Domača » šoli » Razumevanje Process Explorerja

    Razumevanje Process Explorerja

    Ta lekcija v naši seriji Geek School pokriva Process Explorer, morda najbolj uporabljeno in uporabno aplikacijo v orodju SysInternals. Ampak kako dobro veš to korist?

    ŠOLSKA NAVIGACIJA
    1. Kaj so orodja SysInternals in kako jih uporabljate?
    2. Razumevanje Process Explorerja
    3. Uporaba raziskovalca procesov za odpravljanje težav in diagnosticiranje
    4. Razumevanje procesa Monitor
    5. Uporaba Process Monitor za odpravljanje težav in najti registracija Hacks
    6. Uporaba Autoruns za obravnavo zagonskih procesov in Malware
    7. Uporaba BgInfo za prikaz informacij o sistemu na namizju
    8. Uporaba PsTools za nadzor drugih osebnih računalnikov iz ukazne vrstice
    9. Analiziranje in upravljanje datotek, map in pogonov
    10. Zavijanje in uporaba orodij skupaj

    Process Explorer, upravitelj opravil in aplikacija sistemskega nadzornika, je prisoten že od leta 2001, in čeprav je uporabljal celo za Windows 9x, sodobne različice podpirajo le XP in novejše in so se nenehno posodabljale s funkcijami za moderne različice Windows. To je defacto standard za obravnavo postopkov za odpravljanje težav.

    Torej, kaj lahko Process Explorer storiti?

    Nekatere boljše značilnosti vključujejo naslednje, čeprav to nikakor ni izčrpen seznam. Ta aplikacija ima veliko funkcij in veliko jih je zakopanih globoko v vmesniku. Neverjetno je tudi zelo majhna datoteka.

    • Privzeti pogled drevesa prikazuje hierarhično razmerje med nadrejenimi procesi in prikaze z uporabo barv, s katerimi lahko hitro razumete procese.
    • Zelo natančno sledenje uporabe procesorja.
    • Lahko se uporablja za zamenjavo upravitelja opravil, kar je še posebej uporabno pri XP, Vista in Windows 7.
    • Lahko doda več pladenj ikone za spremljanje CPU, Disk, GPU, Network, in še več.
    • Ugotovite, kateri postopek je naložil datoteko DLL.
    • Ugotovite, kateri proces izvaja odprto okno.
    • Ugotovite, kateri proces ima odprto in zaklenjeno datoteko ali mapo.
    • Oglejte si celotne podatke o katerem koli postopku, vključno z nitmi, porabi pomnilnika, ročaji, predmeti in skoraj vsem, kar morate vedeti.
    • Lahko ubije celotno procesno drevo, vključno z vsemi procesi, ki jih je zagnal tisti, ki ga želite ubiti.
    • Lahko ustavi proces, zamrzne vse svoje niti, da ne storijo ničesar.
    • Lahko vidi, katera nit v procesu je dejansko maxing iz CPU.
    • Najnovejša različica (v16) integrira VirusTotal v vmesnik, tako da lahko preverite proces za viruse, ne da bi zapustili Process Explorer.

    Vsakič, ko imate težave z aplikacijo, ali nekaj, kar ohranja zamrznitev na računalniku, ali morda želite ugotoviti, za kaj se uporablja določena datoteka DLL, je Process Explorer orodje za opravilo..

    Razumevanje drevesnega pogleda

    Ko prvič zaženete Process Explorer, se takoj prikažejo številni vizualni podatki - hierarhični pogled na drevo procesov, ki se izvajajo v računalniku, vključno s porabo CPU in RAM z uporabo številčnih vrednosti za vsak proces. Na vrhu orodne vrstice je nekaj majhnih grafov dejavnosti, ki prikazujejo porabo CPE, ki jo lahko kliknete, da se prikaže v ločenem oknu..

    Vsekakor se veliko dogaja, zato bi bilo lahko vse, kar je na zaslonu, preobremenjeno.

