Razumijevanje procesa Explorer

Ova lekcija u našoj sobi za Geek škole obuhvaća Process Explorer, možda najčešće korištenu i korisnu aplikaciju u SysInternalsovom alatu. Ali kako dobro doista znate ovaj program?

NAVIGACIJA ŠKOLE

1. Koji su alati SysInternals i kako ih koristite?
2. Razumijevanje procesa Explorer
3. Upotrebljavajući Process Explorer za otklanjanje poteškoća i dijagnosticiranje
4. Razumijevanje procesnog nadzora
5. Korištenje Process Monitor za otklanjanje poteškoća i pronalaženje hackova registra
6. Upotreba autoruna za rješavanje procesa pokretanja i zlonamjernog softvera
7. Korištenje BgInfo-a za prikaz informacija o sustavu na radnoj površini
8. Koristeći PsTools za upravljanje drugim računalima iz Command Line
9. Analiza i upravljanje datotekama, mapama i pogonima
10. Zatvaranje i upotreba alata zajedno

Process Explorer, aplikacija za upravljanje zadacima i aplikacija za nadzor sustava odvija se od 2001. godine, a dok je rabio čak i na sustavu Windows 9x, suvremene inačice podržavaju samo XP i više, a neprekidno su ažurirane sa značajkama za moderne verzije Windows. To je defacto standard za rješavanje problema rješavanja procesa.

Pa što može obraditi Explorer?

Neke od boljih značajki uključuju sljedeće, iako to nikako nije iscrpan popis. Ova aplikacija ima mnoge značajke, a mnogi od njih su duboko zakopani unutar sučelja. Iznenađujuće je i vrlo mala datoteka.

• Zadani prikaz stabla prikazuje hijerarhijski roditeljski odnos između procesa, a prikazuje se pomoću boja kako bi se lako razumjeli postupci na prvi pogled.
• Vrlo točno praćenje korištenja procesora za procese.
• Može se koristiti za zamjenu Task Manager, što je posebno korisno za XP, Vista i Windows 7.
• Može dodati više ikona ladice za praćenje procesora, diska, GPU-a, mreže i još mnogo toga.
• Saznajte koji je proces učitao DLL datoteku.
• Saznajte koji je proces pokrenut otvorenim prozorom.
• Saznajte koji proces ima datoteku ili mapu otvorenu i zaključanu.
• Pregledajte potpune podatke o bilo kojem postupku, uključujući teme, korištenje memorije, ručke, objekte i prilično mnogo drugo što treba znati.
• Može ubiti cijelo stablo procesa, uključujući sve procese koje pokreće onaj kojeg odlučite ubiti.
• Može suspendirati proces, zamrzavanje svih svojih niti kako ne bi učinili ništa.
• Može vidjeti koja je nit u procesu zapravo maxing out CPU.
• Najnovija verzija (v16) integrira VirusTotal u sučelje tako da možete provjeriti postupak za viruse bez napuštanja Process Explorera.

Svaki put kada imate problem s aplikacijom ili se nešto smrzne na računalu ili možda pokušavate utvrditi koja se određena DLL datoteka koristi, Process Explorer je alat za taj posao.

Razumijevanje stabla

Prilikom prvog pokretanja procesnog preglednika odmah ste predstavljeni s puno vizualnih podataka - postoji hijerarhijski prikaz stabala procesa koji se izvode na vašem računalu, uključujući procesnu i RAM-ovu upotrebu pomoću numeričkih vrijednosti za svaki proces. Na alatnoj traci prikazuju se mali grafikoni mini aktivnosti, koji prikazuju upotrebu procesora, na koje se možete kliknuti za prikaz u zasebnom prozoru.

Definitivno se puno toga događa, i bilo bi lako biti preplavljeno svime na zaslonu.

Početni prikaz sadrži skup stupaca koji uključuju:

• Postupak - naziv datoteke izvršne datoteke zajedno s ikonom ako postoji.
• CPU - postotak vremena CPU-a u posljednjoj sekundi (ili bez obzira na brzinu ažuriranja)
• Privatni bytes - količinu memorije koja se dodjeljuje samo ovom programu.
• Radni set - količinu stvarnog RAM-a koji ovaj program dodjeljuje Windows.
• PID - identifikator procesa.
• Opis - opis, ako program ima jedan.
• Naziv tvrtke - ovo je korisnije nego što mislite. Ako nešto nije u redu, počnite tražiti procese koji nisu Microsoftovi.

