Начална » училище » Запознаване с Process Explorer

    Запознаване с Process Explorer

    Този урок в нашата серия Geek School обхваща Process Explorer, може би най-използваното и полезно приложение в инструментариума на SysInternals. Но колко добре познавате тази програма?

    НАВИГАЦИЯ НА УЧИЛИЩАТА
    1. Какви са инструментите на SysInternals и как ги използвате?
    2. Запознаване с Process Explorer
    3. Използване на Process Explorer за отстраняване на неизправности и диагностика
    4. Разбиране на процесния монитор
    5. Използване на процесния монитор за отстраняване на неизправности и търсене на регистър Hacks
    6. Използване на Autoruns да се справят с процеси на стартиране и Malware
    7. Използване на BgInfo за показване на системна информация на работния плот
    8. Използване на PsTools за контрол на други компютри от командния ред
    9. Анализ и управление на вашите файлове, папки и устройства
    10. Опаковане и използване на инструментите заедно

    Process Explorer, мениджър на задачи и приложение за системни монитори, съществува от 2001 г. насам, и въпреки че се използва за работа с Windows 9x, съвременните версии поддържат само XP и по-нови версии и непрекъснато се обновяват с функции за модерни версии на Windows. Това е дефакто стандартът за справяне с процесите за отстраняване на неизправности.

    И така, какво може да направи Explorer Explorer?

    Някои от най-добрите характеристики включват следното, въпреки че това по никакъв начин не е изчерпателен списък. Това приложение има много функции и много от тях са заровени дълбоко в интерфейса. Удивително е и много малък файл.

    • Изгледът на дървото по подразбиране показва йерархичната връзка между родителите между процесите и показва, използвайки цветове, за да разбират лесно процесите.
    • Много точно проследяване на използването на процесора за процеси.
    • Може да се използва за заместване на диспечера на задачите, което е особено полезно за XP, Vista и Windows 7.
    • Може да добавя множество икони за монитор, за да контролира CPU, Disk, GPU, Network и др.
    • Разберете кой процес е заредил DLL файл.
    • Разберете кой процес работи с отворен прозорец.
    • Разберете кой процес има файл или папка отворени и заключени.
    • Вижте пълни данни за всеки процес, включително нишки, използване на паметта, дръжки, обекти и почти всичко, което трябва да знаете.
    • Може да убие цялото дърво на процеса, включително всички процеси, започнати от това, което сте избрали да убиете.
    • Може да спре процеса, замразяване на всичките му нишки, така че те не правят нищо.
    • Може да види коя нишка в процеса е всъщност максимизиране на процесора.
    • Най-новата версия (v16) интегрира VirusTotal в интерфейса, така че можете да проверите процеса за вируси, без да напускате Process Explorer.

    Всеки път, когато имате проблем с приложение или нещо, което замръзва на компютъра ви, или може би се опитвате да разберете за какво се използва конкретен DLL файл, Process Explorer е инструментът за работа.

    Разбиране на дървовидния изглед

    Когато за първи път стартирате Process Explorer, веднага ви се показват много визуални данни - има йерархично дървовиден изглед на процесите, изпълнявани на компютъра ви, включително използването на CPU и RAM, използвайки числени стойности за всеки процес. В горната част на лентата с инструменти се показват някои малки графики на активността, които показват натоварването на процесора, което може да се кликне, за да се покаже в отделен прозорец..

    Определено се случва много и ще бъде лесно да бъдеш претоварен с всичко на екрана.

    Първоначалният дисплей ви дава набор от колони, които включват:

    • процес - името на файла на изпълнимия файл заедно с иконата, ако съществува.
    • процесор - процентът на CPU времето в последната секунда (или каквото и да е скоростта на актуализация)
    • Частни байтове - размера на паметта, отделена за тази програма.
    • Работен комплект - количеството на действителната RAM, предоставена на тази програма от Windows.
    • PID  - идентификатор на процеса.
    • описание - описанието, ако приложението има такова.
    • Име на фирмата - този е по-полезен, отколкото си мислите. Ако нещо не е съвсем правилно, започнете с търсене на процеси, които не са от Microsoft.

    Можете да персонализирате тези колони и да добавите много други опции, или просто да кликнете върху някоя от колоните, за да подредите по това поле. Ако някога сте използвали Task Manager, вероятно сте сортирали по Memory или CPU и можете да го направите и тук.

    Кликването върху Процес ще се прелиства между сортиране по име на процеса или връщане към дървовидния изглед по подразбиране, който е много полезен, след като се свикне с него.

    Изгледът се актуализира веднъж в секунда, но можете да отидете в View -> Update Speed ​​и да настроите колко често се актуализира, като най-ниската е 0,5 секунди, а най-високото ниво е 10 секунди. Ако го използвате за отстраняване на неизправности, вероятно стойността по подразбиране е добра, но ако искате да я използвате като монитор за CPU, който седи в системната лента, 5 или 10 секунди може да използва по-малко CPU, докато работи във фонов режим.