    Začetni prikaz vam daje niz stolpcev, ki vključujejo:

    • Proces - ime datoteke izvršilne datoteke skupaj z ikono, če obstaja.
    • CPU - odstotek časa CPE v zadnji sekundi (ali karkoli je hitrost posodobitve nastavljena na)
    • Zasebni bajti - količino pomnilnika, dodeljenega samo temu programu.
    • Delovni komplet - količino dejanskega pomnilnika RAM, ki ga je ta program dodelil Windows.
    • PID  - identifikator postopka.
    • Opis - v opisu, če ima aplikacija.
    • ime podjetja - ta je bolj uporaben, kot si misliš. Če nekaj ni čisto v redu, začnite z iskanjem procesov, ki jih ni Microsoft.

    Te stolpce lahko prilagodite in dodate še veliko drugih možnosti ali pa preprosto kliknete kateri koli stolpec, da ga razvrstite po tem polju. Če ste že kdaj uporabljali upravitelja opravil, ste verjetno razvrstili po pomnilniku ali CPU in to lahko storite tudi tukaj.

    Če kliknete »Proces«, se bo med razvrščanjem po imenu procesa preusmerilo ali pa se boste vrnili na privzeti pogled drevesa, kar je zelo uporabno, ko se navadite nanj.

    Pogled se posodobi enkrat na sekundo, lahko pa si ogledate Pogled -> Hitrost posodabljanja in prilagodite pogostost posodabljanja, najnižja pa je 0,5 sekunde, najvišja pa 10 sekund. Če jo uporabljate za odpravljanje napak, je privzeta vrednost verjetno v redu, če pa jo želite uporabiti kot monitor CPU, ki sedi v sistemskem pladnju, lahko 5 ali 10 sekund porabi manj CPE, medtem ko teče v ozadju.

    Pogled lahko tudi prekinete pod istim podmenijem ali pa preprosto pritisnete preslednico. To bo zamrznilo pogled kot časovni posnetek, kar je lahko uporabno, če želite poiskati proces, ki se začne in hitro umira, ali če ste se odločili razvrstiti po porabi procesorja, in vse vrstice bodo skakale.

    V primeru hitrega postopka zapiranja pa želite v privzeti pogled dodati dodatne stolpce za vse, kar boste morda morali vedeti, ker s klikom na nepotreben proces na seznamu v pogledu podrobnosti ne bo veliko, če Postopek se ne izvaja, tudi če ste vse zaustavili.

    Razumevanje vseh teh barv

    Obstaja definitivno veliko barv v tipičnem seznamu Process Explorer, ki je lahko za začetnike malo zmeden. Res je pomembno, da se naučite, kaj vse te barve pomenijo, ker niso samo za predstavo - vsak od njih pomeni nekaj pomembnega.

    Kadarkoli se ne spomnite, kaj pomeni ena od barv, lahko v meniju izberete Možnosti -> Konfiguriraj barve, da se prikaže pogovorno okno Izbira barv. To je v bistvu hitro goljufija list za vse, kar pomeni. Nadaljuj z branjem, saj bomo tudi tukaj razložili.

    Glede na barve na zgornji sliki je to, kar pomeni vsak od izbranih elementov (drugi niso resnično pomembni).

    • Novi predmeti (svetlo zelena) - Ko se v Process Explorerju pokaže nov proces, se začne svetlo zelen.
    • Izbrisani objekti (rdeča) - Ko je proces ubit ali se zapre, bo običajno pred brisanjem utripal rdeče.
    • Lastni procesi (svetlo modrikasta) - Procesi se izvajajo kot isti uporabniški račun kot Process Explorer.
    • Storitve (svetlo roza) - Procesi storitve Windows, čeprav je vredno omeniti, da imajo morda podrejene procese, ki se zaženejo kot drug uporabnik, in ti so lahko drugačne barve.
    • Suspended Processes (Temno siva) - Ko je proces ustavljen, ne more storiti ničesar. Procesni raziskovalec lahko preprosto začasno ustavite. Včasih so se zrušeni programi na kratko prikazali v sivi barvi, medtem ko Windows upravlja s sesutjem.
    • Potopni proces (svetlo modra) - To je samo domišljijski način, da je proces Windows 8, ki uporablja nove API-je. V prejšnjem posnetku zaslona ste morda opazili WSHost.exe, ki je proces Windows Host Host, ki izvaja Metro aplikacije. Iz neznanega razloga se bo Explorer.exe in upravitelj opravil prikazal kot poglobljen.
    • Pakirane slike (vijolična) - ti procesi lahko vsebujejo stisnjeno kodo, skrito znotraj njih, ali pa vsaj Process Explorer meni, da to počnejo s hevristiko. Če opazite vijoličen proces, preverite, ali ste zlonamerno programsko opremo!

