Porozumění procesu průzkumu

Obsah:

Video: Porozumění procesu průzkumu

Video: Porozumění procesu průzkumu
Video: How to Disable Internet Explorer Security 2024, Březen
Porozumění procesu průzkumu
Porozumění procesu průzkumu
Anonim
Tato lekce v naší sérii Geek School zahrnuje Process Explorer, což je možná nejvíce používaná a užitečná aplikace v sadě nástrojů SysInternals. Ale jak dobře tuto utilitu opravdu znáte?
Tato lekce v naší sérii Geek School zahrnuje Process Explorer, což je možná nejvíce používaná a užitečná aplikace v sadě nástrojů SysInternals. Ale jak dobře tuto utilitu opravdu znáte?

ŠKOLNÍ NAVIGACE

  1. Jaké jsou nástroje SysInternals a jak je používáte?
  2. Porozumění procesu průzkumu
  3. Použití Process Explorer k odstraňování a diagnostice
  4. Porozumění procesu sledování
  5. Použití monitorovacího procesu k odstraňování a nalezení hacků v registru
  6. Použití autorunů k řešení spouštěcích procesů a malwaru
  7. Pomocí BgInfo zobrazte informace o systému na ploše
  8. Použití PsTools pro ovládání jiných počítačů z příkazového řádku
  9. Analýza a správa souborů, složek a disků
  10. Zalomení a používání nástrojů společně

Aplikace Process Explorer, správce úloh a systémová monitorovací aplikace jsou od roku 2001 a i když pracují na Windows 9x, moderní verze podporují pouze XP a vyšší a byly průběžně aktualizovány funkcemi pro moderní verze Okna. Je to defacto standard pro řešení procesů odstraňování problémů.

Takže co může proces Explorer udělat?

Některé z lepších vlastností zahrnují následující, i když to v žádném případě není vyčerpávající seznam. Tato aplikace má mnoho funkcí a mnohé z nich jsou pohřbené hluboko v rozhraní. Úžasně je to také velmi malý soubor.

  • Výchozí zobrazení stromu zobrazuje hierarchický nadřazený vztah mezi procesy a zobrazuje pomocí barev, aby snadno pochopili procesy na první pohled.
  • Velmi přesné sledování využití procesoru pro procesy.
  • Může být použit pro výměnu Správce úloh, což je užitečné zejména pro XP, Vista a Windows 7.
  • Můžete přidat více ikon na monitoru pro sledování procesoru, disku, GPU, sítě a dalších.
  • Zjistěte, který proces načte soubor DLL.
  • Zjistěte, který proces probíhá v otevřeném okně.
  • Zjistěte, který proces má soubor nebo složku otevřené a uzamčené.
  • Zobrazit kompletní data o jakémkoli procesu, včetně podprocesů, využití paměti, úchytů, objektů a prakticky všechno, co je třeba vědět.
  • Může zabít celý strom procesů, včetně procesů, které jste začali tím, který jste se rozhodli zabít.
  • Může pozastavit proces a zmrazit všechny jeho závity, takže nic nedělají.
  • Můžete zjistit, který podproces v procesu skutečně maximalizuje CPU.
  • Nejnovější verze (v16) integruje VirusTotal do rozhraní, takže můžete zkontrolovat proces virů, aniž byste opustili program Průzkumník.

Pokaždé, když máte problém s aplikací nebo něco, co na počítači zůstává zamrzlé, nebo se snažíte zjistit, na co se používá konkrétní soubor DLL, nástroj Process Explorer je nástroj pro práci.

