loader

Porozumění procesu průzkumu

Anonim

Tato lekce v naší sérii Geek School zahrnuje aplikaci Process Explorer, což je možná nejvíce používaná a užitečná aplikace v sadě nástrojů SysInternals. Ale jak dobře tuto utilitu opravdu znáte?

ŠKOLNÍ NAVIGACE

  1. Jaké jsou nástroje SysInternals a jak je používáte?
  2. Porozumění procesu průzkumu
  3. Použití Process Explorer k odstraňování a diagnostice
  4. Porozumění procesu sledování
  5. Použití monitorovacího procesu k odstraňování a nalezení hackerů v registru
  6. Použití autorunů k řešení spouštěcích procesů a malwaru
  7. Pomocí BgInfo zobrazíte informace o systému na ploše
  8. Použití PsTools pro ovládání jiných počítačů z příkazového řádku
  9. Analýza a správa souborů, složek a disků
  10. Zalomení a používání nástrojů společně

Aplikace Process Explorer, správce úloh a systémová monitorovací aplikace jsou od roku 2001 a i když pracují na systému Windows 9x, moderní verze podporují pouze XP a vyšší a byly průběžně aktualizovány funkcemi pro moderní verze Okna. Je to defacto standard pro řešení procesů odstraňování problémů.

Takže co může proces Explorer udělat?

Některé z lepších vlastností zahrnují následující, i když to v žádném případě není vyčerpávající seznam. Tato aplikace má mnoho funkcí a mnohé z nich jsou pohřbené hluboko v rozhraní. Úžasně je to také velmi malý soubor.

  • Výchozí zobrazení stromu zobrazuje hierarchický nadřazený vztah mezi procesy a zobrazuje pomocí barev, aby snadno pochopili procesy na první pohled.
  • Velmi přesné sledování využití procesoru pro procesy.
  • Může být použit pro výměnu Správce úloh, což je užitečné zejména pro XP, Vista a Windows 7.
  • Můžete přidat více ikon na monitoru pro sledování procesoru, disku, GPU, sítě a dalších.
  • Zjistěte, který proces načte soubor DLL.
  • Zjistěte, který proces probíhá v otevřeném okně.
  • Zjistěte, který proces má soubor nebo složku otevřenou a uzamčenou.
  • Zobrazte úplná data o jakémkoli procesu, včetně podprocesů, využití paměti, úchytů, objektů a téměř všeho jiného, ​​co je třeba vědět.
  • Může zabít celý procesový strom, včetně jakýchkoli procesů spuštěných tou, kterou jste se rozhodli zabít.
  • Může pozastavit proces a zmrazit všechny jeho závity, takže nic nedělají.
  • Vidí, který podproces v procesu skutečně maximalizuje CPU.
  • Nejnovější verze (v16) integruje VirusTotal do rozhraní, takže můžete zkontrolovat proces virů, aniž byste opustili program Průzkumník.

Pokaždé, když máte problém s aplikací nebo něco, co na počítači zůstává zamrzlé, nebo se snažíte zjistit, proč je použit konkrétní soubor DLL, nástroj Process Explorer je nástroj pro práci.

Porozumění zobrazení stromu

Když poprvé spustíte aplikaci Process Explorer, máte k dispozici řadu vizuálních dat - hierarchický stromový pohled na procesy běžící na vašem počítači včetně využití procesoru a paměti RAM pomocí číselných hodnot pro každý proces. V horní části panelu nástrojů je zobrazeno několik málo malých aktivních grafů, které ukazují využití CPU, na které lze kliknout, aby se zobrazilo v samostatném okně.

Určitě se toho hodně děje a bylo by snadné ho přemoci vše na obrazovce.

Počáteční zobrazení obsahuje sadu sloupců, které zahrnují:

  • Proces - název souboru spustitelného souboru spolu s ikonou, pokud existuje.
  • CPU - procento času procesoru v poslední sekundě (nebo bez ohledu na rychlost aktualizace je nastavena na)
  • Soukromé bajty - velikost paměti přidělená pouze tomuto programu.
  • Pracovní skupina - velikost skutečné paměti RAM přidělené tomuto programu systémem Windows.
  • PID - identifikátor procesu.
  • Popis - popis, pokud má aplikace jednu.
  • Název společnosti - toto je užitečnější, než si myslíte. Pokud není něco v pořádku, začněte hledáním procesů, které nejsou společností Microsoft.