Možete prilagoditi te stupce i dodati mnoge druge opcije ili možete kliknuti bilo koji stupac koji želite sortirati po tom polju. Ako ste ikada prije upotrebljavali Upravitelja zadataka, vjerojatno ste ih razvrstali pomoću memorije ili CPU-a, a vi to možete učiniti i ovdje.

Ako kliknete na Proces, prebacit ćete se između razvrstavanja prema nazivu procesa ili se vratite na zadani prikaz stabla što je vrlo korisno kada se naviknete na njega.

Pogled se ažurira jednom u sekundi, ali možete ići na View -> Ažuriranje brzine i prilagoditi koliko se često ažurira, a najniža je 0.5 sekundi, a najviša razina je 10 sekundi. Ako ga koristite za rješavanje problema, zadana je vrijednost vjerojatno dobra, ali ako ga želite koristiti kao CPU monitora koji sjedi na paleti sustava, 5 ili 10 sekundi može koristiti manje CPU-a dok se pokreće u pozadini.

Također možete pauzirati prikaz pod istim podizbornikom ili jednostavno pritisnete razmaknicu. To će zamrznuti prikaz kao snimku u vremenu, što može biti korisno ako pokušavate identificirati proces koji počinje i brzo će umrijeti ili ako ste odlučili razvrstati prema korištenju CPU-a, a svi redovi i dalje skakanje.

U slučaju brzog zatvaranja, međutim, želite dodati dodatne stupce u zadani vlasnički pregled za sve što možda trebate znati jer klikom na odstranjeni postupak na popisu neće se puno prikazati u prikazu pojedinosti ako proces se ne pokreće, čak i ako ste sve zaustavili.

Razumijevanje svih tih boja

Definitivno postoji mnogo boja na tipičnom popisu Proces Explorer, što može biti malo zbunjujuće za početničke geekove. Vrlo je važno naučiti što sve te boje znače, jer nisu tamo samo za emisiju - one znače nešto važno.

Kad god se ne možete sjetiti što jedna od boja znači, možete otvoriti Opcije -> Konfiguracija boja u izborniku da biste podigli izbornik Boja odabira boja.To je u osnovi brz prevariti list na ono što sve znači. Nastavite čitati, jer ćemo i ovdje objasniti.

Na temelju boja na gornjoj slici, ovdje je ono što svaka od odabranih stavki znači (drugi nisu stvarno važni).

• Novi objekti (svijetlo zeleno) - Kada se novi proces pojavi u procesnom pretraživaču, započinje svijetlo zeleno.
• Izbrisani objekti (crveni) - Kada se postupak ubije ili zatvori obično će treperiti crveno prije brisanja.
• Vlastiti procesi (svijetloplavi) - Procesi koji se izvode kao isti korisnički račun kao Process Explorer.
• Usluge (svijetlo roza) - Windows Service procese, iako je istaknuto da mogu imati dječje procese koji se pokreću kao drugačiji korisnik, a one mogu biti različite boje.
• Obustavljeni procesi (tamno siva) - Kada je proces obustavljen, ne može ništa učiniti. Proces Explorer možete jednostavno koristiti za obustavljanje aplikacije. Katkad se aplikacije srušene nakratko pojavljuju u sivim bojama dok se Windows rukuje padom.
• Immersive Process (Svijetla plava) - Ovo je samo fantastičan način izreke da je proces Windows 8 aplikacija pomoću novih API-ja. U snimci zaslona ranije možda ste primijetili WSHost.exe, koji je proces "Windows Store Host" koji pokreće Metro aplikacije. Iz nekog razloga Explorer.exe i Upravitelj zadataka također će se pojaviti kao poticajni.
• Pakirane slike (ljubičasto) - ti procesi mogu sadržavati komprimirani kod koji je skriven unutar njih, ili barem procesni Explorer misli da rade pomoću heuristike. Ako vidite ljubičasti proces, pobrinite se za skeniranje zlonamjernog softvera!