Porozumění zobrazení stromu

Když poprvé spustíte aplikaci Process Explorer, máte k dispozici řadu vizuálních dat - hierarchický stromový pohled na procesy běžící na vašem počítači včetně využití procesoru a paměti RAM pomocí číselných hodnot pro každý proces. V horní části panelu nástrojů je zobrazeno několik malých grafických aktivit, které ukazují využití CPU, na které lze kliknout a zobrazí se v samostatném okně.
Když poprvé spustíte aplikaci Process Explorer, máte k dispozici řadu vizuálních dat - hierarchický stromový pohled na procesy běžící na vašem počítači včetně využití procesoru a paměti RAM pomocí číselných hodnot pro každý proces. V horní části panelu nástrojů je zobrazeno několik malých grafických aktivit, které ukazují využití CPU, na které lze kliknout a zobrazí se v samostatném okně.

Určitě se toho hodně děje a bylo by snadné ho překrýt vše, co je na obrazovce.

Počáteční zobrazení obsahuje sadu sloupců, které zahrnují:

  • Proces - název souboru spustitelného souboru spolu s ikonou, pokud existuje.
  • procesor - procento času CPU v poslední sekundě (nebo bez ohledu na rychlost aktualizace je nastavena na)
  • Soukromé bajty - velikost paměti přidělená pouze tomuto programu.
  • Pracovní sada - částku skutečné paměti RAM přidělené tomuto programu systémem Windows.
  • PID - identifikátor procesu.
  • Popis - popis, pokud má aplikace jednu.
  • Jméno společnosti - toto je užitečnější, než si myslíte. Pokud není něco v pořádku, začněte hledáním procesů, které nejsou společností Microsoft.

Tyto sloupce můžete přizpůsobit a přidat mnoho dalších možností, nebo můžete kliknout na libovolný ze sloupců, které chcete třídit podle daného pole. Pokud jste dříve používali nástroj Správce úloh, pravděpodobně jste seřadili podle paměti nebo CPU a můžete to udělat i zde.

Kliknutím na položku Proces se přepíná mezi třídou podle názvu procesu nebo návratem do výchozího stromového zobrazení, což je velmi užitečné, jakmile si na to zvyknete.

Pohled se aktualizuje jednou za sekundu, ale můžete přejít na Zobrazit -> Rychlost aktualizace a přizpůsobit, jak často se aktualizuje, přičemž nejnižší je 0,5 sekundy a nejvyšší úroveň je 10 sekund. Pokud ji používáte k řešení problémů, je výchozí hodnota pravděpodobně v pořádku, ale pokud jej chcete použít jako monitor CPU sedící v systémové liště, 5 nebo 10 sekund může používat méně CPU, když běží na pozadí.

Můžete také pozastavit zobrazení pod stejnou podnabídkou nebo jednoduše stisknutím mezerníku. Tím se zmrazí zobrazení jako snímek v čase, což může být užitečné, pokud se pokoušíte identifikovat proces, který začíná a rychle umírá, nebo pokud jste se rozhodli třídit podle využití CPU a všechny řádky se stále skákají.

V případě procesu rychlého zavírání byste však chtěli přidat další sloupce do výchozího zobrazení pro cokoli, co byste potřebovali vědět, protože kliknutí na nezadaný proces v seznamu se v zobrazení podrobností nezobrazí moc, pokud proces nefunguje, i když jste všechno pozastavili.

Pochopení všech těchto barev

Existuje určitě mnoho barev v typickém seznamu Process Explorer, který může být trochu matoucí pro začátečníka. Je skutečně důležité se dozvědět, co znamenají všechny tyto barvy, protože tam nejsou jen pro show - každý z nich znamená něco důležitého.

Kdykoli si nepamatujete, co znamená jedna z barev, můžete v nabídce Možnosti -> Konfigurovat barvy vyskakovat dialogové okno Výběr barev. To je v podstatě rychlý podvádět list co všechno znamená. Pokračujte v čtení, protože to vysvětlíme i zde.

