Înțelegerea Process Explorer
Această lecție din seria Școala Geek include Process Explorer, probabil cea mai utilizată și folositoare aplicație din setul de instrumente SysInternals. Dar cât de bine știi cu adevărat această utilitate?
ȘCOLAREA NAVIGAȚIEI- Care sunt instrumentele SysInternals și cum le folosiți?
- Înțelegerea Process Explorer
- Utilizând Process Explorer pentru depanarea și diagnosticarea
- Înțelegerea procesului de monitorizare
- Utilizarea monitorului de proces pentru a depana și a găsi hack-uri de registru
- Utilizarea autorunelor pentru a face față proceselor de pornire și a programelor malware
- Folosind BgInfo pentru a afișa informații despre sistem pe desktop
- Utilizarea PsTools pentru a controla alte PC-uri de la linia de comandă
- Analizați și gestionați fișierele, folderele și driverele
- Înfășurarea și utilizarea împreună a uneltelor
Procesorul Explorer, un manager de task și o aplicație de monitorizare a sistemului, a funcționat în jurul valorii de la 2001 și în timp ce lucra chiar și pe Windows 9x, versiunile moderne suportă numai XP și mai sus și au fost actualizate continuu cu caracteristici pentru versiunile moderne Windows. Este standardul defacto pentru tratarea proceselor de depanare.
Deci, ce poate procesa exploratorul?
Unele dintre caracteristicile mai bune includ următoarele, deși acest lucru nu este deloc o listă exhaustivă. Această aplicație are multe caracteristici, iar multe dintre acestea sunt îngropate adânc în interfață. Uimitor este și un fișier foarte mic.
- Afișarea de arbori implicită arată relația ierarhică parentală dintre procese și afișează folosind culori pentru a înțelege cu ușurință procesele dintr-o privire.
- Foarte precisă urmărirea utilizării procesorului pentru procese.
- Poate fi folosit pentru a înlocui Task Manager, care este util în special pentru XP, Vista și Windows 7.
- Poate adăuga mai multe pictograme pentru a monitoriza CPU, Disk, GPU, Rețea și multe altele.
- Aflați care proces a încărcat un fișier DLL.
- Aflați ce proces rulează o fereastră deschisă.
- Aflați care proces are un fișier sau un dosar deschis și blocat.
- Vizualizați date complete despre orice proces, inclusiv firele, utilizarea memoriei, mânerele, obiectele și aproape orice altceva de știut.
- Poate ucide un arbore întreg de proces, inclusiv orice proces inițiat de cel pe care alegeți să-l omoriți.
- Poate suspenda un proces, înghețându-i toate firele, astfel încât să nu facă nimic.
- Poate vedea care fir într-un proces este de fapt maxing out CPU-ul.
- Cea mai recentă versiune (v16) integrează VirusTotal în interfață, astfel încât să puteți verifica un proces pentru viruși fără a lăsa Process Explorer.
Ori de câte ori aveți o problemă cu o aplicație, sau ceva care păstrează înghețarea pe computerul dvs., sau poate că încercați să vă dați seama ce este folosit un anumit fișier DLL, Process Explorer este instrumentul pentru lucrare.
Înțelegerea vederii arborilor
Când lansați pentru prima dată Process Explorer, vi se oferă imediat o mulțime de date vizuale - există o vizualizare ierarhică a proceselor care rulează pe computerul dvs., inclusiv utilizarea procesorului și a memoriei RAM utilizând valori numerice pentru fiecare proces. Există câteva grafice de mici dimensiuni care rulează în partea de sus a barei de instrumente, care vă arată utilizarea CPU, pe care se poate face clic pentru a fi afișat într-o fereastră separată.
Cu siguranță se petrece mult și ar fi ușor să fii copleșit de tot ce e pe ecran.
Afișajul inițial vă oferă un set de coloane care includ:
- Proces - numele fișierului executabil împreună cu pictograma, dacă există.
- Procesor - procentul de timp CPU din ultima secundă (sau oricare ar fi viteza de actualizare)
- Private Bytes - cantitatea de memorie alocată numai acestui program.
- Set de lucru - suma RAM reală alocată acestui program de către Windows.
- PID - identificatorul procesului.
