Pochopenie Process Explorer
Táto lekcia v našej sérii Geek School zahŕňa Process Explorer, snáď najpoužívanejšiu a najužitočnejšiu aplikáciu v systéme nástrojov SysInternals. Ale ako dobre viete túto utilitu?
ŠKOLSKÁ NAVIGÁCIA- Aké sú nástroje SysInternals a ako ich používate??
- Pochopenie Process Explorer
- Používanie aplikácie Process Explorer na riešenie problémov a diagnostikovanie
- Porozumenie procesu sledovania
- Používanie monitora procesov na riešenie problémov a vyhľadanie hackov v registri
- Použitie autorunov na riešenie spúšťacích procesov a malware
- Použitie programu BgInfo na zobrazenie informácií o systéme na ploche
- Použitie programu PsTools na ovládanie iných počítačov z príkazového riadku
- Analýza a správa súborov, priečinkov a diskov
- Zalomenie a spoločné používanie nástrojov
Procesor Explorer, správca úloh a aplikácia systémového monitorovania je od roku 2001 a zatiaľ čo pracoval aj na Windows 9x, moderné verzie podporujú iba XP a vyššie a boli priebežne aktualizované s funkciami pre moderné verzie Windows. Je to defacto štandard pre riešenie problémov procesov.
Takže to, čo dokáže robiť Explorer?
Niektoré z lepších vlastností zahŕňajú nasledujúce, aj keď to v žiadnom prípade nie je vyčerpávajúci zoznam. Táto aplikácia má mnoho funkcií a mnohé z nich sú hlboko zakopané v rozhraní. Úžasne je to aj veľmi malý súbor.
- Predvolený stromový pohľad zobrazuje hierarchický rodičovský vzťah medzi procesmi a zobrazuje pomocou farieb jednoduché pochopenie procesov na prvý pohľad.
- Veľmi presné sledovanie využitia procesora pre procesy.
- Môže byť použitý na nahrádzanie Správcu úloh, ktorý je obzvlášť užitočný pre XP, Vista a Windows 7.
- Môžete pridať viaceré ikony zásobníkov, ktoré monitorujú procesor, disk, GPU, sieť a ďalšie.
- Zistite, ktorý proces načíta DLL súbor.
- Zistite, ktorý proces je spustený otvoreným oknom.
- Zistite, ktorý proces má súbor alebo priečinok otvorený a uzamknutý.
- Zobraziť úplné údaje o každom procese, vrátane vlákien, využitia pamäte, úchytiek, objektov a skoro všetko, čo je potrebné vedieť.
- Môže zabiť celý strom procesov vrátane procesov, ktoré začali tým, ktoré ste vybrali zabiť.
- Môže pozastaviť proces a zmraziť všetky jeho vlákna, aby neurobili nič.
- Môže vidieť, ktoré vlákno v procese skutočne maximalizuje procesor.
- Najnovšia verzia (v16) integruje VirusTotal do rozhrania, takže môžete skontrolovať proces vírusov bez toho, aby ste opustili Process Explorer.
Kedykoľvek máte problém s aplikáciou, alebo niečo, čo sa stále drží na vašom počítači, alebo sa snažíte zistiť, na čo sa používa konkrétny súbor DLL, Process Explorer je nástroj pre úlohu.
Pochopenie zobrazenia stromu
Keď prvýkrát spustíte aplikáciu Process Explorer, hneď sa vám zobrazí množstvo vizuálnych údajov - existuje hierarchický stromový pohľad na procesy bežiace na vašom počítači vrátane využitia procesora a pamäte RAM pomocou číselných hodnôt pre každý proces. V hornej časti panela s nástrojmi sa zobrazujú niektoré malé grafické aktivity, ktoré zobrazujú využitie procesora, na ktoré je možné kliknúť, aby sa zobrazil v samostatnom okne.
Je to určite veľa a bolo by ľahké byť zahltený všetkým na obrazovke.
Počiatočné zobrazenie vám poskytuje súbor stĺpcov, ktoré zahŕňajú:
- proces - názov súboru spustiteľného súboru spolu s ikonou, ak existuje.
- CPU - percento času CPU za poslednú sekundu (alebo bez ohľadu na rýchlosť aktualizácie je nastavená na)
- Súkromné bajty - množstvo pamäte pridelené iba tomuto programu.
- Pracovná sada - množstvo skutočnej pamäte RAM pridelenej tomuto programu programom Windows.