    Можете също да спрете изгледа в същия подменю, или просто да натиснете бутона Интервал. Това ще замрази изгледа като моментна снимка, което може да бъде полезно, ако се опитвате да идентифицирате процес, който се стартира и бързо умира, или ако сте решили да сортирате по използване на процесора и всички редове продължават да скачат.

    В случай на процес на бързо затваряне обаче, бихте искали да добавите допълнителни колони към изгледа по подразбиране за всичко, което може да се наложи да знаете, защото кликването върху несъществуващ процес в списъка няма да покаже много в изгледа с подробности, ако процесът не се изпълнява, дори ако сте поставили на пауза всичко.

    Разбиране на всички тези цветове

    Определено има много цветове в типичния списък Process Explorer, който може да бъде малко объркващ за начинаещия компютър. Много е важно да научите какво означават всички тези цветове, защото те не са там само за шоу - всеки от тях означава нещо важно.

    Когато не можете да си спомните какво означава един от цветовете, можете да отидете в Опции -> Конфигуриране на цветове в менюто, за да извикате диалога за избор на цвят. Това всъщност е бърз лист за измама с всичко, което означава. Продължавайте да четете, тъй като ще обясним и тук.

    Въз основа на цветовете на картинката по-горе, това е значението на всеки от избраните елементи (другите не са наистина важни).

    • Нови обекти (ярко зелено) - Когато се появи нов процес в Process Explorer, той започва като ярко зелен.
    • Изтрити обекти (червено) - Когато процесът бъде убит или затворен, той обикновено светва в червено преди изтриването.
    • Собствени процеси (светлосиньо) - Процесите се изпълняват като същия потребителски акаунт като Process Explorer.
    • Услуги (светло розово) - Windows Service процеси, въпреки че си струва да се отбележи, че те могат да имат дъщерни процеси, които се стартират като различен потребител, и те могат да бъдат с различен цвят.
    • Спирани процеси (тъмно сиво) - Когато процесът е спрян, той не може да направи нищо. Можете лесно да използвате Process Explorer, за да прекратите приложението. Понякога разбитите приложения за кратко ще се покажат в сиво, докато Windows се справя с катастрофата.
    • Потапящ процес (Bright Blue) - Това е просто фантастичен начин да се каже, че процесът е приложение на Windows 8, използващо новите API. На екрана по-рано може да сте забелязали WSHost.exe, който е процес на Windows Store Host, който изпълнява Metro apps. По някаква причина Explorer.exe и Task Manager също ще се появят като потапяне.
    • Опаковани изображения (лилаво) - тези процеси могат да съдържат компресиран код, скрит вътре в тях, или поне Process Explorer смята, че го правят, използвайки евристика. Ако видите пурпурен процес, не забравяйте да сканирате за злонамерен софтуер!

    Тъй като очевидно има известно припокриване между тези различни сценарии, цветовете ще се прилагат по ред на предимство. Ако процесът е услуга и е спрян, той ще се покаже в тъмно сиво, защото този цвят е по-важен.

    От това, което сме научили по време на изследването, поръчката е спряна> Опаковани> Потопяване> Услуги -> Собствени процеси.

    Проверка на идентичността на приложението

    Една наистина полезна опция, която сме изненадани, не е активирана по подразбиране, се намира в Опции -> Проверка на подписи на изображения.

    Тази опция ще провери цифровия подпис за всеки изпълним файл в списъка, което е безценен инструмент за отстраняване на неизправности, когато разглеждате някое подозрително приложение, което се изпълнява в списъка.

    В този момент по-голямата част от реномираните софтуерни продукти трябва да бъдат цифрово подписани. Ако нещо не е, трябва да внимавате много внимателно дали да го използвате.

    Предприемане на действия по даден процес

    Можете бързо да предприемете действия по всеки процес, като щракнете с десен бутон върху него и изберете от една от опциите, или като използвате предпочитаните клавиши за бърз достъп. Тези опции включват:

    • прозорец - има опции, включващи Bring to Front, които могат да бъдат полезни за идентифициране на прозореца, свързан с процес. Ако за този процес няма прозорци, то ще бъде оцветено в сиво.
    • Задайте приоритет - можете да използвате това, за да конфигурирате приоритета на процеса. Това е най-вече полезно за опитомяване на процес, който не искате да убивате.
    • Убий процес - точно както можете да си представите, това бързо убива този процес.
    • Убий дървото на процесите - Това убива не само елемента в списъка, но и децата от този родителски процес.
    • Рестартирам - ефектно по време на тестването, това само убива процеса и след това го рестартира. Струва си да се отбележи, че процесите на убиване могат да доведат до загуба на данни.
    • Задържане - тази удобна опция е чудесна за отстраняване на проблеми, когато процесът е извън контрол. Можете просто да преустановите процеса, вместо да го убиете, и да проверите дали нещо не е чудно.
    • Проверете VirusTotal - това е нова опция, която ще обясним по-нататък. Много е удобно, тъй като проверява процеса за вируси.
    • Търсене онлайн - това просто ще търси в мрежата името на процеса.

    И очевидно, ако отворите Properties, което ще ви отведе до още по-полезна информация за процеса, голяма част от която ще разгледаме в следващия урок.

    Забележка: тествахме опцията Temp, но нямахме представа какво прави.

