Hemsida » skola » Förstå Process Explorer

    Förstå Process Explorer

    Denna lektion i vår Geek School-serie omfattar Process Explorer, kanske den mest använda och användbara applikationen i SysInternals verktygssats. Men hur bra vet du verkligen det här verktyget?

    SCHOOL NAVIGATION
    1. Vad är SysInternals Tools och hur använder du dem?
    2. Förstå Process Explorer
    3. Använda Process Explorer för att felsöka och diagnostisera
    4. Förstå Process Monitor
    5. Använda Process Monitor för att felsöka och hitta registerhackar
    6. Använda Autoruns att hantera startprocesser och skadlig kod
    7. Använda BgInfo för att visa systeminformation på skrivbordet
    8. Använda PsTools för att styra andra datorer från kommandoraden
    9. Analysera och hantera dina filer, mappar och enheter
    10. Förpackning och användning av verktygen tillsammans

    Process Explorer, en uppgiftshanterare och systemövervakningsapplikation, har funnits sedan 2001 och samtidigt som den brukade fungera på Windows 9x, stödjer de moderna versionerna bara XP och över, och de har kontinuerligt uppdaterats med funktioner för moderna versioner av Windows. Det är defacto-standarden för hantering av felsökningsprocesser.

    Så vad kan Process Explorer göra?

    Några av de bättre funktionerna inkluderar följande, även om detta inte alls är en uttömmande lista. Denna applikation har många funktioner, och många av dem är begravda djupt inom gränssnittet. Förunderligt är det också en mycket liten fil.

    • Standard trädvyn visar det hierarkiska förälderförhållandet mellan processer och visar med färger för att enkelt förstå processer vid en blick.
    • Mycket noggrann CPU-användarspårning för processer.
    • Kan användas för att ersätta uppgiftshanteraren, vilket är särskilt användbart på XP, Vista och Windows 7.
    • Kan lägga till flera ikoner för bricka för att övervaka CPU, Disk, GPU, Nätverk och mer.
    • Ta reda på vilken process som har laddat en DLL-fil.
    • Ta reda på vilken process som kör ett öppet fönster.
    • Ta reda på vilken process som har en fil eller mapp öppen och låst.
    • Visa fullständiga data om alla processer, inklusive trådar, minnesanvändning, handtag, objekt och ganska mycket annat som finns att veta.
    • Kan döda ett helt processträd, inklusive eventuella processer som startats av den du väljer att döda.
    • Kan upphäva en process, frysa alla trådar så att de inte gör någonting.
    • Kan se vilken tråd i en process som faktiskt maximerar CPU: n.
    • Den senaste versionen (v16) integrerar VirusTotal i gränssnittet så att du kan kontrollera en process för virus utan att lämna Process Explorer.

    När som helst du har problem med en applikation, eller något håller frysning på din dator, eller kanske du försöker lista ut vad en viss DLL-fil används för, är Process Explorer verktyget för jobbet.

    Förstå trädvisningen

    När du startar Process Explorer, presenteras du en hel del visuella data direkt - det finns en hierarkisk trädvy över processerna som körs på din dator, inklusive CPU och RAM-användning med numeriska värden för varje process. Det finns några små miniaktivitetsgrafer som körs högst upp i verktygsfältet och visar dig CPU-användningen, som kan klickas på för att visas i ett separat fönster.

    Det är definitivt mycket på gång, och det skulle vara lätt att bli överväldigad av allt på skärmen.

    Den ursprungliga skärmen ger dig en uppsättning kolumner som inkluderar:

    • Bearbeta - filnamnet på den körbara tillsammans med ikonen om en existerar.
    • CPU - procentsatsen för CPU-tid under den sista sekunden (eller vad som helst uppdateringshastigheten är inställd på)
    • Privata byte - Mängden minne som allokeras till detta program ensamt.
    • Arbetssätt - mängden faktiskt RAM som tilldelats detta program av Windows.
    • PID  - processidentifieraren.
    • Beskrivning - beskrivningen, om ansökan har en.
    • Företagsnamn - den här är mer användbar än du tror. Om något inte är rätt, börja med att leta efter processer som inte är av Microsoft.

    Du kan anpassa dessa kolumner och lägga till många andra alternativ, eller du kan bara klicka på någon av kolumnerna för att sortera efter det fältet. Om du någonsin har använt uppgiftshanteraren tidigare har du förmodligen sorterats efter minne eller CPU, och du kan också göra det här också.

    Om du klickar på Process bläddrar du mellan sortering med processnamnet eller går tillbaka till standard trädvyn, vilket är mycket användbart när du vänjer dig.

    Vyn uppdateras en gång per sekund, men du kan gå till Visa -> Uppdateringshastighet och anpassa hur ofta det uppdateras, det lägsta är 0,5 sekunder och toppnivån är 10 sekunder. Om du använder den för felsökning är standardvärdet förmodligen bra, men om du vill använda det som en CPU-monitor i systemfältet kan 5 eller 10 sekunder använda mindre CPU medan den körs i bakgrunden.

