Домашня » школа » Розуміння процесу Explorer

    Розуміння процесу Explorer

    Цей урок у нашій серії Geek School охоплює Process Explorer, можливо, найбільш поширене та корисне додаток у наборі інструментів SysInternals. Але наскільки добре ви дійсно знаєте цю утиліту?

    ШКОЛА НАВІГАЦІЇ
    1. Які інструменти SysInternals і як ви їх використовуєте?
    2. Розуміння процесу Explorer
    3. Використання Process Explorer для усунення неполадок та діагностики
    4. Розуміння процесу моніторингу
    5. Використання процесу моніторингу для усунення неполадок і знайти реєстр хакі
    6. Використання Autoruns для роботи з запуску процесів і шкідливих програм
    7. Використання BgInfo для відображення системної інформації на робочому столі
    8. Використання PsTools для управління іншими комп'ютерами з командного рядка
    9. Аналіз і керування файлами, папками та дисками
    10. Загортання та використання інструментів разом

    Process Explorer, диспетчер завдань і додаток для системного монітора, існує з 2001 року, і хоча він використовувався для роботи з Windows 9x, сучасні версії підтримують лише XP і вище, і вони постійно оновлюються функціями для сучасних версій. Windows. Це стандартний дефект для роботи з процесами усунення несправностей.

    Так що може обробляти Explorer?

    Деякі кращі характеристики включають наступне, хоча це далеко не вичерпний список. Ця програма має багато функцій, і багато з них поховані глибоко в межах інтерфейсу. Дивно, що це також дуже маленький файл.

    • На панелі за замовчуванням на дереві показано ієрархічне співвідношення батьків між процесами, а відображення з використанням кольорів для легкого розуміння процесів з першого погляду.
    • Дуже точне відстеження використання процесора для процесів.
    • Може використовуватися для заміни диспетчера завдань, що особливо корисно на XP, Vista і Windows 7.
    • Можна додати кілька значків лотка для моніторингу процесора, диска, графічного процесора, мережі та багато іншого.
    • Визначте, який процес завантажив файл DLL.
    • Визначте, який процес запущено у відкритому вікні.
    • Визначте, який процес має відкритий і заблокований файл або папку.
    • Переглянути повну інформацію про будь-який процес, включаючи потоки, використання пам'яті, ручки, об'єкти та багато чого іншого, що потрібно знати.
    • Можна вбити ціле дерево процесів, включаючи будь-які процеси, запущені тими, які ви хочете вбити.
    • Можна призупинити процес, заморожуючи всі його нитки, щоб вони нічого не робили.
    • Може бачити, який потік в процесі насправді максимізує процесор.
    • Остання версія (v16) інтегрує VirusTotal у інтерфейс, так що ви можете перевірити процес на віруси, не виходячи з Process Explorer.

    Кожен раз, коли у вас виникли проблеми з програмою або щось заморожується на комп'ютері, або ви намагаєтеся з'ясувати, для чого використовується конкретний файл DLL, Process Explorer є інструментом для роботи.

    Розуміння перегляду дерев

    Під час першого запуску Process Explorer відразу з'являється безліч візуальних даних - існує ієрархічний перегляд дерев процесів, запущених на вашому комп'ютері, включаючи використання процесора і оперативної пам'яті з використанням числових значень для кожного процесу. У верхній частині панелі інструментів виконуються невеликі міні-графіки активності, які показують використання процесора, який можна натиснути, щоб відобразити його в окремому вікні.

    Там, безумовно, багато чого відбувається, і було б легко бути перевантажені всім на екрані.

    На початковому екрані відображається набір стовпців, які включають:

    • Процес - ім'я файлу виконуваного файлу разом із піктограмою, якщо вона існує.
    • ЦП - відсоток часу процесора в останню секунду (або будь-яку іншу швидкість оновлення)
    • Приватні байти - кількість пам'яті, виділеної для цієї програми окремо.
    • Робочий набір - обсяг оперативної пам'яті, виділеної цій програмі Windows.
    • PID  - ідентифікатор процесу.
    • Опис - в описі, якщо програма має її.
    • Назва компанії - це більш корисно, ніж ви думаєте. Якщо щось не зовсім правильно, почніть з пошуку процесів, які не є Microsoft.

