Описание всех процессов windows — Ваш верный помощник с OS Windows

Администрирование и поддержка Oracle
Администрирование и поддержка SQL Server
Администрирование и поддержка PostgreSQL

Аутсорсинг DevOps

Управление Kubernetes
Настройка Kubernetes

Установка и настройка ClickHouse
Аудит логов в ClickHouse

Подключение кластеров Kafka
Установка и настройка Kafka

→
→
Процессы ОС Windows и соответствующие проблемы

В этой статье мы расскажем о проблемах, сопутствующих ОС Windows, и средствах диагностики этих неполадок, которые используют специалисты «ДБ-сервис».

Основные процессы ОС Windows

В актуальных версиях Windows процессы принято делить на три группы:

Процессы приложений. Процессы прикладных программ, как встроенных в ОС, так и внешних.
Фоновые процессы. Процессы, не имеющие собственных окон и протекающие непрерывно. Среди них могут быть и запущенные ОС (службы), процессы внешних программ (антивирусы, сборщики аналитики и т.д.)
Процессы Windows. Процессы операционной системы, отвечающие за ее функционирование.

Из-за чего возникают проблемы ОС Windows?

Существует много причин возникновения неполадок в ОС Windows. В контексте процессов, влияющих на работу СУБД, в качестве проблемы мы рассмотрим аномальное число всех процессов, а также чрезмерное количество работающих скриптов PS или командной строки.

Слишком много процессов

В норме число процессов в Windows не должно превышать 100. Если это значение достигает 1000, это может говорить о наличии неполадок или каких-то серьезных изменениях в системе. В этом случае необходимо проверить, что это за процессы.

Ниже мы подробно опишем инструменты диагностики, которые мы используем в «ДБ-сервис»; пока же отметим лишь, что т. к. процессы, выполняющиеся на машинах клиентов могут быть очень важны для их бизнеса, мы ничего не останавливаем без подтверждения от заказчиков.

Количество запущенных процессов (conhost.exe) или (powershell.exe) слишком велико

Нередки ситуации, когда источником проблемы является большое число скриптов, работающих одновременно и выполняющих разные задачи (речь идет о процессе командной строки conhost.exe или процессе powershell.exe).

Причина, как правило, кроется в том, что скрипты стали выполняться слишком долго, в силу чего висят запущенными в памяти, наслаиваясь друг на друга.

В свою очередь долгое выполнение скриптов происходит из-за неполадок на сервере или ошибок в БД, если скрипты обращаются к ней (к примеру, в случае блокировок, о которых мы писали в одной из предыдущих статей).

Первое, что необходимо сделать в этом случае — идентифицировать источник проблем. Далее необходимо проверить сервер и БД на предмет общей деградации производительности.

В случае невозможности самостоятельного проведения диагностики — следует передать данные специалистам по поддержке и администрированию баз данных, например — инженерам «ДБ-сервис». Помните, что ответ на вопрос «как запустить процесс Windows и ничего не сломать» — не всегда является тривиальным.

Как диагностировать проблему?

Существует несчетное число инструментов для диагностики проблем с процессами ОС. В этой статье мы не будем рассматривать сторонние утилиты, а сосредоточимся на только стандартных средствах Windows.

Диспетчер задач Windows (Task Manager)

Диспетчер задач — стандартный графический инструмент управления процессами. Они отображаются и управляются в двух вкладках — «Processes» и «Details» — внешний вид которых может варьироваться в зависимости от версии Windows.

1. Вкладка «Processes». Как видно на скрине ниже, в ней содержится основная информация о процессах и показатели производительности.

В этом окне диспетчера можно группировать, сортировать, добавлять и удалять отображаемую информацию, что помогает эффективнее анализировать производительность.

Как видно из скрина ниже, в этом же окне можно получить более подробные сведения о нужном процессе, перейти к исполняемому файлу, принудительно завершить процесс.

2. Вкладка «Details». Как видно из скрина ниже, в этой вкладке содержится более подробная информация о процессах.

Командная строка

Командная строка в Windows — это программа, которая эмулирует поле ввода в пользовательском интерфейсе. Для управления процессами в командной строке есть две утилиты:

Tasklist. Показывает список процессов на локальном или удаленном компьютере. Для каждого процесса выводит имя образа, PID, имя сессии, номер сеанса и объем занимаемой памяти.
Tasklist. Помогает завершить любой процесс.