- Descriere - descrierea, dacă aplicația are una.
- Numele Companiei - aceasta este mai utilă decât credeți. Dacă ceva nu este corect, începeți prin căutarea unor procese care nu sunt date de Microsoft.
Puteți personaliza aceste coloane și puteți adăuga multe alte opțiuni sau puteți să faceți clic pe oricare din coloane pentru a sorta după acel câmp. Dacă ați mai folosit Task Manager vreodată, probabil că ați sortat după memorie sau CPU și puteți face asta și aici.
Dacă faceți clic pe Proces, veți trece prin sortare după numele procesului sau revenind la vizualizarea arborescentă implicită, ceea ce este foarte util după ce vă obișnuiți.
Vizualizarea este actualizată o dată pe secundă, dar puteți accesa Vizualizare -> Viteză actualizare și personalizați cât de des se actualizează, cel mai mic fiind de 0,5 secunde, iar nivelul de vârf fiind de 10 secunde. Dacă o utilizați pentru depanare, valoarea implicită este, probabil, bună, dar dacă doriți să o utilizați ca monitor CPU așezat în tava de sistem, 5 sau 10 secunde ar putea să utilizeze mai puțin CPU în timp ce rulează în fundal.
Puteți, de asemenea, să întrerupeți vizualizarea sub același meniu sau prin simpla apăsare a barei de spațiu. Aceasta va îngheța vizualizarea ca un instantaneu în timp, lucru care poate fi util dacă încercați să identificați un proces care începe și moare repede sau dacă ați decis să sortați după utilizarea procesorului și toate rândurile continuă să săriți.
În cazul unui proces de închidere rapidă, totuși, doriți să adăugați coloane suplimentare la vizualizarea implicită pentru orice ar fi nevoie să știți, pentru că faceți clic pe un proces defunct din listă nu va afișa mult în vizualizarea detaliilor dacă procesul nu se execută, chiar dacă ați întrerupt totul.
Înțelegerea tuturor acelor culori
Există cu siguranță o mulțime de culori într-o listă tipică Process Explorer, care poate fi puțin confuză pentru începutul geek. Este foarte important să afli ce înseamnă toate aceste culori, pentru că nu sunt doar pentru spectacol - fiecare înseamnă ceva important.
Ori de câte ori nu vă puteți aminti ce înseamnă una dintre culori, puteți accesa Opțiuni -> Configurați culorile din meniu pentru a extrage dialogul de selectare a culorilor. Aceasta este în esență o foaie rapidă de înșelăciune pentru ceea ce înseamnă tot. Continuați să citiți, de vreme ce o vom explica și aici.
Pe baza culorilor din imaginea de mai sus, este vorba despre ceea ce înseamnă fiecare dintre elementele selectate (celelalte nu sunt cu adevărat importante).
- Obiectele noi (verde strălucitor) - Când un proces nou apare în Process Explorer, acesta începe ca verde strălucitor.
- Obiecte șterse (roșu) - Când un proces este ucis sau închis, va bloca, de obicei, roșu chiar înainte de ștergere.
- Procese proprii (albastru deschis) - Procesele care rulează în același cont de utilizator ca Process Explorer.
- Servicii (Pink deschis) - Procesele de servicii Windows, deși merită remarcat faptul că acestea ar putea avea procese copil care sunt lansate ca utilizatori diferiți și aceștia ar putea avea o culoare diferită.
- Procese suspendate (gri închis) - Când un proces este suspendat, el nu poate face nimic. Puteți utiliza cu ușurință Process Explorer pentru a suspenda o aplicație. Uneori, aplicațiile care se blochează vor apărea pe scurt în gri, în timp ce Windows se ocupă de accident.
- Procesul imersiv (albastru deschis) - Acesta este doar un mod fantezist de a spune că procesul este o aplicație Windows 8 utilizând noile API-uri. În imaginea de mai devreme, este posibil să fi observat WSHost.exe, care este un proces "gazdă Store Store", care rulează aplicații Metro. Din anumite motive, Explorer.exe și Task Manager vor apărea, de asemenea, ca imersive.
- Imagini ambalate (violet) - aceste procese ar putea conține cod comprimat ascuns în interiorul lor sau cel puțin Process Explorer crede că fac acest lucru prin utilizarea euristică. Dacă vedeți un proces purpuriu, asigurați-vă că scanați pentru programe malware!