    Ви можете налаштувати ці стовпці та додати багато інших параметрів, або просто клацніть на будь-якому з стовпців, щоб відсортувати за цим полем. Якщо ви коли-небудь використовували диспетчер завдань, ви, ймовірно, відсортували за пам'яттю або процесором, і ви також можете зробити це тут.

    Натискання кнопки Process обернеться між сортуванням за назвою процесу або повернеться до перегляду дерева за умовчанням, що дуже корисно, коли ви звикнете до нього.

    Перегляд оновлюється один раз в секунду, але ви можете перейти до меню Перегляд -> Швидкість оновлення та налаштувати частоту оновлення, найменшу - 0,5 секунди, а верхній - 10 секунд. Якщо ви використовуєте його для усунення несправностей, значення за промовчанням, ймовірно, добре, але якщо ви хочете використовувати його як монітор процесора, що сидить у системному лотку, 5 або 10 секунд може використовувати менше процесора, коли він працює у фоновому режимі.

    Ви також можете призупинити перегляд у тому ж підменю або просто натиснути клавішу пробілу. Це дозволить заморозити перегляд як знімок у часі, що може бути корисним, якщо ви намагаєтеся визначити процес, який починається і швидко гине, або якщо ви вирішили відсортувати використання процесора, і всі рядки будуть стрибати.

    Проте, у разі швидкого закриття, ви хочете додати додаткові стовпці до перегляду за умовчанням для всього, що вам потрібно знати, оскільки натискання неіснуючого процесу у списку не відображатиме детально, якщо процес не запущений, навіть якщо ви призупинили все.

    Розуміння всіх цих кольорів

    Є звичайно багато кольорів у типовому списку Process Explorer, який може бути трохи заплутаним для початківців. Це дійсно важливо, щоб дізнатися, що всі ці кольори означають, тому що вони там не тільки для шоу - кожен з них означає щось важливе.

    Якщо ви не пам'ятаєте, що означає один із кольорів, ви можете перейти до меню Параметри -> Налаштувати кольори, щоб відкрити діалогове вікно вибору кольору. Це в основному швидкий шпаргалка, що все означає. Продовжуйте читати, оскільки ми також будемо пояснювати це тут.

    Виходячи з кольорів на зображенні вище, ось що означає кожен із вибраних елементів (інші не дуже важливі).

    • Нові об'єкти (яскраво-зелений) - Коли в Process Explorer з'являється новий процес, він починається з яскраво-зеленого кольору.
    • Видалені об'єкти (червоний) - Коли процес забивається або закривається, він, як правило, блимає червоним перед видаленням.
    • Власні процеси (світло-блакитні) - Процеси виконуються як той самий обліковий запис користувача, що і Process Explorer.
    • Послуги (світло-рожеві) - Процеси служби Windows, хоча варто відзначити, що вони можуть мати дочірні процеси, які запускаються як інший користувач, і ці кольори можуть бути різних кольорів.
    • Призупинені процеси (темно-сірий) - Коли процес призупинено, він нічого не може зробити. Ви можете легко використовувати Process Explorer для призупинення програми. Іноді розбиті програми швидко з'являться сірим кольором, коли Windows обробляє аварію.
    • Процес занурення (яскраво-синій) - Це просто фантастичний спосіб сказати, що цей процес є додатком Windows 8, який використовує нові API. На скріншоті раніше ви могли помітити WSHost.exe, який є процесом "Магазин Windows", який запускає програми Metro. З деяких причин Explorer.exe і диспетчер завдань також з'являться як захоплюючі.
    • Упаковані зображення (фіолетовий) - ці процеси можуть містити стислі коди, приховані всередині них, або, принаймні, Process Explorer вважає, що вони використовують евристику. Якщо ви бачите фіолетовий процес, переконайтеся, що ви шукали шкідливе програмне забезпечення!

