Розуміння Process Explorer

Цей урок із серії Geek School охоплює Process Explorer, мабуть, найбільш використовуваний і корисний додаток у наборі інструментів SysInternals. Але наскільки добре ви дійсно знаєте цю утиліту?

НАВІГАЦІЯ

1. Що таке інструменти SysInternals і як ви їх використовуєте?
2. Розуміння Process Explorer
3. Використання Process Explorer для усунення неполадок і діагностики
4. Розуміння Process Monitor
5. Використання Process Monitor для усунення неполадок і пошуку зломів реєстру
6. Використання автозапуску для роботи з процесами запуску та шкідливими програмами
7. Використання BgInfo для показу системної інформації на стільниці
8. Використання PsTools для керування іншими ПК з командного рядка
9. Аналіз і керування вашими файлами, теками і дисками
10. Укладання і спільне використання інструментів

Process Explorer, програма для керування завданнями і системним монітором, існує з 2001 року, і хоча раніше вона працювала навіть у Windows 9x, сучасні версії підтримують тільки XP і вище, і вони постійно поповнюються функціями для сучасних версій Вікна. Це стандарт defacto для роботи з процесами усунення неполадок.

Так що ж може робити Process Explorer?

Деякі з найкращих функцій включають наступне, хоча це далеко не повний список. Цей додаток має багато функцій, і багато з них приховані глибоко в інтерфейсі. Дивно, але це також дуже маленький файл.

• Типове дерево показує ієрархічні батьківські стосунки між процесами і відображає їх за допомогою кольорів, щоб легко зрозуміти процеси першого погляду.
• Дуже точне відстеження використання процесора для процесів.
• Можна використовувати для заміни менеджера завдань, що особливо корисно в XP, Vista і Windows 7.
• Можна додати декілька значків до треї для моніторингу процесора, диска, графічного процесора, мережі та багато іншого.
• З'ясуйте, який процес завантажив файл DLL.
• З "ясуйте, який процес працює у відкритому вікні.
• З'ясуйте, в якому процесі файл або теку відкрито та заблоковано.
• Переглядайте повні дані про будь-який процес, включаючи потоки, використання пам'яті, дескриптори, об'єкти і багато чого, що ще потрібно знати.
• Може знищити всі дерево процесів, включаючи будь-які процеси, запущені тим, який ви вирішите знищити.
• Може призупинити процес, заморозивши всі його потоки, щоб вони нічого не робили.
• Можна побачити, який потік у процесі фактично завантажує процесор.
• Остання версія (v16) інтегрує VirusTotal в інтерфейс, так що ви можете перевірити процес на наявність вірусів, не виходячи з Process Explorer.

Кожен раз, коли у вас виникають проблеми з додатком, або щось продовжує зависати на вашому комп'ютері, або, можливо, ви намагаєтеся з'ясувати, для чого використовується той чи інший DLL-файл, Process Explorer є інструментом для цієї роботи.

Розуміння дерева

Коли ви вперше запускаєте Process Explorer, ви відразу отримуєте багато візуальних даних - існує ієрархічне деревовидне представлення процесів, запущених на вашому комп'ютері, включаючи використання ЦП і ОЗУ з використанням числових значень для кожного процесу. У верхній частині панелі інструментів є декілька малих міні-графіків активності, що показують завантаження процесора, які можна клацнути для відображення в окремому вікні.

Там безумовно багато чого відбувається, і було б легко бути ураженим всім на екрані.

Початковий відображення дає вам набір стовпчиків, які включають у себе:

• Процес - назва файла виконуваного файла разом зі значком, якщо такий існує.
• CPU - відсоток часу CPU за останню секунду (або, незалежно від того, чи встановлено швидкість оновлення)
• Приватні байти - об'єм пам'яті, виділений тільки для цієї програми.
• Робочий набір - кількість фактичної оперативної пам'яті, виділеної для цієї програми Windows.
• PID - ідентифікатор процесу.
• Опис - опис, якщо він є у програми.
• Назва компанії - це більш корисно, ніж ви думаєте. Якщо щось не так, почніть з пошуку процесів, які не належать Microsoft.