Na základě barev na obrázku výše je to, co znamená každá z vybraných položek (ostatní nejsou skutečně důležité).
Na základě barev na obrázku výše je to, co znamená každá z vybraných položek (ostatní nejsou skutečně důležité).
  • Nové objekty (jasně zelené) - Když se v Průzkumníku objeví nový proces, začíná jako jasně zelená.
  • Smazané objekty (červená) - Když je proces zabit nebo zavřený, bude obvykle před vymazáním blikat červeně.
  • Vlastní procesy (světle modré) - Procesy běží jako stejné uživatelské účty jako Process Explorer.
  • Služby (světle růžová) - Procesy služby Windows, ačkoli stojí za zmínku, že mohou mít podřízené procesy, které jsou spuštěny jako jiný uživatel, a tyto mohou mít jinou barvu.
  • Suspendované procesy (tmavě šedé) - Když je proces pozastaven, nemůže nic dělat. Proces aplikace Explorer můžete snadno pozastavit. Někdy se havarované aplikace krátce objevují v šedé, zatímco Windows zpracovává havárii.
  • Imersivní proces (jasná modrá) - Jedná se jen o fantazijní způsob, jak říkat, že proces je aplikace Windows 8 pomocí nových rozhraní API. V předchozím snímku jste si možná všimli WSHost.exe, což je proces "Windows Store Host", který spouští aplikace Metro. Z nějakého důvodu Explorer.exe a Správce úloh se také zobrazí jako ponořující.
  • Balené obrázky (Purple) - tyto procesy mohou obsahovat komprimovaný kód skrytý uvnitř těchto procesů nebo alespoň Process Explorer si myslí, že to dělají pomocí heuristiky. Pokud uvidíte fialový proces, nezapomeňte skenovat škodlivý software!

Vzhledem k tomu, že mezi těmito různými scénáři je samozřejmě nějaké překrývání, budou barvy použity v pořadí podle priority. Pokud je proces službou a je pozastaven, zobrazí se v tmavě šedé barvě, protože tato barva je důležitější.

Z toho, co jsme se dozvěděli při zkoumání, je objednávka Suspended> Packed> Immersive> Services -> Own Processes.

Ověření identifikace aplikace

Jedna opravdu užitečná volba, kterou překvapíme, není ve výchozím nastavení povolena v části Možnosti -> Ověřit podpisy obrázku.

Tato možnost zkontroluje digitální podpis pro každý spustitelný soubor v seznamu, což je neocenitelný nástroj pro odstraňování problémů při sledování některé podezřelé aplikace, která je spuštěna v seznamu.
Tato možnost zkontroluje digitální podpis pro každý spustitelný soubor v seznamu, což je neocenitelný nástroj pro odstraňování problémů při sledování některé podezřelé aplikace, která je spuštěna v seznamu.
Převážná většina renomovaného softwaru by měla být digitálně podepsána v tomto okamžiku. Pokud něco není, měli byste se velmi pečlivě podívat, zda byste ho měli používat.
Převážná většina renomovaného softwaru by měla být digitálně podepsána v tomto okamžiku. Pokud něco není, měli byste se velmi pečlivě podívat, zda byste ho měli používat.

Probíhá činnost v procesu

Můžete rychle podniknout kroky v jakémkoli procesu klepnutím pravým tlačítkem na něj a volbou jedné z možností nebo pomocí klávesových zkratek, pokud chcete. Mezi tyto možnosti patří:

  • Okno - obsahuje možnosti včetně funkce Přenést do fronty, což může být užitečné při identifikaci okna spojeného s procesem. Pokud pro tento proces nejsou žádné okna, bude šedá.
  • Nastavte prioritu - můžete toto použít pro konfiguraci priority procesu. To je většinou užitečné pro zkrocení procesu uprchlíka, který nechcete zabít.
  • Zabij proces - stejně jako byste si představovali, že tento proces rychle zabije.
  • Zabij strom procesů - To zabíjí nejen předmět v seznamu, ale také děti tohoto rodičovského procesu.
  • Restartujte - velice užitečné při testování, to právě zabije proces a poté ho restartuje. Za zmínku stojí, že procesy zabíjení mohou způsobit ztrátu dat.
  • Pozastavit - Tato praktická volba je skvělá pro odstraňování problémů, když je proces mimo kontrolu. Můžete jednoduše pozastavit proces spíše než zabít ho a zkontrolovat, jestli je něco zbytečné.
  • Zkontrolujte VirusTotal - je to nová možnost, kterou budeme dále vysvětlovat. Je to docela užitečné, protože kontroluje proces virů.
  • Hledat online - to bude pouze vyhledávat na webu název procesu.