Budući da postoji očigledno preklapanje između ovih različitih scenarija, boje će se primjenjivati ​​u redoslijedu prednosti. Ako je proces usluga i obustavljen, prikazat će se tamno siva jer je ta boja važnija.

Od onoga što smo naučili tijekom istraľivanja, nalog je Obustavljen> Pakiran> Zamrzavanje> Usluge -> Vlastiti procesi.

Potvrđivanje identiteta aplikacije

Jedna stvarno korisna opcija koju smo iznenađeni nije omogućena prema zadanim postavkama nalazi se u Opcije -> Potvrdi potpise fotografija.

Ova opcija provjerava digitalni potpis za svaku izvršnu datoteku na popisu, što je neprocjenjiv alat za rješavanje problema kada gledate neku sumnjivu aplikaciju koja se izvodi na popisu.

Velika većina renomiranog softvera trebao bi biti digitalno potpisan u ovom trenutku. Ako nešto nije, trebali biste vrlo pažljivo pogledati hoćete li ga koristiti.

Poduzimanje radnji na procesu

Brzo možete poduzeti radnje na bilo kojem postupku tako da desnom tipkom miša kliknete na njega i odaberete jednu od opcija ili pomoću tipki prečaca, ako to želite. Te opcije uključuju:

• Prozor - ima opcije uključujući "Bring to Front", što može biti korisno za prepoznavanje prozora povezanog s procesom. Ako za taj proces nema prozora, bit će zasivljen.
• Postavite prioritet - to možete koristiti za konfiguriranje prioriteta procesa. To je najčešće korisno za ukroćenje procesa odbjegavanja koje ne želite ubiti.
• Ubijanje procesa - baš kao što ste zamislili, to ubrzo ubija taj proces.
• Ubijte stablo procesa - To ubija ne samo stavku na popisu, već i djeci tog roditeljskog procesa.
• Ponovno pokretanje - spektakularno korisno tijekom testiranja, to samo ubije proces i potom ga ponovno pokreće. Valja napomenuti da bi procesi ubijanja mogli rezultirati izgubljenim podacima.
• Obustaviti - ova praktična opcija je odlična za rješavanje problema kada je proces izvan kontrole. Možete jednostavno obustaviti proces umjesto da je ubijete i provjerite je li nešto iznenadilo.
• Provjerite VirusTotal - ovo je nova mogućnost koju ćemo dalje objasniti. Vrlo je praktično, jer provjerava proces virusa.
• Pretraži online - to će samo pretražiti web za ime procesa.

I očito, ako otvoriš Svojstva koja će vas odvesti do još korisnijih informacija o procesu, od kojih ćemo se uključiti u sljedeću lekciju. 

Bilješka: testirali smo Temp opciju, ali nismo imali pojma što ona radi.

Trčanje kao administrator

Iako apsolutno ne morate pokrenuti Process Explorer kao administratora, nećete raditi tako da mnoge od korisnih značajki neće funkcionirati, a nećete moći vidjeti toliko informacija o svakom procesu.

Ako radite na sustavu Windows XP ili 2003, morat ćete pokrenuti kao račun s punim pravima administratora za korištenje većine značajki. Ovo vjerojatno nije problem za većinu ljudi, jer je XP ionako zadovoljan zadanim računom, no ako to pokušavate koristiti bez administratorskog pristupa, to neće raditi sasvim dobro.

Budući da većina naših čitatelja koristi Windows 7, 8.x ili čak Vista, vjerojatno ćete biti upoznati s pokretanjem aplikacije kao administratora. To je stvarno jednostavno ... samo kliknite desnom tipkom miša i odaberite opciju iz izbornika.

Zabavna činjenica: Process Explorer zapravo koristi privilegiju Debug programa, što ide dug put da objasni zašto je tako moćan.

