Этот урок из серии Geek School охватывает Process Explorer, пожалуй, самое используемое и полезное приложение в наборе инструментов SysInternals. Но насколько хорошо вы действительно знаете эту утилиту?
Process Explorer, приложение для управления задачами и системным монитором, существует с 2001 года, и хотя раньше оно работало даже в Windows 9x, современные версии поддерживают только XP и выше, и они постоянно пополняются функциями для современных версий Окна. Это стандарт defacto для работы с процессами устранения неполадок.
Так что же может делать Process Explorer?
Некоторые из лучших функций включают следующее, хотя это далеко не полный список. Это приложение имеет много функций, и многие из них скрыты глубоко в интерфейсе. Удивительно, но это также очень маленький файл.
- Дерево по умолчанию показывает иерархические родительские отношения между процессами и отображает их с использованием цветов, чтобы легко понять процессы с первого взгляда.
- Очень точное отслеживание использования процессора для процессов.
- Может использоваться для замены диспетчера задач, что особенно полезно в XP, Vista и Windows 7.
- Можно добавить несколько значков в трее для мониторинга процессора, диска, графического процессора, сети и многого другого.
- Выясните, какой процесс загрузил файл DLL.
- Выясните, какой процесс работает в открытом окне.
- Выясните, в каком процессе файл или папка открыты и заблокированы.
- Просматривайте полные данные о любом процессе, включая потоки, использование памяти, дескрипторы, объекты и многое, что еще нужно знать.
- Может уничтожить все дерево процессов, включая любые процессы, запущенные тем, который вы решите уничтожить.
- Может приостановить процесс, заморозив все его потоки, чтобы они ничего не делали.
- Можно увидеть, какой поток в процессе фактически загружает процессор.
- Последняя версия (v16) интегрирует VirusTotal в интерфейс, так что вы можете проверить процесс на наличие вирусов, не выходя из Process Explorer.
Каждый раз, когда у вас возникают проблемы с приложением, или что-то продолжает зависать на вашем компьютере, или, возможно, вы пытаетесь выяснить, для чего используется тот или иной DLL-файл, Process Explorer является инструментом для этой работы.
Понимание дерева
Когда вы впервые запускаете Process Explorer, вы сразу получаете много визуальных данных — существует иерархическое древовидное представление процессов, запущенных на вашем компьютере, включая использование ЦП и ОЗУ с использованием числовых значений для каждого процесса. В верхней части панели инструментов есть несколько маленьких мини-графиков активности, показывающих загрузку процессора, которые можно щелкнуть для отображения в отдельном окне.
Там определенно много чего происходит, и было бы легко быть пораженным всем на экране.
Первоначальное отображение дает вам набор столбцов, которые включают в себя:
- Процесс — имя файла исполняемого файла вместе со значком, если таковой существует.
- CPU — процент времени CPU за последнюю секунду (или независимо от того, установлена ли скорость обновления)
- Частные байты — объем памяти, выделенный только для этой программы.
- Рабочий набор — количество фактической оперативной памяти, выделенной для этой программы Windows.
- PID — идентификатор процесса.
- Описание — описание, если оно есть у приложения.
- Название компании — это более полезно, чем вы думаете. Если что-то не так, начните с поиска процессов, которые не принадлежат Microsoft.
Вы можете настроить эти столбцы и добавить много других опций, или вы можете просто щелкнуть по любому из столбцов, чтобы отсортировать по этому полю. Если вы когда-либо использовали диспетчер задач, возможно, вы отсортировали по памяти или процессору, и вы можете сделать это и здесь.
Нажатие на Process будет переключаться между сортировкой по имени процесса или возвращением к представлению дерева по умолчанию, что очень полезно, когда вы привыкнете к нему.
Представление обновляется один раз в секунду, но вы можете перейти в меню «Вид» -> «Скорость обновления» и настроить частоту его обновления: самое низкое значение — 0,5 секунды, а верхний уровень — 10 секунд. Если вы используете его для устранения неполадок, значение по умолчанию, вероятно, подойдет, но если вы хотите использовать его в качестве монитора ЦП, находящегося в системном трее, 5 или 10 секунд могут использовать меньше ЦП, пока он работает в фоновом режиме.
Вы также можете приостановить просмотр в том же подменю или просто нажав клавишу пробела. Это зафиксирует представление как моментальный снимок, что может быть полезно, если вы пытаетесь идентифицировать процесс, который запускается и быстро умирает, или если вы решили сортировать по использованию ЦП, и все строки продолжают прыгать.
В случае быстро закрывающегося процесса, однако, вы захотите добавить дополнительные столбцы в представление по умолчанию для всего, что вам может понадобиться знать, потому что нажатие на несуществующий процесс в списке не будет сильно отображаться в подробном представлении, если процесс не работает, даже если вы все приостановили.