    Du kan också pausa vyn under samma undermeny eller genom att helt enkelt trycka på mellanslagstangenten. Detta kommer att frysa vyn som en ögonblicksbild i tid, vilket kan vara användbart om du försöker identifiera en process som börjar och snabbt dör, eller om du har bestämt att sortera efter CPU-användning och alla rader fortsätter att hoppa runt.

    I händelse av en snabb slutprocess vill du dock lägga till extra kolumner i standardvynet för allt du kanske behöver veta eftersom att klicka på en avvecklad process i listan inte kommer att visas mycket i detaljvy om processen går inte, även om du pausade allt.

    Förstå alla dessa färger

    Det finns definitivt många färger i en typisk Process Explorer-lista, som kan vara lite förvirrande för nybörjarkernen. Det är väldigt viktigt att lära sig vad alla dessa färger betyder, för att de inte är där bara för att visa - de menar någonting viktigt.

    När du inte kommer ihåg vad en av färgerna betyder kan du gå till Alternativ -> Konfigurera färger på menyn för att dra upp dialogrutan Färgval. Detta är i grunden ett snabbt fuskblad till vad allting betyder. Fortsätt läsa, eftersom vi kommer att förklara det här också.

    Baserat på färgerna på bilden ovan är här vad vart och ett av de valda objekten betyder (de andra är inte riktigt viktiga).

    • Nya objekt (Bright Green) - När en ny process visas i Process Explorer, börjar den som ljusgrön.
    • Raderade objekt (borttagna objekt) - När en process dödas eller stängs kommer den vanligtvis att blinka rött strax före radering.
    • Egna processer (Light Blueish) - Processer som körs som samma användarkonto som Process Explorer.
    • Tjänster (ljusrosa) - Windows Service-processer, även om det är värt att notera att de kan ha barnprocesser som lanseras som en annan användare, och de kan ha en annan färg.
    • Upphängda processer (mörkgrå) - När en process är avstängd kan den inte göra någonting. Du kan enkelt använda Process Explorer för att avbryta en ansökan. Ibland visas kraschade apps kort i grått medan Windows hanterar kraschen.
    • Immersiv process (ljusblå) - Det här är bara ett fint sätt att säga att processen är en Windows 8-applikation med de nya API-erna. I skärmdumpen tidigare kanske du har märkt WSHost.exe, vilket är en "Windows Store Host" -process som kör Metro apps. Av någon anledning kommer Explorer.exe och Task Manager också att dyka upp.
    • Packade bilder (lila) - dessa processer kan innehålla komprimerad kod gömd inuti dem, eller åtminstone Process Explorer tycker att de gör med hjälp av heuristics. Om du ser en lila process, se till att du söker efter skadlig kod!

    Eftersom det finns uppenbarligen viss överlappning mellan dessa olika scenarier, kommer färgerna att appliceras i en prioritetsordning. Om en process är en tjänst och är avstängd, kommer den att visas i mörkgrå eftersom den färgen är viktigare.

    Från vad vi har lärt oss när vi forskar, är ordern Suspended> Packed> Immersive> Services -> Own Processes.

    Verifiera applikationsidentitet

    Ett riktigt användbart alternativ som vi är förvånad över är inte aktiverat som standard finns i Alternativ -> Verifiera bildsignaturer.

    Det här alternativet kommer att kontrollera den digitala signaturen för varje körbar fil i listan, vilket är ett ovärderligt felsökningsverktyg när du tittar på någon misstänkt program som körs i listan.

    Den stora majoriteten av ansedd programvara bör vara digitalt signerad vid denna tidpunkt. Om något inte är, bör du titta mycket noggrant på om du ska använda den.

    Åtgärda en process

    Du kan snabbt vidta åtgärder på alla processer genom att högerklicka på den och välja mellan ett av alternativen eller genom att använda genvägarna om du föredrar det. Dessa alternativ inkluderar:

    • Fönster - har alternativ inklusive Bring to Front, vilket kan vara användbart för att identifiera fönstret som är associerat med en process. Om det inte finns några fönster för den processen blir den gråtonad.
    • Prioritera - du kan använda detta för att konfigurera prioriteten för en process. Det här är mest användbart för att tama en bortgångsprocess som du inte vill döda.
    • Döda Process - precis som du skulle föreställa dig, detta dödar snabbt den processen.
    • Döda Process Tree - Detta dödar inte bara föremålet i listan, utan också barnen i den moderprocessen.
    • Omstart - spektakulärt användbar vid testning, detta dödar bara processen och startar om det. Det är värt att notera att dödsprocesser kan resultera i förlorade data.
    • Suspendera - detta praktiska alternativ är bra för felsökning när en process är out of control. Du kan helt enkelt avbryta processen i stället för att döda den, och kontrollera om något är otroligt.
    • Kontrollera VirusTotal - Detta är ett nytt alternativ som vi kommer att förklara längre fram. Det är ganska praktiskt, eftersom det kontrollerar processen för virus.
    • Sök på nätet - Detta kommer bara att söka på webben för namnet på processen.