    Оскільки, очевидно, існує певне збіг між цими різними сценаріями, кольори будуть застосовуватися в порядку пріоритету. Якщо процес є службою і призупинено, він відображатиметься в темно-сірому кольорі, оскільки цей колір є більш важливим.

    З того, що ми дізналися під час дослідження, замовлення призупинено> Packed> Immersive> Services -> Own Processes.

    Перевірка ідентичності програми

    Один дійсно корисний варіант, який ми здивовані, не ввімкнено за умовчанням, можна знайти у розділі Параметри -> Підтвердити зображення підписів.

    Ця опція перевірятиме цифровий підпис для кожного виконуваного файлу у списку, що є безцінним інструментом усунення несправностей, коли ви дивитеся на певні підозрілі програми, які виконуються у списку.

    Переважна більшість авторитетного програмного забезпечення має бути цифровим підписом у цій точці. Якщо щось немає, слід уважно поглянути на те, чи слід використовувати його.

    Вжиття заходів щодо процесу

    Ви можете швидко вжити будь-яких дій, клацнувши правою кнопкою миші та вибравши один з варіантів, або скориставшись клавішами швидкого доступу, якщо бажаєте. Ці варіанти включають:

    • Вікно - має опції, які включають функцію Bring to Front, що може бути корисним для ідентифікації вікна, пов'язаного з процесом. Якщо для цього процесу немає вікон, воно буде сірим кольором.
    • Встановити пріоритет - це можна використовувати для налаштування пріоритету процесу. Це в основному корисно для приборкання процесу, який не потрібно вбивати.
    • Процес вбивства - так само, як ви могли собі уявити, це швидко вбиває цей процес.
    • Вбити дерево процесів - Це вбиває не тільки елемент у списку, але і дітей цього батьківського процесу.
    • Перезапустити - надзвичайно корисний під час тестування, це просто вбиває процес, а потім перезапускає його. Варто зазначити, що процеси вбивства можуть призвести до втрати даних.
    • Призупинити - цей зручний варіант ідеально підходить для усунення несправностей, коли процес виходить з-під контролю. Ви можете просто призупинити процес, а не вбити його, і перевірте, чи нічого не вийшло з ладу.
    • Перевірте VirusTotal - це новий варіант, який ми далі пояснюватимемо. Це дуже зручно, оскільки перевіряє процес на наявність вірусів.
    • Пошук в Інтернеті - це просто пошук в Інтернеті для назви процесу.

    І, очевидно, якщо ви відкриєте Властивості, які приведуть вас до ще більш корисної інформації про цей процес, більша частина якої ми потрапимо в наступний урок.

    Примітка: ми перевірили опцію Temp, але не мали жодної ідеї, що вона робить.

    Запуск від імені адміністратора

    Незважаючи на те, що ви не зобов'язані запускати Process Explorer як адміністратор, не виконуючи багато корисних функцій, ви не зможете побачити стільки інформації про кожний процес.

    Якщо ви працюєте в Windows XP або 2003, вам потрібно буде працювати як обліковий запис, який має повноваження адміністратора для використання більшості функцій. Це, мабуть, не є проблемою для більшості людей, тому що XP все ж таки надав повноваження за замовчуванням на повний рахунок, але якщо ви намагаєтеся використовувати це на роботі без доступу адміністратора, він не буде працювати так само добре..

    Оскільки більшість наших читачів використовують Windows 7, 8.x або навіть Vista, ви, мабуть, знайомі з запуском програми як адміністратора. Це дійсно просто… просто клацніть правою кнопкою миші та виберіть опцію з меню.

    Смішний факт: Process Explorer фактично використовує привілеї Debug Programs, що дає довгий шлях, щоб пояснити, чому він настільки потужний.

    Примусовий процес Explorer завжди відкривається як адміністратор

    Якщо ви хочете переконатися, що Process Explorer завжди відкривається як адміністратор без необхідності натискати на нього правою кнопкою миші, ви можете примусити його або створити спеціальний ярлик, який вимагає режиму адміністратора, або відкривши вікно властивостей procexp.exe, перейти до сумісності, а потім вибрати варіант "Запустити цю програму як адміністратора".