Понимание всех этих цветов
В типичном списке Process Explorer определенно много цветов, что может немного запутать начинающего гика. Очень важно узнать, что означают все эти цвета, потому что они не только для показа — каждый из них означает что-то важное.
Когда вы не можете вспомнить, что означает один из цветов, вы можете перейти в «Параметры» -> «Настроить цвета» в меню, чтобы открыть диалоговое окно «Выбор цвета». Это в основном быстрый шпаргалка к тому, что все значит. Продолжайте читать, так как мы собираемся объяснить это и здесь.
Основываясь на цветах на картинке выше, вот что означает каждый из выбранных элементов (остальные не очень важны).
- Новые объекты (ярко-зеленый) — когда в Process Explorer появляется новый процесс, он начинается с ярко-зеленого цвета.
- Удаленные объекты (красные) — когда процесс убивается или закрывается, он обычно мигает красным перед удалением.
- Собственные процессы (голубоватый) — процессы, выполняющиеся с той же учетной записью, что и обозреватель процессов.
- Службы (светло-розовый) — процессы службы Windows, хотя стоит отметить, что они могут иметь дочерние процессы, которые запускаются от имени другого пользователя, и они могут быть другого цвета.
- Приостановленные процессы (темно-серый) — когда процесс приостановлен, он ничего не может сделать. Вы можете легко использовать Process Explorer, чтобы приостановить приложение. Иногда сбойные приложения ненадолго отображаются серым цветом, пока Windows обрабатывает сбой.
- Процесс погружения (ярко-синий) — это просто причудливый способ сказать, что процесс представляет собой приложение для Windows 8, использующее новые API. На снимке экрана ранее вы могли заметить WSHost.exe, который представляет собой процесс «Хранилище Windows», который запускает приложения Metro. По какой-то причине Explorer.exe и диспетчер задач также будут отображаться как захватывающие.
- Упакованные изображения (фиолетовый) — эти процессы могут содержать сжатый код, скрытый внутри них, или, по крайней мере, Process Explorer считает, что они используют эвристику. Если вы видите пурпурный процесс, обязательно сканируйте на наличие вредоносных программ!
Поскольку очевидно, что эти разные сценарии частично совпадают, цвета будут применяться в порядке приоритета. Если процесс является услугой и приостановлен, он будет отображаться темно-серым, потому что этот цвет важнее.
Из того, что мы узнали во время исследования, заказ выглядит так: «Приостановлено»> «Упаковано»> «Погружение»> «Услуги»> «Собственные процессы»
Проверка подлинности приложения
Один из действительно полезных параметров, который, как мы удивляемся, по умолчанию не включен, находится в разделе «Параметры» -> «Проверить подписи изображений».
Эта опция будет проверять цифровую подпись для каждого исполняемого файла в списке, который является бесценным инструментом устранения неполадок, когда вы смотрите на какое-то подозрительное приложение, работающее в списке.
На этом этапе подавляющее большинство надежного программного обеспечения должно иметь цифровую подпись. Если что-то не так, вы должны очень внимательно посмотреть, стоит ли вам это использовать.
Принятие мер в отношении процесса
Вы можете быстро выполнить действие с любым процессом, щелкнув по нему правой кнопкой мыши и выбрав один из вариантов, или используя сочетания клавиш, если вы предпочитаете. Эти варианты включают в себя:
- Окно — содержит параметры, в том числе «Перевести на передний план», которые могут быть полезны для определения окна, связанного с процессом. Если для этого процесса нет окон, он будет недоступен.
- Установить приоритет — вы можете использовать это для настройки приоритета процесса. Это в основном полезно для укрощения безудержного процесса, который вы не хотите убивать.
- Процесс Kill — как вы и предполагали, этот процесс быстро убивает.
- Kill Process Tree — убивает не только элемент в списке, но и дочерние элементы этого родительского процесса.
- Перезапуск — невероятно полезный во время тестирования, он просто убивает процесс и затем перезапускает его. Стоит отметить, что процессы уничтожения могут привести к потере данных.
- Приостановить — эта удобная опция отлично подходит для устранения неполадок, когда процесс выходит из-под контроля. Вы можете просто приостановить процесс, а не убить его, и проверить, не вышло ли что-нибудь из строя.
- Проверьте VirusTotal — это новая опция, о которой мы расскажем далее. Это действительно удобно, так как проверяет процесс на наличие вирусов.
- Поиск в Интернете — это будет просто поиск в Интернете по названию процесса.
И, очевидно, если вы откроете Свойства, которые приведут вас к еще более полезной информации о процессе, о которой мы поговорим во время следующего урока.
Примечание: мы протестировали параметр Temp, но понятия не имели, что он делает.