    Och självklart om du öppnar Egenskaper som tar dig till ännu mer användbar information om processen, kommer vi mycket in i nästa lektion.

    Notera: Vi testade ut Temp-alternativet men hade ingen aning om vad den gjorde.

    Kör som administratör

    Medan du inte absolut behöver köra Process Explorer som administratör, så kommer många av de användbara funktionerna inte att fungera, och du kommer inte att kunna se så mycket information om varje process.

    Om du kör på Windows XP eller 2003 måste du köra som ett konto som har fullständiga administratörsrättigheter för att använda de flesta funktionerna. Det här är förmodligen inte ett problem för de flesta, eftersom XP alltid gav standardkontot fullständiga privilegier, men om du försöker använda det här på jobbet utan administratörsbehörighet, fungerar det inte lika bra.

    Eftersom de flesta av våra läsare använder Windows 7, 8.x eller till och med Vista, kommer du förmodligen att känna till att du kör ett program som administratör. Det är väldigt enkelt ... bara högerklicka och välj alternativet från menyn.

    Rolig fakta: Process Explorer använder faktiskt debugprogrammets privilegium, vilket går långt för att förklara varför det är så kraftfullt.

    Tvinga Process Explorer att alltid öppna som administratör

    Om du vill se till att Process Explorer alltid öppnas som Administratör utan att behöva komma ihåg att högerklicka på den kan du tvinga det genom att antingen skapa en speciell genväg som kräver administratörsläge eller genom att öppna egenskaperna för procedur.exe, går till Kompatibilitet och väljer sedan alternativet "Kör detta program som administratör".

    Hur som helst kommer att fungera bra, eller du kan också inaktivera UAC om du föredrar, vilket gör att allt körs som administratör hela tiden. Vi rekommenderar inte det, men du kan göra det.

    Använda Process Explorer för att ersätta uppgiftshanteraren

    Process Explorer har länge använts som en kraftfull ersättning för den tidigare anemiska Task Manager-applikationen i alla versioner av Windows före Windows 8, och förutsatt att du vill ha verklig kraft i dina händer, fungerar det verkligen bra som en ersättare i den versionen också.

    Notera: Windows 8s arbetshanterare förbättras kraftigt från tidigare versioner. Det är fortfarande inte lika kraftfullt som Process Explorer, men det är nog lättare för vanliga människor att använda. Så byt inte mammas dator till standard för Process Explorer.

    För att få Process Explorer att ersätta Verktygshanteraren är allt du behöver göra genom att välja Alternativ -> Byt upp Task Manager från menyn. Det är allt.

    När du väl har gjort det, använder du CTRL + SHIFT + ESC eller högerklickning på Aktivitetsfältet, både Process Explorer och Task Manager. Lätt, rätt?

    Varning: Om du ersätter Aktivitetshanteraren, var helt säker på att du har satt Process Explorer på ett ställe där du inte kommer att flytta eller radera filen av misstag. Annars kommer du fastna med ett system som inte kan starta någon Task Manager.

    Använda Process Explorer som en fantastisk Tray Icon Monitor

    En av de bästa funktionerna i Process Explorer är möjligheten att minimera den i systemfältet, men i stället för bara en enda ikon kan den minimera till en komplett uppsättning ikoner som kan övervaka CPU, I / O, Disk, Nätverk, GPU , och RAM, eller någon kombination av dem. Du kan konfigurera dem för att visas separat, eller inte alls, om du föredrar det.

    För att ställa in detta öppnar du menyn Alternativ, går till avsnittet Fackikon och klickar sedan på för att aktivera var och en av fackikonerna som du vill se.

    Du kan bara köra Process Explorer varje gång du börjar köra datorn och minimera den till systemfältet så det kommer alltid att finnas där för dig. Och självklart, om du använde alternativet att ersätta uppgiftshanteraren, kan du snabbt komma åt det med en genvägsknapp - men du kanske vill använda alternativet "Tillåt bara en instans" för att se till att du inte öppnar en gäng separata fönster.

    Använda Process Explorer för att snabbt söka efter VirusTotal

    Om du arbetar på en problem-dator och vill ta reda på om en process är ett virus, kan du spara dig lite tid genom att använda Process Explorer version 16 eller senare, eftersom de har lagt till VirusTotal-integration direkt i applikationen. Högerklicka bara på något i listan för att se alternativet.

    Första gången du kör det, blir du ombedd att acceptera användarvillkoren för VirusTotal, men efter det gör du att VirusTotal-resultaten visas direkt i listan.

    Du kan klicka på resultatet för att gå till VirusTotal och se detaljerna. Det är ett bra nytt tillägg till ett av de bästa verktygen någonsin.

    Nästa lektion: Använda Process Explorer för att felsöka och diagnostisera

    I nästa lektion i vår serie kommer vi att gå in på mycket mer djup om hur man använder Process Explorer i vissa verkliga scenarier för att felsöka vanliga problem som skadlig programvara och crapware. Se till att du håller dig inställd på resten av serien.