Tyto sloupce můžete přizpůsobit a přidat mnoho dalších možností, nebo můžete kliknout na některý ze sloupců, který chcete třídit podle daného pole. Pokud jste dříve používali nástroj Správce úloh, pravděpodobně jste je roztřídili podle paměti nebo CPU a můžete to udělat i zde.

Klepnutím na tlačítko Proces se přepne mezi třídění podle názvu procesu nebo návrat do výchozího stromového zobrazení, což je velmi užitečné, jakmile si na to zvyknete.

Pohled se aktualizuje jednou za sekundu, ale můžete přejít na Zobrazit -> Aktualizovat rychlost a přizpůsobit, jak často to aktualizace, nejnižší je 0, 5 sekundy a horní úroveň je 10 sekund. Pokud ji používáte pro řešení problémů, je výchozí hodnota pravděpodobně v pořádku, ale pokud jej chcete použít jako monitor CPU sedící v systémové liště, 5 nebo 10 sekund může používat méně procesoru, zatímco běží na pozadí.

Můžete také pozastavit zobrazení pod stejnou podnabídkou nebo jednoduše stisknutím mezerníku. Tím se zmrazí zobrazení jako snímek v čase, což může být užitečné, pokud se pokoušíte identifikovat proces, který začíná a rychle umírá, nebo pokud jste se rozhodli třídit podle využití CPU a všechny řádky stále skákat.

V případě procesu rychlého zavírání byste však chtěli přidat do výchozího zobrazení další sloupce pro cokoli, co byste potřebovali vědět, protože kliknutí na nezadaný proces v seznamu se v zobrazení podrobností nezobrazí příliš, pokud proces není spuštěn, i když jste všechno pozastavili.

Pochopení všech těchto barev

Existuje určitě mnoho barev v typickém seznamu Process Explorer, který může být trochu matoucí pro začátečníka. Je skutečně důležité se dozvědět, co znamenají všechny tyto barvy, protože tam nejsou jen pro show - každý z nich znamená něco důležitého.

Kdykoli si nepamatujete, co znamená jedna z barev, můžete v nabídce Možnosti -> Konfigurovat barvy vyskakovat dialogové okno Výběr barev. To je v podstatě rychlý podvodný list, na co všechno znamená. Pokračujte ve čtení, protože to vysvětlíme i zde.

Na základě barev na obrázku výše je to, co znamená každá z vybraných položek (ostatní nejsou skutečně důležité).

  • Nové objekty (Jasně zelené) - Když se v Průzkumníku objeví nový proces, začíná jako jasně zelená.
  • Odstraněné objekty (červená) - Když je proces zabit nebo zavřen, bude obvykle před odstraněním blikat červeně.
  • Vlastní procesy (Light Blueish) - Procesy běžící jako stejné uživatelské účty jako Process Explorer.
  • Služby (světle růžové) - procesy služby Windows, přestože stojí za zmínku, že mohou mít podřízené procesy, které jsou spuštěny jako jiný uživatel, a tyto mohou mít jinou barvu.
  • Suspendované procesy (tmavě šedé) - Když je proces pozastaven, nemůže nic dělat. Proces aplikace Explorer můžete snadno pozastavit. Někdy se havarované aplikace krátce zobrazí v šedé barvě, zatímco Windows zpracovává havárii.
  • Imersivní proces (Bright Blue) - Je to jen fantazivní způsob, jak říkat, že proces je aplikace Windows 8 pomocí nových rozhraní API. Na snímku dříve jste si možná všimli WSHost.exe, což je proces "Windows Store Host", který spouští aplikace Metro. Z nějakého důvodu Explorer.exe a Správce úloh se také zobrazí jako ponořující.
  • Balíčky obrázků (Purple) - tyto procesy mohou obsahovat komprimovaný kód skrytý uvnitř těchto procesů nebo alespoň Process Explorer si myslí, že to dělají pomocí heuristiky. Pokud uvidíte fialový proces, nezapomeňte skenovat škodlivý software!

