Početna » škola » Razumijevanje procesa Explorer

    Razumijevanje procesa Explorer

    Ova lekcija u seriji Geek School pokriva Process Explorer, možda najkorišteniju i najkorisniju aplikaciju u alatu SysInternals. Ali koliko dobro poznajete ovaj program?

    ŠKOLSKA NAVIGACIJA
    1. Što su SysInternals alati i kako ih koristite?
    2. Razumijevanje procesa Explorer
    3. Korištenje Process Explorer za rješavanje problema i dijagnosticiranje
    4. Razumijevanje procesa Monitor
    5. Korištenje procesa Monitor za rješavanje problema i pronaći Registry Hacks
    6. Korištenje Autoruns se nositi s pokretanja procesa i zlonamjernih programa
    7. Koristeći BgInfo za prikaz informacija o sustavu na radnoj površini
    8. Korištenje PsTools za kontrolu drugih računala iz naredbenog retka
    9. Analiziranje i upravljanje vašim datotekama, mapama i pogonima
    10. Zamatanje i korištenje alata zajedno

    Process Explorer, upravitelj zadataka i aplikacija za nadzor sustava, postoji još od 2001. godine, a iako je čak koristio i Windows 9x, moderne verzije podržavaju samo XP i novije verzije, a kontinuirano se ažuriraju značajkama za moderne verzije Windows. To je defacto standard za rješavanje problema u rješavanju problema.

    Dakle, što može učiniti Explorer Explorer učiniti?

    Neke od boljih značajki uključuju sljedeće, iako to nipošto nije iscrpan popis. Ova aplikacija ima mnoge značajke, a mnoge od njih su zakopane duboko unutar sučelja. Nevjerojatno je da je to i vrlo mala datoteka.

    • Zadani prikaz stabla prikazuje hijerarhijski odnos roditelja između procesa i prikaze koji koriste boje za lakše razumijevanje procesa na prvi pogled.
    • Vrlo precizno praćenje korištenja procesora.
    • Može se koristiti za zamjenu upravitelja zadataka, što je posebno korisno na XP, Vista i Windows 7.
    • Može dodati više ikona za praćenje CPU-a, diska, GPU-a, mreže i još mnogo toga.
    • Shvatite koji je proces učitao DLL datoteku.
    • Saznaj koji proces pokreće otvoreni prozor.
    • Shvatite koji proces ima datoteku ili mapu otvorenu i zaključanu.
    • Pregledajte potpune podatke o bilo kojem procesu, uključujući niti, upotrebu memorije, ručke, objekte i sve ostalo što se može znati.
    • Može ubiti cijelo stablo procesa, uključujući sve procese koje je pokrenuo onaj koji odaberete.
    • Može obustaviti proces, zamrznuti sve niti kako ne bi učinili ništa.
    • Može vidjeti koji nit u procesu je zapravo maxing iz CPU.
    • Najnovija verzija (v16) integrira VirusTotal u sučelje tako da možete provjeriti proces za viruse bez napuštanja Process Explorer-a.

    Svaki put kada imate problem s aplikacijom ili nešto što zamrzava na računalu ili možda pokušavate otkriti o čemu se koristi određena DLL datoteka, Process Explorer je alat za taj posao.

    Razumijevanje prikaza stabla

    Kada prvi put pokrenete Process Explorer, odmah vam se prikazuje mnogo vizualnih podataka - postoji hijerarhijski prikaz stabla procesa koji se izvode na vašem računalu, uključujući upotrebu CPU-a i RAM-a pomoću numeričkih vrijednosti za svaki proces. Na vrhu alatne trake prikazuju se mali mali grafikoni aktivnosti koji prikazuju upotrebu CPU-a, na koju se može kliknuti za prikaz u zasebnom prozoru.

    Definitivno se puno toga događa, i bilo bi lako biti preplavljen svime na zaslonu.