    Изпълнява се като администратор

    Макар че не е задължително да изпълнявате Process Explorer като администратор, без да правите толкова много полезни функции, няма да можете да работите и няма да можете да видите толкова информация за всеки процес.

    Ако работите с Windows XP или 2003, ще трябва да работите като акаунт, който има пълни права на администратор за използване на повечето от функциите. Това вероятно не е проблем за повечето хора, тъй като XP все пак е дал пълни привилегии за сметка по подразбиране, но ако се опитвате да използвате това по време на работа без администраторски достъп, това няма да работи толкова добре..

    Тъй като повечето от нашите читатели използват Windows 7, 8.x или дори Vista, най-вероятно ще сте запознати с изпълнението на приложение като администратор. Това е много лесно ... просто щракнете с десния бутон и изберете опцията от менюто.

    Забавен факт: Process Explorer всъщност използва привилегията Debug Programs, което е дълъг път, за да обясни защо е толкова мощен.

    Принуждавайки Process Explorer винаги да се отваря като администратор

    Ако искате да сте сигурни, че Process Explorer винаги се отваря като администратор, без да трябва да помните, че щракнете с десния бутон върху него, можете да го принудите или чрез специален пряк път, който изисква режим на администратор, или чрез отваряне на свойствата за procexp.exe, Отидете в Съвместимост и след това изберете опцията за „Стартиране на програмата като администратор“.

    Така или иначе ще работи добре, или можете също да деактивирате UAC, ако предпочитате, което прави всичко да работи като администратор през цялото време. Ние не препоръчваме това, но можете да го направите.

    Използване на Process Explorer за заместване на диспечера на задачите

    Process Explorer отдавна се използва като мощен заместител на предишната анемична програма Task Manager във всяка версия на Windows преди Windows 8 и ако приемем, че искате някаква истинска сила в ръцете си, тя наистина работи добре като заместител в тази версия.

    Забележка: Диспечерът на задачите на Windows 8 е значително подобрен от предишните версии. Тя все още не е толкова мощна като Process Explorer, но вероятно е по-лесна за обикновените хора. Така че не променяйте компютъра на мама по подразбиране на Process Explorer.

    За да направите Process Explorer замени диспечера на задачите, всичко, което трябва да направите, е да изберете опцията Options -> Replace Task Manager от менюто. Това е.

    След като направите това, използвайки CTRL + SHIFT + ESC или щракнете с десния бутон върху лентата на задачите, ще стартирате Process Explorer вместо Task Manager. Лесно, добре?

    Внимание: Ако замените Task Manager, уверете се, че сте поставили Process Explorer на място, където няма да случайно преместите или изтриете файла. В противен случай ще останете със система, която не може да стартира Task Manager.

    Използване на Process Explorer като страхотен монитор с икона на тава

    Една от най-добрите характеристики на Process Explorer е възможността да се минимизира в системната лента, но вместо само една икона, тя може да минимизира в пълен набор от икони, които могат да наблюдават процесора, I / O, Disk, Network, GPU и RAM или комбинация от тях. Можете да ги конфигурирате да се показват отделно или изобщо, ако предпочитате.

    За да го настроите, отворете менюто Опции, отидете в раздела Икони на тава и след това щракнете, за да активирате всяка от иконите на тава, които искате да видите.

    Можете просто да стартирате Process Explorer всеки път, когато стартирате компютъра си, и след това да го минимизирате в системната лента, така че винаги ще бъде там за вас. И, разбира се, ако сте използвали опцията за замяна на диспечера на задачите, можете бързо да получите достъп до нея по всяко време с клавиш за бърз достъп - макар че може да искате да използвате опцията „Разрешаване само на един пример“, за да сте сигурни, че не отваряте куп отделни прозорци.

    Използване на Process Explorer за бързо търсене на VirusTotal

    Ако работите върху проблемния компютър и искате да разберете дали даден процес е вирус, можете да си спестите време с помощта на Process Explorer версия 16 или по-нова, защото са добавили интеграция на VirusTotal директно в приложението. Просто щракнете с десния бутон върху нещо в списъка, за да видите опцията.

    Първият път, когато го стартирате, ще бъдете помолени да приемете условията за ползване на VirusTotal, но след като го направите, ще видите, че резултатите от VirusTotal се показват точно в списъка.

    Можете да кликнете върху резултата, за да отидете на VirusTotal и да видите подробностите. Това е страхотно ново допълнение към една от най-добрите комунални услуги.

    Следващ урок: Използване на Process Explorer за отстраняване на неизправности и диагностика

    В следващия урок от нашата поредица ще отидем в много по-задълбочена информация за това как да използваме Process Explorer в някои реални сценарии за отстраняване на често срещани проблеми като злонамерен софтуер и crapware. Не забравяйте да останете на линия за останалата част от поредицата.

    Разбиране на псевдоелемента преди и след това
    Разбиране на рутерите, комутаторите и мрежовия хардуер
    Разбиране на скоростите за предаване на данни по LAN мрежа
    Следваща статия
    Разбиране на процесния монитор
    Предишна статия
    Разбиране на микроинтеграциите в дизайна на мобилните приложения