Vzhledem k tomu, že mezi těmito různými scénáři je zřejmě nějaké překrývání, budou barvy aplikovány v pořadí podle priority. Pokud je proces službou a je pozastaven, zobrazí se v tmavě šedé barvě, protože tato barva je důležitější.

Z toho, co jsme se dozvěděli při zkoumání, je objednávka Suspended> Packed> Immersive> Services -> Own Processes.

Ověření identifikace aplikace

Jedna opravdu užitečná volba, kterou překvapíme, není ve výchozím nastavení povolena v části Možnosti -> Ověřit podpisy obrázků.

Tato možnost zkontroluje digitální podpis pro každý spustitelný soubor v seznamu, což je neocenitelný nástroj pro odstraňování problémů při sledování některé podezřelé aplikace, která je spuštěna v seznamu.

Převážná většina renomovaného softwaru by měla být v tomto okamžiku digitálně podepsána. Pokud něco není, měli byste se velmi pečlivě podívat, zda byste ho měli používat.

Učinit kroky v procesu

Můžete rychle podniknout kroky v jakémkoli procesu klepnutím pravým tlačítkem na něj a volbou jedné z možností nebo pomocí klávesových zkratek, pokud chcete. Mezi tyto možnosti patří:

  • Okno - obsahuje volby Bring to Front, které mohou být užitečné při identifikaci okna spojeného s procesem. Pokud pro tento proces nejsou žádné okna, bude šedá.
  • Nastavit prioritu - můžete tuto funkci použít pro konfiguraci priority procesu. To je většinou užitečné pro zkrocení procesu uprchlíků, který nechcete zabít.
  • Kill Process - stejně jako byste si představovali, že tento proces rychle zabije.
  • Kill Process Tree - To zabíjí nejen předmět v seznamu, ale i děti tohoto rodičovského procesu.
  • Restart - velice užitečné při testování, to právě zabije proces a poté ho restartuje. Za zmínku stojí, že procesy zabíjení mohou způsobit ztrátu dat.
  • Pozastavit - tato užitečná volba je skvělá pro odstraňování problémů, když je proces mimo kontrolu. Můžete jednoduše pozastavit proces spíše než zabít ho a zkontrolovat, zda není něco zbytečné.
  • Zkontrolujte VirusTotal - je to nová možnost, kterou budeme dále vysvětlovat. Je to docela užitečné, protože kontroluje proces virů.
  • Vyhledat online - pouze vyhledá na webu název procesu.

A samozřejmě, pokud otevřete vlastnosti, které vás přivedou k ještě užitečnějším informacím o procesu, z čehož se hodně dozvíme v další lekci.

Poznámka: testovali jsme možnost Temp, ale neměli jsme tušení, co dělá.

Spuštění jako správce

Ačkoli nemusíte absolutně spouštět aplikaci Process Explorer jako správce, aniž byste tak učinili, mnoho užitečných funkcí nebude fungovat a nebudete moci vidět tolik informací o každém procesu.

Pokud běžíte v systémech Windows XP nebo 2003, budete muset běžet jako účet s úplnými oprávněními správce, abyste mohli používat většinu funkcí. To pravděpodobně není problém pro většinu lidí, protože XP má výchozí účet plné oprávnění stejně, ale pokud se snažíte používat tuto práci v práci bez přístupu administrátora, nebude fungovat stejně dobře.

Vzhledem k tomu, že většina našich čtenářů používá Windows 7, 8.x nebo dokonce i Vista, budete pravděpodobně znát spuštění aplikace jako správce. Je to opravdu snadné.

stačí kliknout pravým tlačítkem myši a vybrat možnost z nabídky.

Zábavný fakt: Process Explorer skutečně využívá oprávnění Programy ladění, což vysvětluje, proč je tak silná.