Запуск от имени администратора
Хотя вам совершенно не обязательно запускать Process Explorer от имени администратора, без этого многие полезные функции не будут работать, и вы не сможете увидеть столько информации о каждом процессе.
Если вы работаете в Windows XP или 2003, вам нужно будет работать как учетная запись, обладающая полными правами администратора для использования большинства функций. Вероятно, это не проблема для большинства людей, потому что XP все равно предоставил учетной записи по умолчанию полные привилегии, но если вы пытаетесь использовать это на работе без доступа администратора, это не сработает.
Поскольку большинство наших читателей используют Windows 7, 8.x или даже Vista, вы, вероятно, будете знакомы с запуском приложения в качестве администратора. Это действительно легко … просто щелкните правой кнопкой мыши и выберите опцию из меню.
Интересный факт: Process Explorer фактически использует привилегию Debug Programs, которая объясняет, почему она настолько мощная.
Принудительное открытие Process Explorer от имени администратора
Если вы хотите убедиться, что Process Explorer всегда открывается как Администратор без необходимости щелкать правой кнопкой мыши по нему, вы можете принудительно сделать это, либо сделав специальный ярлык, требующий режима Администратора, либо открыв Свойства для procxp.exe, перейдите в раздел Совместимость, а затем выберите опцию «Запустить эту программу от имени администратора».
В любом случае, все будет работать нормально, или вы также можете просто отключить UAC, если хотите, что заставляет все время работать от имени администратора. Мы не рекомендуем это, но вы можете сделать это.
Использование Process Explorer для замены диспетчера задач
Process Explorer долгое время использовался в качестве мощной замены ранее анемичного приложения «Диспетчер задач» во всех версиях Windows до Windows 8, и, предполагая, что вам нужны реальные возможности, он работает очень хорошо, как замена в этой версии.
Примечание. Диспетчер задач Windows 8 значительно улучшен по сравнению с предыдущими версиями. Он по-прежнему не такой мощный, как Process Explorer, но, вероятно, его легче использовать обычным людям. Так что не меняй мамин компьютер по умолчанию на Process Explorer.
Чтобы заставить Process Explorer заменить диспетчер задач, все, что вам нужно сделать, это выбрать в меню пункт «Параметры» -> «Заменить диспетчер задач». Вот и все.
Как только вы это сделаете, с помощью сочетания клавиш CTRL + SHIFT + ESC или щелчка правой кнопкой мыши на панели задач будет запущен Process Explorer, а не диспетчер задач. Легко, правда?
Предупреждение : если вы замените диспетчер задач, убедитесь, что вы поместили Process Explorer в место, где вы не будете случайно перемещать или удалять файл. В противном случае вы застрянете в системе, которая не может запустить диспетчер задач.
Использование Process Explorer в качестве Awesome Tray Icon Monitor
Одна из лучших функций Process Explorer — возможность минимизировать его в системном трее, но вместо одного значка он может превратиться в полный набор значков, которые могут контролировать CPU, I / O, Disk, Network, GPU и RAM, или любая их комбинация. Вы можете настроить их для отображения отдельно, или не на всех, если вы предпочитаете.
Чтобы настроить это, откройте меню «Параметры», перейдите в раздел «Значки на панели задач», а затем нажмите, чтобы включить все значки на панели задач, которые вы хотели бы видеть.
Вы можете просто запускать Process Explorer при каждом запуске компьютера, а затем свернуть его в системный трей, чтобы он всегда был рядом с вами. И, конечно же, если вы использовали опцию для замены диспетчера задач, вы можете быстро получить к нему доступ в любое время с помощью сочетания клавиш — хотя вы можете использовать опцию «Разрешить только один экземпляр», чтобы убедиться, что вы не открываете куча отдельных окон.
Использование Process Explorer для быстрого поиска VirusTotal
Если вы работаете на проблемном ПК и хотите выяснить, является ли процесс вирусом, вы можете сэкономить некоторое время, используя Process Explorer версии 16 или выше, поскольку они добавили интеграцию VirusTotal непосредственно в приложение. Просто щелкните правой кнопкой мыши на любом месте в списке, чтобы увидеть опцию.
При первом запуске вам будет предложено принять условия использования VirusTotal, но после этого вы увидите результаты VirusTotal, которые будут отображены прямо в списке.
Вы можете нажать на результат, чтобы перейти к VirusTotal и увидеть детали. Это отличное новое дополнение к одной из лучших утилит когда-либо.
Следующий урок: Использование Process Explorer для устранения неполадок и диагностики
На следующем уроке нашей серии мы собираемся углубиться в то, как использовать Process Explorer в некоторых реальных сценариях для устранения распространенных проблем, таких как вредоносные программы и программное обеспечение. Обязательно следите за обновлениями до конца серии.