- PID - identifikátor procesu.
- popis - popis, ak má aplikácia jednu.
- meno spoločnosti - táto je užitočnejšia ako si myslíte. Ak niečo nie je úplne správne, začnite vyhľadávaním procesov, ktoré nie sú spoločnosťou Microsoft.
Môžete prispôsobiť tieto stĺpce a pridať ďalšie možnosti, alebo môžete jednoducho kliknúť na ľubovoľný stĺpec, ktorý chcete zoradiť podľa daného poľa. Ak ste už v minulosti používali nástroj Správca úloh, ste pravdepodobne roztriedili podľa pamäte alebo CPU a môžete to urobiť aj tu.
Kliknutím na proces sa prepína medzi triedením podľa názvu procesu alebo vrátením do pôvodného stromového zobrazenia, čo je veľmi užitočné, keď si na to zvyknete.
Zobrazenie sa aktualizuje raz za sekundu, ale môžete prejsť na možnosť Zobraziť -> Aktualizovať rýchlosť a prispôsobiť, ako často sa aktualizuje, pričom najnižšia hodnota je 0,5 sekundy a najvyššia úroveň je 10 sekúnd. Ak ho používate na riešenie problémov, predvolená hodnota je pravdepodobne v poriadku, ale ak ho chcete používať ako monitor CPU sediaci v systémovej lište, 5 alebo 10 sekúnd môže používať menej procesora, kým beží na pozadí.
Môžete tiež pozastaviť zobrazenie pod rovnakým vedľajším menu alebo jednoducho stlačiť medzerník. Toto zmrazí zobrazenie ako snímku v čase, čo môže byť užitočné, ak sa pokúšate identifikovať proces, ktorý začína a rýchlo zomrie, alebo ak ste sa rozhodli triediť podľa využitia CPU a všetky riadky stále skákať.
V prípade procesu rýchleho zatvárania by ste však chceli pridať ďalšie stĺpce do predvoleného zobrazenia pre čokoľvek, čo by ste mohli potrebovať vedieť, pretože kliknutie na nezmazaný proces v zozname sa v zobrazení podrobností nezobrazí veľa, ak proces nie je spustený, aj keď ste všetko pozastavili.
Pochopenie všetkých týchto farieb
V typickom prehľade Process Explorer je určite veľa farieb, čo môže byť trochu nejasné pre začiatočníka. Je naozaj dôležité, aby ste sa dozvedeli, čo znamenajú všetky tieto farby, pretože tu nie sú len na prehliadku - každý z nich znamená niečo dôležité.
Kedykoľvek si nepamätáte, čo znamená jedna z farieb, môžete v ponuke Možnosti -> Konfigurovať farby v ponuke vytiahnuť dialógové okno Výber farieb. To je v podstate rýchle podvádzanie listu na to, čo všetko znamená. Pokračujte v čítaní, keďže tu vysvetlíme aj to.
Na základe farieb na obrázku vyššie, tu je to, čo každá z vybraných položiek znamená (ostatné nie sú naozaj dôležité).
- Nové objekty (jasne zelené) - Keď sa v Process Explorer objaví nový proces, začne sa ako jasná zelená.
- Odstránené objekty (červená) - Ak je proces zabitý alebo zatvorený, zvyčajne bude pred odstránením zvyčajne blikať červenou farbou.
- Vlastné procesy (svetlé modré) - Procesy bežiace ako rovnaké používateľské konto ako Process Explorer.
- Služby (svetlo ružové) - Procesy služby Windows, aj keď je potrebné poznamenať, že môžu mať detské procesy, ktoré sa spustia ako iný používateľ a tieto môžu mať inú farbu.
- Suspendované procesy (tmavošedá) - Keď je proces pozastavený, nemôže nič robiť. Proces aplikácie Process Explorer môžete ľahko pozastaviť. Niekedy sa havarované aplikácie krátko zobrazia v šedej, zatiaľ čo systém Windows narazí na haváriu.
- Ponorný proces (svetlá modrá) - Je to skvelý spôsob, ako povedať, že tento proces je aplikáciou systému Windows 8 s použitím nových rozhraní API. Na snímke skôr ste si všimli WSHost.exe, čo je "Windows Store Host", ktorý spúšťa aplikácie Metro. Z nejakého dôvodu sa Explorer.exe a Správca úloh tiež zobrazia ako ponorujúce.