Prisilni proces Explorer uvijek se otvara kao administrator

Ako želite osigurati da se Process Explorer uvijek otvori kao administrator, a da ne morate zapamtiti da desnom tipkom miša kliknete na njega, možete ga prisiliti tako da napravite poseban prečac koji zahtijeva način rada administratora ili otvaranjem svojstava za procexp.exe, ide na kompatibilnost, a zatim odabirom opcije za "Pokreni ovaj program kao administrator".

Bilo kako bilo, to će raditi sasvim u redu ili možete samo onemogućiti UAC ako to želite, što sve stalno pokreće kao administrator. Ne preporučujemo to, ali to možete učiniti.

Upotreba Process Explorer za zamjenu Task Manager

Proces Explorer je već dugo korišten kao moćna zamjena za prethodno anemičnu aplikaciju Task Manager u svakoj verziji sustava Windows prije sustava Windows 8, a uz pretpostavku da želite neke stvarne snage u rukama, to jako dobro funkcionira i kao zamjena u toj verziji.

Bilješka: Task Manager sustava Windows 8 uvelike se poboljšao od prethodnih verzija. Još uvijek nije toliko moćan kao Process Explorer, no vjerojatno je lakše za redovite ljude. Stoga nemojte mijenjati računalo mame kao zadanu za Process Explorer.

Kako bi Process Explorer zamijenio Task Manager, sve što trebate učiniti je odabrati opciju -> Zamijeni Task Manager opciju iz izbornika. To je to.

Kada to učinite, pomoću CTRL + SHIFT + ESC ili desnom tipkom miša na programskoj traci pokrenut će procesni Explorer umjesto Task Manager. Jednostavno, zar ne?

Upozorenje: ako zamijenite Upravitelj zadataka, apsolutno provjerite jeste li stavili Process Explorer na mjesto koje nećete slučajno pomicati ili brisati datoteku. Inače ćete biti zaglavljeni sa sustavom koji ne može pokrenuti Task Manager.

Korištenje Process Explorer kao Awesome Tray Icon Monitor

Jedna od najboljih značajki Process Explorera je sposobnost da se minimizira u traci sustava, no umjesto samo jedne ikone može se minimizirati u cijeli niz ikona koji mogu nadzirati CPU, I / O, Disk, Network, GPU , i RAM, ili bilo koju njihovu kombinaciju. Možete ih konfigurirati za prikaz zasebno ili uopće ako to želite.

Da biste to postavili, otvorite izbornik Opcije, idite na odjeljak Ikone ladice, a zatim kliknite da biste omogućili sve ikone ladice koje biste željeli vidjeti.

Možete pokrenuti procesni Explorer svaki put kada pokrenete računalo, a zatim ga minimizirati u traku sustava tako da će uvijek biti tu za vas. Naravno, ako ste koristili opciju za zamjenu upravitelja zadataka, možete mu brzo pristupiti pomoću tipke prečaca - iako biste trebali koristiti opciju "Dopusti samo jednu instancu" kako biste bili sigurni da ne otvarate hrpa odvojene prozore.

Upotrebljavajući Process Explorer za brzo pretraživanje virusa

Ako radite na računalu s problemima i želite saznati je li proces virus, možete se uštedjeti neko vrijeme pomoću procesne verzije verzije 16 ili novije, jer su izravno dodali VirusTotal integraciju u aplikaciju. Samo kliknite desnom tipkom miša na bilo što na popisu da biste vidjeli opciju.

Prilikom prvog pokretanja, od vas će se tražiti da prihvatite uvjete upotrebe usluge VirusTotal, ali nakon toga to ćete vidjeti da se rezultati VirusTotal pojavljuju upravo tamo na popisu.

Možete kliknuti rezultat kako biste otišli na VirusTotal i vidjeti pojedinosti. To je izvrstan dodatak jednom od najboljih komunalnih usluga ikada.

Sljedeća lekcija: Korištenje Process Explorera za otklanjanje poteškoća i dijagnosticiranje

U sljedećoj lekciji u našoj seriji idemo u puno više dubine o tome kako koristiti Process Explorer u nekim scenarijima u stvarnom svijetu kako bismo riješili uobičajene probleme poput malwarea i crapwarea. Pazite da ostanete podešeni za ostatak serije.