Ви можете налаштувати ці стовпчики і додати багато інших параметрів, або ви можете просто клацнути на будь-якому зі стовпчиків, щоб відсортувати по цьому полю. Якщо ви коли-небудь використовували диспетчер завдань, можливо, ви відсортували по пам'яті або процесору, і ви можете зробити це і тут.

Натискання Process перемикатиметься між впорядкуванням за назвою процесу або поверненням до перегляду дерева за замовчуванням, що дуже корисно, коли ви звикнете до нього.

Перегляд оновлюється один раз на секунду, але ви можете перейти в меню «Перегляд» - > «Швидкість оновлення» і налаштувати частоту його оновлення: найнижче значення - 0,5 секунди, а верхній рівень - 10 секунд. Якщо ви використовуєте його для усунення неполадок, типове значення, ймовірно, підійде, але якщо ви хочете використовувати його як монітор ЦП, що знаходиться в системному треї, 5 або 10 секунд можуть використовувати менше ЦП, поки він працює в фоновому режимі.

Ви також можете призупинити перегляд у тому ж підменю або просто натиснувши клавішу пробілу. Це зафіксує уявлення як моментальний знімок, що може бути корисно, якщо ви намагаєтеся ідентифікувати процес, який запускається і швидко вмирає, або якщо ви вирішили сортувати за використанням ЦП, і всі рядки продовжують стрибати.

У разі швидкого закриття процесу, однак ви захочете додати додаткові стовпчики до типового перегляду для всього, що вам може знадобитися знати, тому що натискання на неіснуючий процес у списку не буде сильно відображатися в докладному уявленні, якщо процес не працює, навіть якщо ви все призупинили.

Розуміння всіх цих кольорів

У типовому списку Process Explorer безумовно багато кольорів, що може трохи заплутати початківця гіку. Дуже важливо дізнатися, що означають всі ці кольори, тому що вони не тільки для показу - кожен з них означає щось важливе.

Якщо ви не можете згадати, що означає один із кольорів, ви можете перейти до «Параметрів» - > «Налаштувати кольори» в меню, щоб відкрити діалогове вікно «Вибір кольору». Це в основному швидкий шпаргалка до того, що все означає. Продовжуйте читати, так як ми збираємося пояснити це і тут.

Базуючись на кольорах на зображенні вище, ось що означає кожен з вибраних елементів (інші не дуже важливі).

• Нові об'єкти (яскраво-зелений) - коли в Process Explorer з'являється новий процес, він починається з яскраво-зеленого кольору.
• Віддалені об'єкти (червоні) - коли процес вбивається або закривається, він зазвичай блимає червоним перед видаленням.
• Власні процеси (блакитний) - процеси, що виконуються з тим же обліковим записом, що і оглядач процесів.
• Служби (світло-рожевий) - процеси служби Windows, хоча варто зазначити, що вони можуть мати дочірні процеси, які запускаються від імені іншого користувача, і вони можуть бути іншого кольору.
• Призупинені процеси (темно-сірий) - коли процес припинено, він нічого не може зробити. Ви можете легко використовувати Process Explorer, щоб призупинити програму. Іноді збійні програми ненадовго відображаються сірим кольором, поки Windows обробляє збій.
• Процес занурення (яскраво-синій) - це просто химерний спосіб сказати, що процес являє собою додаток для Windows 8, що використовує нові API. На знімку екрану раніше ви могли помітити WSHost.exe, який являє собою процес «Сховище Windows», який запускає програми Metro. З якоїсь причини Explorer.exe і диспетчер завдань також будуть відображатися як захоплюючі.
• Упаковані зображення (фіолетовий) - ці процеси можуть містити стиснутий код, прихований всередині них, або, принаймні, Process Explorer вважає, що вони використовують евристику. Якщо ви бачите пурпуровий процес, обов'язково скануйте на наявність шкідливих програм!