A samozřejmě pokud otevřete vlastnosti, které vás přivedou k ještě užitečnějším informacím o procesu, z čehož se hodně dozvíme v další lekci.

Image
Image

Poznámka: testovali jsme možnost Temp, ale neměli jsme tušení, co dělá.

Spuštění jako správce

I když nemusíte absolutně spouštět aplikaci Process Explorer jako správce, aniž byste tak učinili, mnoho užitečných funkcí nebude fungovat a nebudete moci vidět tolik informací o každém procesu.

Pokud běžíte v systémech Windows XP nebo 2003, budete muset běžet jako účet s úplnými oprávněními správce, abyste mohli používat většinu funkcí. To pravděpodobně není problém pro většinu lidí, protože XP dal výchozí výchozí plné oprávnění stejně, ale pokud se pokoušíte tuto práci používat bez přístupu administrátora, nebude to fungovat stejně dobře.

Vzhledem k tomu, že většina našich čtenářů používá Windows 7, 8.x nebo dokonce i Vista, pravděpodobně budete znát spuštění aplikace jako správce. Je to opravdu snadné … stačí kliknout pravým tlačítkem myši a zvolit z nabídky nabídku.

Image
Image

Zábavný fakt: Průzkumník aplikace Process Explorer vlastně používá oprávnění Debug Programs, což dalece vysvětluje, proč je tak silná.

Vynutit Průzkumníka, aby se vždy otevřel jako správce

Pokud se chcete ujistit, že aplikace Process Explorer se vždy otevírá jako správce, aniž byste museli zapomínat na pravé tlačítko na něm, můžete ji vynutit vytvořením zvláštního zástupce, který vyžaduje režim Administrator nebo otevřením vlastností pro proxp.exe, přejít na kompatibilitu a poté zvolit možnost "Spustit tento program jako správce".

Ať tak či tak bude fungovat dobře, nebo byste mohli také vypnout UAC, pokud dáváte přednost, což dělá vše, co běží jako správce po celou dobu. Neodpovídáme to, ale můžete to udělat.
Ať tak či tak bude fungovat dobře, nebo byste mohli také vypnout UAC, pokud dáváte přednost, což dělá vše, co běží jako správce po celou dobu. Neodpovídáme to, ale můžete to udělat.

Použití Process Explorer k nahrazení správce úloh

Process Explorer je už dávno používán jako mocná náhrada za předchozí anemickou aplikaci Správce úloh v každé verzi Windows před Windows 8 a za předpokladu, že chcete mít nějaký skutečný výkon ve vašich rukou, funguje opravdu dobře jako náhrada té verze.

Poznámka: Správce úloh systému Windows 8 je výrazně lepší než předchozí verze. Stále není tak silný jako Process Explorer, ale je pravděpodobné, že je pro běžného uživatele snadnější. Takže neměňte měkký počítač s výchozím nastavením Process Explorer.

Chcete-li nástroj Process Explorer nahradit správce úloh, stačí, abyste v nabídce zvolili volbu Možnosti -> Nahradit správce úloh. A je to.

Jakmile to uděláte, pomocí kláves CTRL + SHIFT + ESC nebo pravým kliknutím na panelu úloh spustíte program Process Explorer spíše než správce úloh. Snadné, že?
Jakmile to uděláte, pomocí kláves CTRL + SHIFT + ESC nebo pravým kliknutím na panelu úloh spustíte program Process Explorer spíše než správce úloh. Snadné, že?