    Početni prikaz daje skup stupaca koji uključuju:

    • Postupak - naziv datoteke izvršne datoteke zajedno s ikonom ako postoji.
    • CPU - postotak CPU vremena u zadnjoj sekundi (ili ono što je brzina ažuriranja postavljena na)
    • Privatni bajtovi - količinu memorije dodijeljene ovom programu.
    • Radni skup - iznos stvarnog RAM-a koji je ovom programu dodijelio Windows.
    • PID  - identifikator procesa.
    • Opis - u opisu, ako aplikacija ima jednu.
    • Naziv tvrtke - ovaj je korisniji nego što mislite. Ako nešto nije u redu, počnite tražiti procese koje nije Microsoft.

    Ove stupce možete prilagoditi i dodati još mnoge druge opcije ili možete samo kliknuti na bilo koji stupac za sortiranje po tom polju. Ako ste ikada prije koristili Task Manager, vjerojatno ste ga poredali po memoriji ili CPU-u, a to možete učiniti i ovdje.

    Klikom na Proces prebacit ćete se između sortiranja prema imenu procesa ili povratka na zadani prikaz stabla, što je vrlo korisno kada se naviknete na njega.

    Prikaz se ažurira jednom u sekundi, ali možete ići na Prikaz -> Brzina ažuriranja i prilagoditi učestalost ažuriranja, najniža je 0,5 sekundi, a najviša 10 sekundi. Ako ga koristite za rješavanje problema, zadana vrijednost je vjerojatno u redu, ali ako je želite koristiti kao CPU monitor koji sjedi u paleti sustava, 5 ili 10 sekundi može koristiti manje CPU-a dok radi u pozadini.

    Također možete pauzirati prikaz u istom podizborniku ili jednostavno pritisnuti razmaknicu. To će zamrznuti prikaz kao pravovremenu snimku, što može biti korisno ako pokušavate identificirati proces koji se pokreće i brzo umire, ili ako ste odlučili sortirati prema korištenju CPU-a i svi redovi će se skakati.

    Međutim, u slučaju postupka brzog zatvaranja, željeli biste dodati dodatne stupce u zadani prikaz za sve što biste mogli znati, jer klik na zastarjeli proces na popisu neće se mnogo prikazati u prikazu detalja ako proces se ne izvodi, čak i ako ste sve zaustavili.

    Razumijevanje svih tih boja

    Definitivno postoji mnogo boja u tipičnom Process Explorer popisu, što može biti malo zbunjujuće za početnike. Vrlo je važno saznati što sve te boje znače, jer one nisu tu samo za predstavu - svaka od njih znači nešto važno.

    Kad god se ne možete sjetiti što znači jedna od boja, možete otići u Opcije -> Konfiguriraj boje u izborniku da biste otvorili dijaloški okvir Odabir boje. To je u osnovi brza varalica za sve što znači. Nastavite čitati jer ćemo i ovdje objasniti.

    Na temelju boja na gornjoj slici, ovdje je što znači svaka od odabranih stavki (druge nisu stvarno važne).

    • Novi objekti (svijetlo zelena) - Kada se novi proces pojavi u Process Exploreru, počinje kao svijetlo zelena.
    • Izbrisani objekti (crveni) - Kada se proces ubije ili zatvori, obično će prije brisanja biti crven.
    • Vlastiti procesi (svjetlo plavkasto) - Procesi se izvode kao isti korisnički račun kao Process Explorer.
    • Usluge (svijetlo roza) - Procesi Windows servisa, iako vrijedi napomenuti da oni mogu imati podređene procese koji se pokreću kao različiti korisnik, a to mogu biti različite boje.
    • Suspendirani procesi (tamno siva) - Kada je proces suspendiran, ne može ništa učiniti. Možete jednostavno koristiti Process Explorer da biste suspendirali aplikaciju. Ponekad su se srušene aplikacije nakratko pojavile u sivoj boji dok Windowsi upravljaju padom.
    • Uroni proces (svijetlo plavo) - Ovo je samo fancy način da se kaže da je proces Windows 8 aplikacija pomoću novih API-ja. Na slici ranije ste možda primijetili WSHost.exe, koji je proces Windows Host Host koji pokreće Metro aplikacije. Iz nekog razloga Explorer.exe i Task Manager također će se pojaviti kao potop.
    • Pakirane slike (ljubičasta) - ti procesi mogu sadržavati komprimirani kod skriven unutar njih, ili barem Process Explorer misli da to čine pomoću heuristike. Ako vidite ljubičast proces, svakako potražite zlonamjerni softver!