Оскільки очевидно, що ці різні сценарії частково збігаються, кольори будуть застосовуватися в порядку пріоритету. Якщо процес є послугою і припинений, він буде відображатися темно-сірим, тому що цей колір важливіший.

З того, що ми дізналися під час дослідження, замовлення виглядає так: «Призупинено» > «Упаковано» > «Занурення» > «Послуги» > «Власні процеси»

Перевірка справжності програми

Один з дійсно корисних параметрів, який, як ми дивуємося, за замовчуванням не включено, знаходиться в розділі «Параметри» - > «Перевірити підписи зображень».

Цей параметр перевірятиме цифровий підпис для кожного виконуваного файлу у списку, який є безцінним інструментом усунення неполадок, коли ви дивитеся на якийсь підозрілий додаток, що працює у списку.

На цьому етапі переважна більшість надійного програмного забезпечення повинна мати цифровий підпис. Якщо щось не так, ви повинні дуже уважно подивитися, чи варто вам це використовувати.

Вжиття заходів щодо процесу

Ви можете швидко виконати дію з будь-яким процесом, клацнувши правою кнопкою миші і вибравши один з варіантів, або використовуючи поєднання клавіш, якщо ви бажаєте. Ці варіанти включають в себе:

• Вікно містить параметри, у тому числі «Перевести на передній план», які можуть бути корисними для визначення вікна, пов'язаного з процесом. Якщо для цього процесу немає вікон, він буде недоступний.
• Встановити пріоритет - ви можете використовувати це для налаштування пріоритету процесу. Це в основному корисно для приборкання нестримного процесу, який ви не хочете вбивати.
• Процес Kill - як ви і припускали, цей процес швидко вбиває.
• Kill Process Tree - вбиває не тільки елемент у списку, а й дочірні елементи цього батьківського процесу.
• Перезапуск - неймовірно корисний під час тестування, він просто вбиває процес і потім перезапускає його. Варто зазначити, що процеси знищення можуть призвести до втрати даних.
• Призупинити - ця зручна опція відмінно підходить для усунення неполадок, коли процес виходить з-під контролю. Ви можете просто призупинити процес, а не вбити його, і перевірити, чи не вийшло що-небудь з ладу.
• Перевірте VirusTotal - це новий параметр, про який ми розповімо далі. Це дійсно зручно, оскільки перевіряє процес на наявність вірусів.
• Пошук в Інтернеті - це буде просто пошук в Інтернеті за назвою процесу.

І, очевидно, якщо ви відкриєте Властивості, які приведуть вас до ще більш корисної інформації про процес, про яку ми поговоримо під час наступного уроку.

Примітка: ми протестували параметр Temp, але поняття не мали, що він робить.

Запуск від імені адміністратора

Хоча вам не обов'язково запускати Process Explorer від імені адміністратора, без цього багато корисних функцій не будуть працювати, і ви не зможете побачити стільки інформації про кожен процес.

Якщо ви працюєте у Windows XP або 2003, вам потрібно буде працювати як обліковий запис, що володіє повними правами адміністратора для використання більшості функцій. Ймовірно, це не проблема для більшості людей, тому що XP все одно надав облікового запису за замовчуванням повні привілеї, але якщо ви намагаєтеся використовувати це на роботі без доступу адміністратора, це не спрацює.

Оскільки більшість наших читачів використовують Windows 7, 8.x або навіть Vista, ви, ймовірно, будете знайомі з запуском програми в якості адміністратора. Це дійсно легко... просто клацніть правою кнопкою миші і виберіть пункт з меню.

Цікавий факт: Process Explorer фактично використовує привілей Debug Programs, який пояснює, чому він настільки потужний.