    Ker obstajajo očitna prekrivanja med temi različnimi scenariji, se barve uporabijo v vrstnem redu vrstnega reda. Če je postopek storitev in je prekinjena, se bo prikazala v temno sivi barvi, ker je ta barva pomembnejša.

    Od tistega, kar smo se naučili med raziskovanjem, je naročilo Suspended> Packed> Immersive> Services -> Own Processes.

    Preverjanje identitete aplikacije

    Ena resnično uporabna možnost, ki je presenečena, ni privzeto omogočena v Options -> Verify Image Signatures.

    Ta možnost bo preverila digitalni podpis za vsako izvršljivo datoteko na seznamu, kar je neprecenljivo orodje za odpravljanje težav, če iščete sumljivo aplikacijo, ki se izvaja na seznamu.

    Velika večina ugledne programske opreme mora biti digitalno podpisana na tej točki. Če nekaj ni, morate pazljivo preučiti, ali ga boste uporabljali.

    Ukrepanje v postopku

    Na vsak proces lahko hitro ukrepate tako, da ga kliknete z desno tipko miške in izberete eno od možnosti ali z bližnjicami, če vam je ljubše. Te možnosti vključujejo:

    • Okno - ima možnosti, ki vključujejo Bring to Front, kar je lahko koristno pri prepoznavanju okna, povezanega s procesom. Če za ta proces ni oken, bo zasenčen.
    • Nastavi prioriteto - s tem lahko konfigurirate prednost procesa. To je večinoma uporabno za krojenje pobeglih procesov, ki jih ne želite ubiti.
    • Kill Process - tako kot si lahko predstavljate, to hitro ubije ta proces.
    • Kill Process Tree - To ne ubije samo elementa na seznamu, ampak tudi otroke tega starševskega procesa.
    • Ponovni zagon - izjemno koristno med testiranjem, to samo ubije proces in ga nato ponovno zažene. Treba je omeniti, da lahko proces ubijanja povzroči izgubo podatkov.
    • Ustavite - Ta priročna možnost je odlična za odpravljanje težav, ko je postopek izven nadzora. Postopek lahko preprosto prekinete, namesto da bi ga ubili, in preverite, ali je karkoli izločeno.
    • Preverite VirusTotal - to je nova možnost, ki jo bomo podrobneje pojasnili. Pravzaprav je zelo priročen, saj preveri proces za viruse.
    • Iskanje v spletu - s tem boste poiskali ime procesa po spletu.

    In očitno, če odprete Lastnosti, ki vas bodo popeljale do še bolj uporabnih informacij o procesu, od katerih bomo prejeli v naslednjo lekcijo.

    Opomba: preizkusili smo možnost Temp, vendar nismo imeli pojma, kaj počne.

    Zažene kot skrbnik

    Čeprav ni nujno, da izvajate Process Explorer kot skrbnik, ne da bi uporabili toliko uporabnih funkcij, da ne bo delovalo, in ne boste mogli videti toliko informacij o vsakem postopku..

    Če uporabljate operacijski sistem Windows XP ali 2003, morate biti zagnan kot račun, ki ima popolne pravice skrbnika za uporabo večine funkcij. To verjetno ni problem za večino ljudi, ker je XP vseeno podelil privzete privilegije polnega računa, vendar če to želite uporabiti pri delu brez skrbniškega dostopa, to ne bo delovalo tako dobro..

    Ker večina naših bralcev uporablja Windows 7, 8.x ali celo Vista, boste verjetno poznali izvajanje aplikacije kot skrbnika. To je zelo enostavno ... samo z desno tipko miške kliknite in izberite možnost v meniju.

    Zanimivost: Process Explorer dejansko uporablja privilegij programa Debug Programs, kar pomeni, da je veliko, da bi razložili, zakaj je tako močan.