- Balené obrázky (Purple) - tieto procesy môžu obsahovať komprimovaný kód skrytý vnútri nich, alebo aspoň Process Explorer si myslí, že to robia pomocou heuristiky. Ak vidíte fialový proces, nezabudnite skenovať škodlivý softvér!
Vzhľadom na to, že medzi týmito rôznymi scenárami existuje zjavné prekrývanie, farby sa uplatnia v poradí podľa priority. Ak je proces služba a je pozastavená, zobrazí sa v tmavo šedej farbe, pretože táto farba je dôležitejšia.
Z toho, čo sme sa dozvedeli pri skúmaní, je objednávka Suspended> Packed> Immersive> Services -> Own Processes.
Overenie totožnosti aplikácie
Jedna naozaj užitočná možnosť, ktorá nás prekvapí, nie je v predvolenom nastavení povolená, sa nachádza v ponuke Voľby -> Overiť podpisy obrázkov.
Táto možnosť skontroluje digitálny podpis pre každý spustiteľný súbor v zozname, čo je neoceniteľný nástroj na riešenie problémov pri prezeraní nejakej podozrivej aplikácie, ktorá je spustená v zozname.
Prevažná väčšina renomovaného softvéru by mala byť digitálne podpísaná v tomto bode. Ak niečo nie je, mali by ste sa veľmi pozorne pozrieť, či by ste ju mali používať.
Prijatie krokov k procesu
Môžete rýchlo vykonať akýkoľvek proces kliknutím pravým tlačidlom myši a výberom jednej z možností alebo pomocou klávesových skratiek, ak chcete. Tieto možnosti zahŕňajú:
- okno - má možnosti vrátane možnosti Bring to Front, ktoré môžu byť užitočné na identifikáciu okna spojeného s procesom. Ak pre tento proces nie sú žiadne okná, bude šedá.
- Nastavte prioritu - môžete ho použiť na konfiguráciu priority procesu. To je väčšinou užitočné pre vykrádanie utečencov procesu, ktorý nechcete zabiť.
- Zabiť proces - ako ste si predstavovali, to rýchlo zabije tento proces.
- Zabite Strom procesov - Toto zabíja nielen položku v zozname, ale aj deti tohto rodičovského procesu.
- Reštart - Veľmi užitočná pri testovaní, to práve zabíja proces a potom ho reštartuje. Stojí za zmienku, že procesy zabíjania môžu viesť k strate údajov.
- pozastaviť - táto šikovná voľba je skvelá na riešenie problémov, keď je proces mimo kontroly. Môžete jednoducho pozastaviť proces, skôr než ho zabiť, a skontrolovať, či niečo nie je v rozpakoch.
- Skontrolujte VirusTotal - je to nová možnosť, ktorú budeme ďalej vysvetľovať. Je to dosť praktické, pretože kontroluje proces vírusov.
- Vyhľadávanie online - toto len vyhľadá na web názov procesu.
A samozrejme, ak otvoríte vlastnosti, ktoré vás dovedú k ešte oveľa užitočnejším informáciám o procese, z ktorých veľa sa dostaneme do ďalšej lekcie.
Poznámka: sme testovali možnosť Temp, ale netušili, čo robí.
Spúšťa sa ako správca
Zatiaľ čo absolútne nemusíte spustiť Process Explorer ako správcu, bez toho, aby ste urobili toľko užitočných funkcií, nebude fungovať a nebudete mať možnosť zobraziť toľko informácií o každom procese.
Ak používate systém Windows XP alebo 2003, budete musieť používať ako účet, ktorý má plné práva správcu, aby ste mohli používať väčšinu funkcií. To pravdepodobne nie je problém pre väčšinu ľudí, pretože XP dal predvolené konto úplné privilégiá rovnako, ale ak sa to snažíte používať v práci bez prístupu administrátora, nebude fungovať tak dobre.
Pretože väčšina našich čitateľov používa Windows 7, 8.x alebo dokonca Vista, pravdepodobne budete oboznámený s spustením aplikácie ako správcu. Je to naozaj jednoduché ... stačí kliknúť pravým tlačidlom a vybrať možnosť z ponuky.
Zábavný fakt: Aplikácia Process Explorer skutočne používa privilégium programov ladenia, čo znamená, že vysvetľuje, prečo je to tak silné.