Примусове відкриття Process Explorer від імені адміністратора

Якщо ви хочете переконатися, що Process Explorer завжди відкривається як Адміністратор без необхідності клацати правою кнопкою миші по ньому, ви можете примусово зробити це, або зробивши спеціальний ярлик, що вимагає режиму Адміністратора, або відкривши Властивості для procxp.exe, перейдіть до розділу Сумісність, а потім виберіть «Запустити цю програму від імені адміністратора».

У будь-якому випадку, все буде працювати нормально, або ви також можете просто вимкнути UAC, якщо хочете, що змушує весь час працювати від імені адміністратора. Ми не рекомендуємо це, але ви можете зробити це.

Використання Process Explorer для заміни менеджера завдань

Process Explorer довгий час використовувався в якості потужної заміни раніше анемічного програми «Диспетчер завдань» у всіх версіях Windows до Windows 8, і, припускаючи, що вам потрібні реальні можливості, він працює дуже добре, як заміна в цій версії.

Примітка. Диспетчер завдань Windows 8 значно покращений порівняно з попередніми версіями. Він як і раніше не такий потужний, як Process Explorer, але, ймовірно, його легше використовувати звичайним людям. Так що не змінюй мамин комп'ютер за замовчуванням на Process Explorer.

Щоб змусити Process Explorer замінити менеджер завдань, виберіть «Параметри» - > «Замінити менеджер завдань». Ось і все.

Як тільки ви зробите це, за допомогою комбінації клавіш CTRL + SHIFT + ESC або клацання правою кнопкою миші на панелі завдань буде запущено Process Explorer, а не диспетчер завдань. Легко, правда?

Попередження: якщо ви заміните менеджер завдань, переконайтеся, що ви помістили Process Explorer в місце, де ви не будете випадково переміщувати або видаляти файл. Інакше ви застрягнете в системі, яка не може запустити менеджер завдань.

Використання Process Explorer як Awesome Tray Icon Monitor

Одна з найкращих функцій Process Explorer - можливість мінімізувати його в системному треї, але замість одного значка він може перетворитися на повний набір піктограм, які можуть контролювати CPU, I/O, Disk, Network, GPU і RAM, або будь-яка їх комбінація. Ви можете налаштувати їх для відображення окремо, або не на всіх, якщо ви бажаєте.

Щоб налаштувати це, відкрийте меню «Параметри», перейдіть до розділу «Значки на панелі завдань», а потім натисніть, щоб увімкнути всі значки на панелі завдань, які ви хотіли б бачити.

Ви можете просто запускати Process Explorer при кожному запуску комп'ютера, а потім згорнути його в системний трей, щоб він завжди був поруч з вами. І, звичайно ж, якщо ви використовували параметр для заміни менеджера завдань, ви можете швидко отримати доступ до нього в будь-який час за допомогою поєднання клавіш - хоча ви можете використовувати параметр «Дозволити тільки один екземпляр», щоб переконатися, що ви не відкриваєте купа окремих вікон.

Використання Process Explorer для швидкого пошуку VirusTotal

Якщо ви працюєте на проблемному ПК і хочете з'ясувати, чи є процес вірусом, ви можете заощадити деякий час, використовуючи Process Explorer версії 16 або вище, оскільки вони додали інтеграцію VirusTotal безпосередньо в програму. Просто клацніть правою кнопкою миші на будь-якому місці у списку, щоб побачити параметр.

Після першого запуску вам буде запропоновано прийняти умови використання VirusTotal, але після цього ви побачите результати VirusTotal, які будуть відображені прямо в списку.

Ви можете натиснути на результат, щоб перейти до VirusTotal і побачити деталі. Це відмінне нове доповнення до однієї з кращих утиліт коли-небудь.

Наступний урок: Використання Process Explorer для усунення неполадок і діагностики

На наступному уроці нашої серії ми збираємося заглибитися в те, як використовувати Process Explorer в деяких реальних сценаріях для усунення поширених проблем, таких як шкідливі програми і програмне забезпечення. Обов'язково стежте за оновленнями до кінця серії.