    Budući da postoji očito preklapanje između tih različitih scenarija, boje će se primijeniti u redoslijedu prioriteta. Ako je proces usluga i obustavljen, prikazat će se u tamnosivoj boji jer je ta boja važnija.

    Od onoga što smo naučili tijekom istraživanja, narudžba je Suspended> Packed> Immersive> Services -> Own Processes.

    Provjera aplikacijskog identiteta

    Jedna stvarno korisna opcija koju smo iznenađeni nije omogućena prema zadanim postavkama nalazi se u Options -> Verify Image Signatures.

    Ova opcija provjerava digitalni potpis za svaku izvršnu datoteku na popisu, što je neprocjenjiv alat za rješavanje problema kada gledate neku sumnjivu aplikaciju koja se izvodi na popisu.

    Velika većina uglednog softvera u ovom trenutku treba digitalno potpisati. Ako nešto nije, trebate pažljivo pogledati trebate li ga koristiti.

    Poduzimanje radnji na nekom procesu

    Možete brzo poduzeti akciju na bilo kojem procesu tako da desnom tipkom miša kliknete na nju i odaberete jednu od opcija ili pomoću tipki prečaca. Te opcije uključuju:

    • Prozor - ima opcije uključujući Bring to Front, što može biti korisno za prepoznavanje prozora povezanog s procesom. Ako nema prozora za taj proces, bit će siv.
    • Postavi prioritet - možete ga koristiti za konfiguriranje prioriteta procesa. To je uglavnom korisno za pripitomljavanje procesa koji ne želite ubiti.
    • Proces ubijanja - baš kao što možete zamisliti, to brzo ubija taj proces.
    • Ubijte stablo procesa - To ubija ne samo stavku na popisu, nego i djecu tog roditeljskog procesa.
    • Ponovno pokretanje - spektakularno korisna tijekom testiranja, to samo ubija proces i zatim ga ponovno pokreće. Važno je napomenuti da procesi ubijanja mogu rezultirati izgubljenim podacima.
    • Obustaviti - ova praktična opcija odlična je za rješavanje problema kada je proces izvan kontrole. Možete jednostavno obustaviti proces umjesto da ga ubijete, i provjerite je li nešto ispalo.
    • Provjerite VirusTotal - ovo je nova opcija koju ćemo dalje objasniti. Prilično je zgodan, jer provjerava viruse.
    • Pretraživanje na mreži - to će samo pretraživati ​​web za naziv procesa.

    I očito ako otvorite Svojstva koja će vas odvesti do još korisnijih informacija o tom procesu, o čemu ćemo u sljedećoj lekciji ući..

    Bilješka: testirali smo opciju Temp, ali nismo imali pojma što radi.

    Pokreće se kao administrator

    Iako ne morate apsolutno pokrenuti Process Explorer kao administrator, a da pritom ne učinite toliko korisnih značajki, nećete moći vidjeti toliko informacija o svakom procesu.

    Ako radite u sustavu Windows XP ili 2003, morat ćete se pokrenuti kao račun s potpunim administratorskim pravima za korištenje većine značajki. To vjerojatno nije problem za većinu ljudi, jer je XP ipak dao zadane privilegije računa, ali ako to pokušavate koristiti na poslu bez administratorskog pristupa, to neće dobro funkcionirati..

    Budući da većina naših čitatelja koristi Windows 7, 8.x ili čak Vista, vjerojatno ćete biti upoznati s pokretanjem aplikacije kao administratora. To je stvarno jednostavno ... samo desnom tipkom miša i odaberite opciju iz izbornika.

    Zabavna činjenica: Process Explorer zapravo koristi povlastice programa Debug Programs, što dug put objašnjava zašto je toliko moćan.

    Prisiljavanje Procesnika da uvijek bude otvoren kao administrator

    Ako želite biti sigurni da se Process Explorer uvijek otvara kao administrator, a da se ne morate sjetiti desnom tipkom miša na nju, možete ga prisiliti izradom posebnog prečaca koji zahtijeva administratorski način rada ili otvaranjem svojstava za procexp.exe, prijeđite na Kompatibilnost, a zatim odaberite opciju za "Pokreni ovaj program kao administrator".