Deoarece există evident o anumită suprapunere între aceste scenarii diferite, culorile vor fi aplicate într-un ordin de prioritate. Dacă un proces este un serviciu și este suspendat, acesta va fi afișat în gri închis deoarece această culoare este mai importantă.
Din ceea ce am învățat în timp ce cercetăm, ordinul este Suspendat> Ambalat> Immersiv> Servicii -> Procese proprii.
Verificarea identității aplicației
O opțiune foarte utilă pe care suntem surprinși nu este activată în mod implicit se găsește la Opțiuni -> Verificați semnăturile de imagine.
Această opțiune va verifica semnătura digitală pentru fiecare fișier executabil din listă, un instrument inestimabil de depanare atunci când analizați o aplicație suspectă care rulează în listă.
Majoritatea software-urilor de renume trebuie semnate digital în acest moment. Dacă ceva nu este, ar trebui să arăți foarte atent dacă ar trebui să o folosești.
Acționând asupra unui proces
Puteți acționa rapid cu privire la orice proces, făcând clic dreapta pe el și selectând una dintre opțiuni sau utilizând tastele de comenzi rapide dacă preferați. Aceste opțiuni includ:
- Fereastră - are opțiuni, inclusiv Bring to Front, care poate fi utilă pentru a ajuta la identificarea ferestrei asociate unui proces. Dacă nu există ferestre pentru acest proces, acesta va fi șifonat.
- Stabilește prioritatea - puteți utiliza aceasta pentru a configura prioritatea unui proces. Acest lucru este util cel mai mult pentru a manipula un proces runaway pe care nu doriți să îl omorâți.
- Kill Process - așa cum v-ați imagina, acest lucru ucide rapid acest proces.
- Ucideți arborele procesului - Acest lucru ucide nu doar elementul din listă, ci și copiii acelui proces părinte.
- Repornire - spectaculos util în timpul testelor, acest lucru ucide procesul și apoi îl repornește. Merită menționat faptul că procesele de ucidere ar putea duce la pierderi de date.
- Suspenda - această opțiune la îndemână este excelentă pentru depanarea când un proces este în afara controlului. Puteți suspenda pur și simplu procesul, mai degrabă decât să-l omorâți, și verificați dacă nu este nimic rău.
- Verificați VirusTotal - aceasta este o nouă opțiune pe care o vom explica mai departe. Este destul de la îndemână, deoarece verifică procesul de viruși.
- Căutați online - aceasta va căuta doar pe web pentru numele procesului.
Și, evident, dacă vă deschideți proprietăți care vă vor duce la informații mai utile despre proces, multe dintre acestea vom intra în următoarea lecție.
Notă: am testat opțiunea Temp, dar nu am nici o idee despre ce face.
Rularea ca administrator
Deși nu trebuie absolut să rulați Process Explorer ca Administrator, fără a face acest lucru, multe dintre funcțiile utile nu vor funcționa și nu veți putea vedea cât mai multe informații despre fiecare proces.
Dacă rulați pe Windows XP sau 2003, va trebui să rulați ca un cont care are drepturi complete de administrator pentru a utiliza majoritatea funcțiilor. Probabil că nu este o problemă pentru majoritatea oamenilor, pentru că XP a dat oricum toate privilegiile în contul implicit, dar dacă încercați să folosiți acest lucru la lucru fără accesul administratorului, acesta nu va funcționa la fel de bine.
Deoarece majoritatea cititorilor noștri utilizează Windows 7, 8.x sau chiar Vista, veți fi probabil familiarizați cu rularea unei aplicații ca Administrator. Este foarte ușor ... doar faceți clic dreapta și alegeți opțiunea din meniu.
Fapt amuzant: Procesorul Explorer utilizează de fapt privilegiul Debug Programs, care merge mult pentru a explica de ce este atât de puternic.
Forțând Process Explorer să deschidă întotdeauna ca administrator
Dacă doriți să vă asigurați că Process Explorer se deschide întotdeauna ca Administrator fără a trebui să vă amintiți să faceți clic dreapta pe el, îl puteți forța fie făcând o scurtătură specială care necesită un mod Administrator, fie deschizând Proprietățile pentru procexp.exe, mergând la Compatibilitate, apoi alegerea opțiunii pentru "Porniți acest program ca administrator".