    Prisiljevanje procesnega raziskovalca, da se vedno odpre kot skrbnik

    Če želite zagotoviti, da se Process Explorer vedno odpre kot skrbnik, ne da bi vam bilo treba zapomniti, da ga kliknete z desno tipko miške, ga lahko uporabite tako, da naredite posebno bližnjico, ki zahteva način skrbnika, ali pa odprete Lastnosti za procexp.exe, Če se odločite za združljivost, potem izberite možnost za »Zagon programa kot skrbnika«.

    Kakorkoli, bo vse v redu, ali pa lahko tudi onemogočite UAC, če vam je ljubše, zaradi česar vse deluje kot skrbnik ves čas. Tega ne priporočamo, ampak to lahko storite.

    Z orodjem Process Explorer zamenjajte upravitelja opravil

    Process Explorer se že dolgo uporablja kot močna zamenjava za prej anemično aplikacijo Task Manager v vseh različicah operacijskega sistema Windows pred Windows 8, in če predpostavimo, da želite nekaj resnične moči v svojih rokah, deluje zelo dobro kot zamenjava v tej različici..

    Opomba: Upravitelj opravil Windows 8 je v primerjavi s prejšnjimi različicami zelo izboljšan. Še vedno ni tako močan kot Process Explorer, vendar je verjetno lažje za navadne ljudi. Zato ne spreminjajte mamin računalnik na privzeto nastavitev Process Explorer.

    Če želite, da Process Explorer nadomesti upravitelja opravil, morate le v meniju izbrati možnost Možnosti -> Zamenjaj upravitelja opravil. To je to.

    Ko to storite, boste s CTRL + SHIFT + ESC ali z desnim klikom na opravilni vrstici namesto upravitelja opravil zagnali Process Explorer. Počasi, prav?

    Opozorilo: če zamenjate upravitelja opravil, se prepričajte, da ste postavili Process Explorer na mesto, kjer ne boste pomotoma premaknili ali izbrisali datoteke. V nasprotnem primeru boste obtičali v sistemu, ki ne more zagnati nobenega upravitelja opravil.

    Uporaba Process Explorerja kot Awesome Icon Tray Monitor

    Ena izmed najboljših lastnosti programa Process Explorer je možnost, da jo zmanjšate v sistemski pladenj, vendar se lahko namesto le ene ikone zmanjša v celoten nabor ikon, ki lahko nadzirajo CPU, I / O, Disk, Network, GPU in RAM ali katera koli druga kombinacija. Lahko jih nastavite tako, da se prikažejo ločeno ali sploh ne, če želite.

    Če želite to nastaviti, odprite meni Možnosti, pojdite v razdelek Ikone v pladnju in kliknite, da omogočite vsak od ikon na pladnju, ki bi jih radi videli..

    Lahko samo zaženete Process Explorer vsakič, ko začnete izvajati računalnik, nato pa ga zmanjšajte na sistemski pladenj, tako da bo vedno na voljo za vas. In seveda, če ste uporabili možnost zamenjave upravitelja opravil, lahko hitro dostopate do nje s tipko za bližnjico - čeprav boste morda želeli uporabiti možnost »Dovoli samo en primer«, da se prepričate, da ne odprete kup ločenih oken.

    Uporaba Process Explorer za hitro iskanje VirusTotal

    Če delate na problematičnem računalniku in želite ugotoviti, ali je proces virus, si lahko prihranite nekaj časa s programom Process Explorer različice 16 ali višje, ker so dodali integracijo VirusTotal neposredno v aplikacijo. Samo desno tipko kliknite na karkoli na seznamu, da vidite možnost.

    Ko ga prvič zaženete, boste pozvani, da sprejmete pogoje uporabe za VirusTotal, potem ko boste to storili, boste videli rezultate programa VirusTotal, ki so prikazani na seznamu..

    Lahko kliknete na rezultat in obiščete VirusTotal in si ogledate podrobnosti. To je odličen nov dodatek k eni izmed najboljših javnih storitev.

    Naslednja lekcija: Uporaba raziskovalca procesov za odpravljanje težav in diagnosticiranje

    V naslednji lekciji iz naše serije bomo preučili veliko več o tem, kako uporabiti Process Explorer v nekaterih resničnih scenarijih za odpravljanje pogostih težav, kot so malware in crapware. Poskrbite, da ostanete z nami za preostanek serije.