    Bilo kako bilo, sve će biti u redu, ili možete samo onemogućiti UAC ako vam je draže, što sve čini kao administrator stalno. Ne preporučujemo to, ali to možete učiniti.

    Korištenje Process Explorer zamijeniti Task Manager

    Process Explorer je odavno korišten kao moćna zamjena za prethodno anemičnu aplikaciju Task Manager u svakoj verziji sustava Windows prije Windowsa 8, a pretpostavljajući da želite neke stvarne snage u vašim rukama, ona dobro funkcionira kao zamjena u toj verziji..

    Bilješka: Upravitelj zadataka sustava Windows 8 uvelike je poboljšan u odnosu na prethodne verzije. To još uvijek nije tako moćno kao Process Explorer, ali je vjerojatno lakše koristiti običnim ljudima. Dakle, nemojte mijenjati mamin računalo na default Explorer.

    Da bi Process Explorer zamijenio Task Manager (Upravitelj zadataka), sve što trebate učiniti je odabrati opciju Options -> Replace Task Manager iz izbornika. To je to.

    Kada to učinite, pomoću CTRL + SHIFT + ESC ili desnom tipkom miša na programskoj traci pokrenut će se Process Explorer umjesto Upravitelja zadataka. Polako, dobro?

    Upozorenje: ako zamijenite Task Manager, budite apsolutno sigurni da ste stavili Process Explorer na mjesto koje nećete slučajno premjestiti ili izbrisati datoteku. Inače ćete ostati u sustavu koji ne može pokrenuti upravitelj zadataka.

    Korištenje Process Explorer kao Strašan Tray Icon Monitor

    Jedna od najboljih značajki Process Explorera je mogućnost da se minimizira u paleti sustava, ali umjesto samo jedne ikone, može se minimizirati u cijeli skup ikona koje mogu pratiti CPU, I / O, Disk, Network, GPU i RAM ili bilo koja njihova kombinacija. Možete ih konfigurirati tako da se prikazuju odvojeno ili uopće ne, ako želite.

    Da biste to postavili, otvorite izbornik Opcije, idite na odjeljak Ikone u ladici, a zatim kliknite da biste omogućili svaku od ikona u ladici koju želite vidjeti.

    Možete samo pokrenuti Process Explorer svaki put kada pokrenete računalo, a zatim ga smanjite na sistemsku traku tako da će uvijek biti tu za vas. I, naravno, ako ste koristili opciju zamjene upravitelja zadataka, možete joj brzo pristupiti bilo kada pomoću tipke prečaca - iako možda želite koristiti opciju "Dopusti samo jednu instancu" kako biste bili sigurni da ne otvarate hrpa odvojenih prozora.

    Korištenje Process Explorer za brzo pretraživanje VirusTotal

    Ako radite na problematičnom računalu i želite shvatiti je li proces virus, možete se uštedjeti neko vrijeme koristeći Process Explorer inačicu 16 ili noviju, jer su dodali integraciju VirusTotal izravno u aplikaciju. Samo kliknite desnom tipkom na bilo što na popisu da biste vidjeli opciju.

    Kada ga prvi put pokrenete, od vas će se tražiti da prihvatite uvjete upotrebe usluge VirusTotal, ali nakon toga vidjet ćete da se rezultati programa VirusTotal pojavljuju na popisu na popisu.

    Možete kliknuti na rezultat da biste posjetili VirusTotal i vidjeli pojedinosti. To je veliki novi dodatak jednom od najboljih alata ikada.

    Sljedeća lekcija: Korištenje Process Explorera za rješavanje problema i dijagnosticiranje

    U sljedećoj lekciji u našoj seriji ući ćemo u mnogo više detalja o tome kako koristiti Process Explorer u nekim scenarijima iz stvarnog svijeta za rješavanje uobičajenih problema kao što su zlonamjerni softver i crapware. Pobrinite se da ostanete u toku s ostatkom serije.