    У будь-якому випадку буде працювати нормально, або ви можете просто відключити UAC, якщо ви віддаєте перевагу, що робить все працювати як адміністратор весь час. Ми не рекомендуємо це робити, але ви можете це зробити.

    Використання Process Explorer для заміни диспетчера завдань

    Process Explorer вже давно використовується як потужна заміна раніше анемічної програми диспетчера завдань в кожній версії Windows до Windows 8, і припускаючи, що ви хочете отримати реальну владу у ваших руках, вона працює дуже добре, як заміна в цій версії теж..

    Примітка: Диспетчер завдань Windows 8 значно покращено в порівнянні з попередніми версіями. Він як і раніше не такий потужний, як Process Explorer, але, ймовірно, простіше користуватися звичайними людьми. Так що не змінюйте комп'ютер з мамою за промовчанням Process Explorer.

    Щоб зробити Process Explorer заміною диспетчера завдань, все, що вам потрібно зробити, це вибрати опцію Options -> Replace Task Manager з меню. Це воно.

    Після цього, за допомогою комбінацій клавіш CTRL + SHIFT + ESC або клацання правою кнопкою миші на панелі завдань буде запущено Провідник процесів, а не Диспетчер завдань. Легко, правильно?

    Увага: якщо ви замінюєте диспетчер завдань, переконайтеся, що ви розмістили Process Explorer у місці, де ви не будете випадково переміщувати або видаляти файл. В іншому випадку ви застрягли в системі, яка не може запустити будь-який диспетчер завдань.

    Використання Process Explorer в якості чудового монітора значка лотка

    Однією з найкращих можливостей Process Explorer є можливість мінімізувати його в системному треї, але замість однієї іконки вона може звести до мінімуму повний набір іконок, які можуть контролювати процесор, I / O, диск, мережу, GPU і оперативної пам'яті або будь-якої їх комбінації. Ви можете налаштувати їх для відображення окремо або взагалі, якщо бажаєте.

    Щоб налаштувати це, відкрийте меню "Параметри", перейдіть до розділу "Значки", а потім клацніть, щоб увімкнути кожну з піктограм лотків, які ви хотіли б бачити.

    Ви можете просто запустити Process Explorer кожен раз при запуску комп'ютера, а потім згорнути його до системного лотка, щоб він завжди був для вас. І, звичайно, якщо ви використовували опцію для заміни диспетчера завдань, ви можете швидко отримати доступ до неї в будь-який час за допомогою клавіші швидкого доступу - хоча ви можете скористатися параметром "Дозволити лише один примірник", щоб переконатися, що ви не відкриєте окремі вікна.

    Використання Process Explorer для швидкого пошуку VirusTotal

    Якщо ви працюєте над проблемним комп'ютером і хочете з'ясувати, чи є процес вірусом, ви можете заощадити час, використовуючи Process Explorer версії 16 або вище, тому що вони додавали інтеграцію VirusTotal безпосередньо до програми. Просто клацніть правою кнопкою миші на що-небудь у списку, щоб побачити опцію.

    Під час першого запуску програми вам буде запропоновано прийняти умови використання VirusTotal, але після цього ви побачите, що у вікні відображаються результати VirusTotal..

    Ви можете натиснути на результат, щоб перейти до VirusTotal і переглянути деталі. Це чудове нове доповнення до однієї з кращих утиліт будь-коли.

    Наступний урок: Використання Провідника процесу для усунення неполадок та діагностики

    У наступному уроці нашої серії ми підемо на більш глибоке вивчення того, як використовувати Process Explorer в деяких реальних сценаріях для усунення загальних проблем, таких як шкідливі програми та програмне забезпечення. Переконайтеся в тому, щоб залишатися настроєним для решти серії.

    Розуміння псевдоелемента до і після
    Розуміння маршрутизаторів, комутаторів та мережевого обладнання
    Розуміння швидкості передачі даних мережі LAN
    Наступна стаття
    Розуміння процесу моніторингу
    Попередня стаття
    Розуміння мікрозв'язків у проекті мобільних додатків