Varování: Pokud nahradíte Správce úloh, dejte absolutně jistotu, že jste aplikaci Process Explorer umístili na místo, kde se náhodně nepohybujete nebo neodstraníte. V opačném případě budete zaseknuty systémem, který nemůže spustit správce úloh.

Použití procesního průzkumníka jako sledování ikon Awesome Tray

Jedním z nejlepších vlastností aplikace Process Explorer je možnost minimalizovat ji do systémové lišty, ale namísto pouze jedné ikony se může minimalizovat do plné sady ikon, které mohou monitorovat procesor, I / O, disk, síť, GPU, a RAM, nebo jakákoli jejich kombinace. Můžete je nakonfigurovat tak, aby se zobrazovaly samostatně nebo vůbec ne, pokud chcete.
Jedním z nejlepších vlastností aplikace Process Explorer je možnost minimalizovat ji do systémové lišty, ale namísto pouze jedné ikony se může minimalizovat do plné sady ikon, které mohou monitorovat procesor, I / O, disk, síť, GPU, a RAM, nebo jakákoli jejich kombinace. Můžete je nakonfigurovat tak, aby se zobrazovaly samostatně nebo vůbec ne, pokud chcete.

Chcete-li toto nastavení nastavit, otevřete nabídku Možnosti, přejděte do sekce Ikony v zásobníku a potom klepnutím aktivujte všechny ikony zásobníků, které chcete vidět.

Můžete spustit program Průzkumník vždy, když spustíte počítač a minimalizujete ho na systémovou lištu, takže to vždy bude pro vás. A samozřejmě, pokud jste použili možnost nahradit Správce úloh, můžete k němu kdykoliv rychle přistupovat pomocí klávesové zkratky - ačkoli budete chtít použít volbu "Pouze jedna instance", abyste se ujistili, že neotevřete banda samostatných oken.
Můžete spustit program Průzkumník vždy, když spustíte počítač a minimalizujete ho na systémovou lištu, takže to vždy bude pro vás. A samozřejmě, pokud jste použili možnost nahradit Správce úloh, můžete k němu kdykoliv rychle přistupovat pomocí klávesové zkratky - ačkoli budete chtít použít volbu "Pouze jedna instance", abyste se ujistili, že neotevřete banda samostatných oken.

Pomocí aplikace Průzkumník pro rychlé vyhledání VirusTotal

Pokud pracujete na problému s počítačem a chcete zjistit, zda je proces virem, můžete ušetřit čas pomocí aplikace Process Explorer verze 16 nebo vyšší, protože jste přidali integraci VirusTotal přímo do aplikace. Stačí kliknout pravým tlačítkem myši na cokoli v seznamu, abyste viděli tuto možnost.

Při prvním spuštění budete vyzváni, abyste přijali podmínky používání služby VirusTotal, ale poté, co tak učiníte, uvidíte v seznamu výsledky VirusTotal.
Při prvním spuštění budete vyzváni, abyste přijali podmínky používání služby VirusTotal, ale poté, co tak učiníte, uvidíte v seznamu výsledky VirusTotal.
Klepnutím na výsledek můžete přejít na VirusTotal a zobrazit podrobnosti. Je to skvělý nový doplněk k jednomu z nejlepších nástrojů kdykoli.
Klepnutím na výsledek můžete přejít na VirusTotal a zobrazit podrobnosti. Je to skvělý nový doplněk k jednomu z nejlepších nástrojů kdykoli.

Další lekce: Použití aplikace Průzkumník pro odstraňování a diagnostiku

V příští lekci v naší sérii se budeme věnovat mnohem více hloubky o tom, jak používat Process Explorer v některých scénářích v reálném světě k řešení běžných problémů, jako je malware a crapware. Ujistěte se, že zůstanou naladěny po zbytek série.

Doporučuje: