглеждайте пълни данни за всеки процес, включително нишки, използване на паметта, манипулатори, обекти и почти всичко друго, което трябва да знаете.
  • Може да убие цяло дърво на процеси, включително всички процеси, стартирани от този, който решите да убиете.
  • Може да преустанови процес, като замрази всичките му нишки, така че да не правят нищо.
  • Може да се види коя нишка в даден процес всъщност максимизира процесора.
  • Най-новата версия (v16) интегрира VirusTotal в интерфейса, така че можете да проверявате даден процес за вируси, без да напускате Process Explorer.

Всеки път, когато имате проблем с приложение, или нещо продължава да замръзва на вашия компютър, или може би се опитвате да разберете за какво се използва конкретен DLL файл, Process Explorer е инструментът за работа.



Разбиране на изгледа на дървото

Когато стартирате за първи път Process Explorer, веднага ви се представят много визуални данни – има йерархичен изглед на дървото на процесите, изпълнявани на вашия компютър, включително използване на процесора и RAM с помощта на числови стойности за всеки процес. В горната част на лентата с инструменти има някои малки мини графики на активността, които ви показват използването на процесора, върху който можете да щракнете, за да се покаже в отделен прозорец.

Реклама

Определено се случва много и би било лесно да бъдете затрупани от всичко на екрана.



Първоначалният дисплей ви дава набор от колони, които включват:

  • процес – името на файла на изпълнимия файл заедно с иконата, ако има такава.
  • процесор – процентното време на процесора в последната секунда (или каквато и да е зададена скорост на актуализиране)
  • Частни байтове – количеството памет, разпределена само за тази програма.
  • Работен комплект – количеството действителна RAM, разпределена на тази програма от Windows.
  • PID – идентификатор на процеса.
  • Описание – описанието, ако приложението има такова.
  • Име на фирмата – този е по-полезен, отколкото си мислите. Ако нещо не е наред, започнете с търсене на процеси, които не са от Microsoft.

Можете да персонализирате тези колони и да добавите много други опции или можете просто да щракнете върху някоя от колоните, за да сортирате по това поле. Ако някога сте използвали диспечера на задачите преди, вероятно сте сортирали по памет или процесор и можете да направите това и тук.

Щракването върху Процес ще превключва между сортиране по името на процеса или връщане към дървовидния изглед по подразбиране, което е много полезно, след като свикнете с него.

Изгледът се актуализира веднъж в секунда, но можете да отидете на Изглед -> Скорост на актуализиране и да персонализирате колко често се актуализира, като най-ниското е 0,5 секунди, а най-високото ниво е 10 секунди. Ако го използвате за отстраняване на неизправности, стойността по подразбиране вероятно е добре, но ако искате да го използвате като монитор на процесора, стоящ в системната област, 5 или 10 секунди може да използва по-малко процесор, докато работи във фонов режим.

Можете също да поставите на пауза изгледа в същото подменю или като просто натиснете интервала. Това ще замрази изгледа като моментна снимка във времето, което може да бъде полезно, ако се опитвате да идентифицирате процес, който започва и бързо умира, или ако сте решили да сортирате по използване на процесора и всички редове продължават да скачат наоколо.

Реклама

В случай на бързо затварящ се процес обаче, бихте искали да добавите допълнителни колони към изгледа по подразбиране за всичко, което може да се наложи да знаете, тъй като щракването върху несъществуващ процес в списъка няма да се покаже много в изгледа с подробности, ако процесът не се изпълнява, дори ако сте поставили на пауза всичко.

Разбиране на всички тези цветове

Определено има много цветове в типичния списък на Process Explorer, което може да бъде малко объркващо за начинаещия маниак. Наистина е важно да научите какво означават всички тези цветове, защото те не са там само за шоу - всеки от тях означава нещо важно.

Всеки път, когато не можете да си спомните какво означава един от цветовете, можете да отидете на Опции -> Конфигуриране на цветове в менюто, за да извадите диалоговия прозорец за избор на цвят. Това е основно една бърза измама за това какво означава всичко. Продължете да четете, тъй като ще го обясним и тук.

Въз основа на цветовете на снимката по-горе, ето какво означава всеки от избраните елементи (другите не са много важни).

  • Нови обекти (ярко зелено) – Когато нов процес се покаже в Process Explorer, той започва като яркозелен.
  • Изтрити обекти (червено) – Когато процесът бъде убит или затворен, той обикновено мига в червено точно преди изтриването.
  • Собствени процеси (светлосинкави) – Процеси, работещи като същия потребителски акаунт като Process Explorer.
  • Услуги (Светло розово) – Процеси на Windows Service, въпреки че си струва да се отбележи, че те може да имат дъщерни процеси, които се стартират като различен потребител и те може да са с различен цвят.
  • Суспендирани процеси (тъмно сиво) – Когато процесът е спрян, той не може да направи нищо. Можете лесно да използвате Process Explorer, за да спрете приложение. Понякога сриваните приложения ще се покажат за кратко в сиво, докато Windows се справя със срива.
  • Потапящ процес (ярко синьо) – Това е просто фантастичен начин да се каже, че процесът е приложение за Windows 8, използващо новите API. На екранната снимка по-рано може да сте забелязали WSHost.exe, който е процес на хост на Windows Store, който изпълнява приложения на Metro. По някаква причина Explorer.exe и диспечера на задачите също ще се покажат като потапящи.
  • Опаковани изображения (лилаво) – тези процеси може да съдържат компресиран код, скрит вътре в тях, или поне Process Explorer смята, че го правят чрез използване на евристики. Ако видите лилав процес, не забравяйте да сканирате за злонамерен софтуер!

Тъй като очевидно има известно припокриване между тези различни сценарии, цветовете ще бъдат приложени в ред на предимство. Ако процесът е услуга и е спрян, той ще се покаже в тъмно сиво, защото този цвят е по-важен.

От това, което научихме по време на проучването, поръчката е Спряна > Опакована > Потапяща > Услуги -> Собствени процеси.

Проверка на самоличността на приложението

Една наистина полезна опция, за която сме изненадани, че не е активирана по подразбиране, се намира в Опции -> Проверка на подписите на изображения.

Реклама

Тази опция ще проверява цифровия подпис за всеки изпълним файл в списъка, което е безценен инструмент за отстраняване на неизправности, когато гледате някакво подозрително приложение, което работи в списъка.

По-голямата част от реномирания софтуер трябва да бъде цифрово подписан в този момент. Ако нещо не е, трябва да погледнете много внимателно дали трябва да го използвате.

Предприемане на действия по процес

Можете бързо да предприемете действия за всеки процес, като щракнете с десния бутон върху него и изберете една от опциите или като използвате клавишите за бърз достъп, ако предпочитате. Тези опции включват:

  • Прозорец – има опции, включително Извеждане отпред, което може да бъде полезно за идентифициране на прозореца, свързан с даден процес. Ако няма прозорци за този процес, той ще бъде в сиво.
  • Задайте приоритет – можете да използвате това, за да конфигурирате приоритета на даден процес. Това е най-вече полезно за опитомяване на бягащ процес, който не искате да убивате.
  • Процес на убийство – точно както бихте си представили, това бързо убива този процес.
  • Убийте дървото на процесите – Това убива не само елемента в списъка, но и децата на този родителски процес.
  • Рестартирам – невероятно полезен при тестване, това просто убива процеса и след това го рестартира. Струва си да се отбележи, че процесите на убиване могат да доведат до загубени данни.
  • Спиране – тази удобна опция е чудесна за отстраняване на неизправности, когато даден процес е извън контрол. Можете просто да спрете процеса, вместо да го убиете, и да проверите дали нещо не е наред.
  • Проверете VirusTotal – това е нова опция, която ще обясним по-нататък. Наистина е доста удобно, тъй като проверява процеса за вируси.
  • Търсене онлайн – това просто ще търси в мрежата името на процеса.

И очевидно, ако отворите Properties, което ще ви отведе до още по-полезна информация за процеса, голяма част от която ще разгледаме в следващия урок.

Забележка: тествахме опцията Temp, но нямахме представа какво прави.

Работи като администратор

Въпреки че не е задължително да стартирате Process Explorer като администратор, без да правите толкова много полезни функции няма да работят и няма да можете да видите толкова много информация за всеки процес.

Реклама

Ако работите под Windows XP или 2003, ще трябва да работите като акаунт, който има пълни администраторски права, за да използвате повечето от функциите. Това вероятно не е проблем за повечето хора, защото XP така или иначе даде на акаунта по подразбиране пълни привилегии, но ако се опитвате да използвате това на работа без администраторски достъп, няма да работи толкова добре.

Тъй като повечето от нашите читатели използват Windows 7, 8.x или дори Vista, вероятно ще сте запознати с стартирането на приложение като администратор. Наистина е лесно... просто щракнете с десния бутон и изберете опцията от менюто.

Забавен факт: Process Explorer всъщност използва привилегията Debug Programs, което обяснява дълъг път защо е толкова мощен.

Принуждаване на Process Explorer да се отваря винаги като администратор

Ако искате да сте сигурни, че Process Explorer винаги се отваря като администратор, без да се налага да помните да щракнете с десния бутон върху него, можете да го принудите, като направите специален пряк път, който изисква режим на администратор, или като отворите Properties за procexp.exe, отидете на Съвместимост и след това изберете опцията за Стартиране на тази програма като администратор.

И двата начина ще работят добре или можете също да деактивирате UAC, ако предпочитате, което кара всичко да работи като администратор през цялото време. Не препоръчваме това, но можете да го направите.

Използване на Process Explorer за замяна на диспечера на задачите

Process Explorer отдавна се използва като мощен заместител на анемичното преди това приложение Task Manager във всяка версия на Windows преди Windows 8 и ако приемем, че искате малко реална мощност в ръцете си, той работи наистина добре като заместител и в тази версия.

Реклама

Забележка: Диспечерът на задачите на Windows 8 е значително подобрен от предишните версии. Все още не е толкова мощен като Process Explorer, но вероятно е по-лесен за използване от обикновените хора. Така че не променяйте компютъра на мама по подразбиране на Process Explorer.

За да накарате Process Explorer да замени Task Manager, всичко, което трябва да направите, е да изберете опцията Options -> Replace Task Manager от менюто. Това е.

След като направите това, като използвате CTRL + SHIFT + ESC или щракнете с десния бутон върху лентата на задачите, ще стартирате Process Explorer, а не Task Manager. Лесно, нали?

Внимание : ако замените диспечера на задачите, уверете се, че сте поставили Process Explorer на място, където случайно няма да преместите или изтриете файла. В противен случай ще останете със система, която не може да стартира диспечера на задачите.

Използване на Process Explorer като страхотен монитор на икони в тава

Една от най-добрите характеристики на Process Explorer е възможността да се минимизира в системната област, но вместо само една икона, тя може да минимизира в пълен набор от икони, които могат да наблюдават CPU, I/O, Disk, Network, GPU и RAM или всяка комбинация от тях. Можете да ги конфигурирате да се показват поотделно или изобщо да не се показват, ако предпочитате.

Реклама

За да настроите това, отворете менюто Опции, отидете в раздела Икони в тавата и след това щракнете, за да активирате всяка от иконите в тавата, които искате да видите.

Можете просто да стартирате Process Explorer всеки път, когато стартирате компютъра си, и след това да го минимизирате в системната област, така че винаги да е там за вас. И, разбира се, ако сте използвали опцията за замяна на диспечера на задачите, можете бързо да получите достъп до него по всяко време с клавиш за бърз достъп – въпреки че може да искате да използвате опцията Разрешаване само на един екземпляр, за да сте сигурни, че няма да отваряте куп отделни прозорци.

Използване на Process Explorer за бързо търсене на VirusTotal

Ако работите на проблемен компютър и искате да разберете дали даден процес е вирус, можете да си спестите известно време, като използвате Process Explorer версия 16 или по-нова, тъй като те са добавили интеграция на VirusTotal директно в приложението. Просто щракнете с десния бутон върху нещо в списъка, за да видите опцията.

Първият път, когато го стартирате, ще бъдете помолени да приемете условията за използване на VirusTotal, но след като го направите, ще видите резултатите от VirusTotal да се показват точно там в списъка.

Можете да кликнете върху резултата, за да отидете на VirusTotal и да видите подробностите. Това е страхотно ново допълнение към една от най-добрите помощни програми някога.

Следващ урок: Използване на Process Explorer за отстраняване на неизправности и диагностика

В следващия урок от нашата серия ще навлезем много по-задълбочено как да използваме Process Explorer в някои реални сценарии за отстраняване на често срещани проблеми като злонамерен софтуер и крапуер. Не забравяйте да останете на линия за останалата част от поредицата.

ПРОЧЕТЕТЕ СЛЕДВАЩО Снимка на профила за Lowell Heddings Лоуел Хедингс
Лоуел е основател и главен изпълнителен директор на How-To Geek. Той ръководи шоуто от създаването на сайта през 2006 г. През последното десетилетие Лоуъл лично е написал повече от 1000 статии, които са били разгледани от над 250 милиона души. Преди да започне How-To Geek, Лоуел прекара 15 години в ИТ, като се занимава с консултации, киберсигурност, управление на бази данни и програмиране.
Прочетете пълната биография

Интересни Статии