Oricum, va funcționa foarte bine sau, de asemenea, ați putea să dezactivați UAC dacă preferați, ceea ce face ca totul să funcționeze în permanență ca administrator. Nu recomandăm acest lucru, dar o puteți face.
Folosind Process Explorer pentru a înlocui Managerul de activități
Procesorul Explorer a fost mult timp folosit ca înlocuitor puternic pentru aplicația Anemic Task Manager anterioară în fiecare versiune de Windows, înainte de Windows 8, și presupunând că doriți o putere reală în mâinile dvs., funcționează foarte bine ca înlocuitor în acea versiune.
Notă: Managerul de activități Windows 8 este mult îmbunătățit față de versiunile anterioare. Încă nu este la fel de puternic ca Process Explorer, dar este probabil mai ușor pentru oamenii obișnuiți să folosească. Deci, nu schimba computerul mamei la implicit la Process Explorer.
Pentru a face ca Process Explorer să înlocuiască Managerul de activități, tot ce trebuie să faceți este să alegeți opțiunea Opțiuni -> Înlocuire manager de activități din meniu. Asta e.
Odată ce ați făcut acest lucru, utilizând CTRL + SHIFT + ESC sau faceți clic dreapta pe bara de sarcini ambele va lansa Process Explorer mai degrabă decât Task Manager. Ușor, corect?
Avertizare: dacă înlocuiți managerul de activități, asigurați-vă că ați pus Process Explorer într-un loc pe care nu îl veți mișca accidental sau nu îl ștergeți. În caz contrar, veți fi blocat de un sistem care nu poate lansa niciun Manager de activități.
Folosind Process Explorer ca monitor monitor de pictograme Awesome
Una dintre cele mai bune caracteristici ale procesorului Explorer este capacitatea de a minimiza acest lucru în tava de sistem, dar în loc de o singură pictogramă, acesta poate reduce la minimum un set complet de pictograme care pot monitoriza procesorul, I / O, discul, rețeaua, GPU-ul , și RAM, sau orice combinație a acestora. Puteți să le configurați să fie afișate separat sau deloc, dacă preferați.
Pentru a seta această opțiune, deschideți meniul Opțiuni, accesați secțiunea Tavă pictograme și apoi faceți clic pentru a activa fiecare dintre pictogramele din tava pe care doriți să le vedeți.
Puteti rula doar Process Explorer de fiecare data cand incepeti sa rulati calculatorul, si apoi minimalizati-l in tava de sistem, astfel incat acesta va fi intotdeauna acolo pentru dumneavoastra. Și, desigur, dacă ați folosit opțiunea de a înlocui Task Manager, puteți accesa rapid oricând o tastă de comenzi rapide - deși este posibil să doriți să utilizați opțiunea "Doar o singură instanță" pentru a vă asigura că nu deschideți grămadă de ferestre separate.
Utilizând Process Explorer pentru a căuta rapid VirusTotal
Dacă lucrați la un PC cu probleme și doriți să aflați dacă un proces este un virus, vă puteți salva puțin timp folosind Process Explorer versiunea 16 sau mai recentă, deoarece ați adăugat integrarea VirusTotal direct în aplicație. Doar faceți clic dreapta pe orice din listă pentru a vedea opțiunea.
Prima dată când o rulați, vi se va cere să acceptați termenii de utilizare VirusTotal, dar după ce faceți acest lucru, veți vedea rezultatele VirusTotal afișate chiar acolo în listă.
Puteți face clic pe rezultat pentru a merge la VirusTotal și pentru a vedea detaliile. Este o adăugare extraordinară pentru una dintre cele mai bune utilități vreodată.
Următoarea lecție: Utilizarea Process Explorer pentru depanarea și diagnosticarea
În următoarea lecție din seria noastră vom trece mai mult în profunzime despre modul în care puteți utiliza Process Explorer în unele scenarii din lumea reală pentru a depana problemele obișnuite, cum ar fi malware-ul și crawlerele. Asigurați-vă că rămâneți acordat pentru restul seriei.