Vynutit aplikaci Process Explorer, aby se vždy otevřel jako správce

Pokud se chcete ujistit, že aplikace Process Explorer se vždy otevře jako správce, aniž byste museli zapomínat na pravé tlačítko na něm, můžete ji vynutit vytvořením speciální zástupce, který vyžaduje režim Administrator nebo otevřením vlastností pro proxp.exe, přejít na kompatibilitu a poté zvolit možnost "Spustit tento program jako správce".

Ať tak či tak bude fungovat dobře, nebo byste mohli také vypnout UAC, pokud dáváte přednost, což dělá vše, co běží jako správce po celou dobu. Neodpovídáme tomu, ale můžete to udělat.

Použití Process Explorer k nahrazení Správce úloh

Process Explorer je již dávno používán jako mocná náhrada za předchozí anemickou aplikaci Správce úloh v každé verzi systému Windows před Windows 8 a za předpokladu, že chcete mít nějaký skutečný výkon ve vašich rukou, funguje opravdu dobře jako náhrada v této verzi.

Poznámka: Správce úloh systému Windows 8 se výrazně zlepšil od předchozích verzí. Stále ještě není tak silný jako Process Explorer, ale je to pravděpodobně pro obyčejné lidi snadnější. Takže neměňte měnový počítač s výchozím nastavením Process Explorer.

Chcete-li nástroj Process Explorer nahradit správce úloh, stačí, abyste v nabídce zvolili volbu Možnosti -> Nahradit správce úloh. A je to.

Jakmile to uděláte, pomocí kláves CTRL + SHIFT + ESC nebo pravým klepnutím na panelu úloh spustíte program Process Explorer spíše než správce úloh. Snadné, že?

Upozornění : Pokud nahradíte správce úloh, dejte absolutně jistotu, že jste aplikaci Process Explorer umístili na místo, kde se náhodně nepohybujete nebo neodstraníte. V opačném případě budete uvíznutí systémem, který nemůže spustit správce úloh.

Použití aplikace Průzkumník aplikace Explorer jako sledování ikon Awesome Tray

Jedním z nejlepších vlastností aplikace Process Explorer je možnost minimalizovat ji do systémové lišty, ale namísto jediné ikony se může minimalizovat do plné sady ikon, které mohou monitorovat procesor, I / O, disk, síť, GPU, a RAM, nebo jakákoli jejich kombinace. Můžete je nakonfigurovat tak, aby se zobrazovaly samostatně nebo vůbec ne, pokud chcete.

Chcete-li toto nastavení nastavit, otevřete nabídku Možnosti, přejděte do sekce Ikony zásobníků a potom klepnutím aktivujte jednotlivé ikony zásobníků, které chcete vidět.

Můžete spustit program Průzkumník vždy, když spustíte počítač a minimalizujete ho na systémovém panelu, takže to vždy bude pro vás. A samozřejmě, pokud jste použili možnost nahradit Správce úloh, můžete k němu kdykoliv rychle přistupovat pomocí klávesové zkratky - ačkoliv budete chtít použít možnost "Pouze jedna instance", aby se ujistil, že neotevřete spousta samostatných oken.

Pomocí aplikace Průzkumník pro rychlé vyhledání VirusTotal

Pokud pracujete na problému s počítačem a chcete zjistit, zda je proces virem, můžete ušetřit čas pomocí aplikace Process Explorer verze 16 nebo vyšší, protože jste přidali integraci VirusTotal přímo do aplikace. Stačí kliknout pravým tlačítkem myši na cokoliv v seznamu, abyste viděli možnost.

Při prvním spuštění budete vyzváni, abyste přijali podmínky používání služby VirusTotal, ale poté, co tak učiníte, uvidíte v seznamu výsledky VirusTotal.

Klepnutím na výsledek můžete přejít na VirusTotal a zobrazit podrobnosti. Je to skvělý nový doplněk k jednomu z nejlepších nástrojů kdykoli.

Další lekce: Použití aplikace Průzkumník pro odstraňování a diagnostiku

V další lekci v naší sérii se budeme věnovat mnohem větší hloubce o tom, jak používat Process Explorer v některých scénářích v reálném světě k řešení běžných problémů, jako je malware a crapware. Ujistěte se, že zůstanou naladěny pro zbytek série.

Redakce Choice