Núti proces Explorer vždy otvoriť ako správca
Ak sa chcete uistiť, že Process Explorer sa vždy otvorí ako správca bez toho, aby ste si museli zapamätať, že naň kliknete pravým tlačidlom myši, môžete ho vynútiť buď vytvorením špeciálnej skratky, ktorá vyžaduje režim Administrator, alebo otvorením Properties procexp.exe, prejdite na položku Kompatibilita a potom vyberte možnosť "Spustiť tento program ako správca".
Či tak alebo onak bude fungovať v pohode, alebo by ste mohli jednoducho vypnúť UAC, ak chcete, čo robí všetko bežať ako správca po celú dobu. Neodporúčame to, ale môžete to urobiť.
Použitie aplikácie Process Explorer na nahradenie správcu úloh
Procesor Explorer je už dlho používaný ako silná náhrada za predchádzajúcu anemickú aplikáciu Správcu úloh v každej verzii systému Windows pred Windows 8 a za predpokladu, že chcete mať skutočnú silu vo vašich rukách, funguje to naozaj dobre ako náhrada v tejto verzii.
Poznámka: Správca úloh systému Windows 8 sa výrazne zlepšil od predchádzajúcich verzií. Stále nie je tak silný ako Process Explorer, ale pravdepodobne to obyčajne jednoduchšie používa. Takže nemeníte počítač s maminkou na predvolené prehliadač Process.
Ak chcete nástroj Process Explorer nahradiť správcu úloh, stačí, aby ste v ponuke vybrali možnosť Možnosti -> Nahradiť správcu úloh. To je všetko.
Akonáhle to urobíte, pomocou CTRL + SHIFT + ESC alebo kliknutím pravým tlačidlom na paneli úloh spustite program Process Explorer namiesto Správcu úloh. Jednoducho, správne?
Výstraha: ak nahradíte správcu úloh, je absolútne isté, že ste aplikáciu Process Explorer umiestnili na miesto, kde sa náhodne nepohybujete alebo neodstránite. V opačnom prípade budete zaseknutý systémom, ktorý nedokáže spustiť Správcu úloh.
Používanie aplikácie Process Explorer ako monitora ikon Awesome Tray
Jednou z najlepších funkcií Process Explorer je schopnosť minimalizovať ho do systémovej lišty, ale namiesto jedinej ikony sa môže minimalizovať do plnej sady ikon, ktoré dokážu monitorovať procesor, I / O, disk, sieť, GPU , a RAM, alebo akákoľvek ich kombinácia. Môžete ich nakonfigurovať tak, aby sa zobrazovali samostatne alebo vôbec nie, ak chcete.
Ak to chcete nastaviť, otvorte ponuku Možnosti, prejdite na sekciu Ikony zásobníka a potom kliknite na položku, aby ste povolili každú ikonu zásobníka, ktorú chcete vidieť.
Môžete spustiť Process Explorer vždy, keď začnete pracovať s počítačom, a potom ho minimalizovať na systémovú lištu, takže to bude vždy pre vás. A samozrejme, ak ste použili možnosť nahradiť správcu úloh, môžete ho kedykoľvek rýchlo sprístupniť pomocou klávesovej skratky - aj keď možno budete chcieť použiť voľbu "Len jednu prípustnú inštanciu", aby ste sa uistili, že neotvoríte veľa samostatných okien.
Použitie aplikácie Process Explorer na rýchle vyhľadávanie VirusTotal
Ak pracujete na problémovom počítači a chcete zistiť, či je proces vírusom, môžete ušetriť nejaký čas pomocou aplikácie Process Explorer verzie 16 alebo vyššej, pretože pridali integráciu VirusTotal priamo do aplikácie. Stačí kliknúť pravým tlačidlom myši na čokoľvek v zozname a zobraziť túto možnosť.
Pri prvom spustení budete vyzvaní, aby ste prijali podmienky používania služby VirusTotal, ale po tom, ako sa tak stane, uvidíte v zozname výsledok VirusTotal..
Môžete kliknúť na výsledok a prejsť na VirusTotal a zobraziť podrobnosti. Je to skvelý nový doplnok k jednému z najlepších nástrojov vôbec.
Ďalšia lekcia: Pomocou aplikácie Process Explorer na odstraňovanie problémov a diagnostiku
V ďalšej lekcii v našej sérii budeme venovať oveľa väčšiu hĺbku o tom, ako používať aplikáciu Process Explorer v niektorých scenároch v reálnom svete na riešenie bežných problémov, ako je malware a crapware. Uistite sa, že zostanete ladený po zvyšok série.