Как посмотреть процессы в Windows с помощью этих утилит? По умолчанию информация выводится в виде таблицы, однако ключ /fo позволяет задать вывод в виде списка или в формате CSV, f ключ /v показывает более подробную информацию о процессах.

Например, команда Tasklist /v /fo LIST выведет подробное описание всех процессов в виде списка.

Список можно уточнить: для этого нужно использовать ключ /fi, который позволяет использовать фильтры для вывода данных. Например команда Tasklist /fi «username eq dmitry.b» /fi «memusage le 40000» выводит список процессов пользователя dmitry.b, которые потребляют не больше 40 Мб памяти.

Полную справку по командам Tasklist и Taskkill можно получить, введя их с ключом /?.

PowerShell

Еще один важный инструмент диагностики — PowerShell. Речь идет о конгломерате командлетов, с помощью можно управлять процессами на локальном или удаленном компьютере.

Для получения списка процессов используется командлет Get-Process. Пример вывода результатов можно увидеть на скриншоте ниже.

Командлет Where-Object задает фильтр для выводимой информации. Для примера выведем список процессов, которые загружают процессор и отсортируем их по возрастанию нагрузки с помощью команды: Get-Process | where {$_.cpu -gt 0} | sort cpu -Descending.

С помощью PowerShell можно получить любую информацию о любом процессе. В качестве примера возьмем процесс sqlservr и выведем список его свойств командой: Get-Process -Name sqlservr | Get-Member -Membertype property.

Затем выберем интересующие нас свойства (например, имя и ID процесса, путь к файлу, используемые модули и время запуска), после чего выедем их в виде списка командой: Get-Process -Name sqlservr | Format-List name, id, path, modules, starttime.

Как отключить процессы в Windows? Если возникла необходимость завершить процесс, сделать это в PowerShell можно с помощью командлета Stop-Process. Он завершает указанный процесс по его имени или идентификатору. Однако, т. к. мы не останавливаем процессы без подтверждения со стороны клиента, даже в данном примере мы не будем ничего отключать, а передадим результат выполнения командлета Get-Process по конвейеру: Get-Process | where {$_.name -match ″Taskmgr″} | Stop-Process.

Get-Process не может показать процессы на удаленном компьютере. Чтобы осуществить это, можно воспользоваться командлетом Get-WmiObject и, например, посмотреть процессы на удаленном компьютере командой: Get-WmiObject win32_process -computername RUDC-D-DB63 | ft name, processid, description.

Частые ошибки при диагностировании проблем

При диагностировании проблем, связанных с процессами Windows, у людей, далеких от системного администрирования, часто возникают те или иные затруднения. Поэтому, чтобы не подставлять бесперебойность вашего бизнеса под удар, мы советуем доверять диагностику профессионалам. Обратившись в «ДБ-сервис», вы получите экспертное сопровождения ваших БД, а также

весь комплекс работ по их администрированию в режиме 24×7

Резюме

Мы рассказали об основных типах процессах в ОС Windows и неполадках, возникающих из-за их аномальной работы. Также в статье было освещено, как «ДБ-сервис» использует для диагностики проблем инструменты, встроенные в оболочку Windows.

Опыт работы: 9 лет администрирования СУБД MSSQL SERVER

Образование: ЮФУ, Диплом специалиста по специальности «Физика», Диплом магистра по специальности «Прикладная информатика», Диплом о профессиональной переподготовке по специальности «Системный инженер»

Пономаренко Георгий Олегович

Руководитель направления MSSQL

Источник

Для работы проектов iXBT.com нужны файлы cookie и сервисы аналитики.
Продолжая посещать сайты проектов вы соглашаетесь с нашей
Политикой в отношении файлов cookie

Диспетчер задач — это инструмент Windows, который помогает следить за работой компьютера, закрывать зависшие программы, контролировать загрузку процессора, памяти, диска и сети. Разберу каждую вкладку и объясню, как ее использовать.

Здесь отображаются все запущенные программы и фоновые процессы. Колонки показывают, сколько ресурсов они потребляют:

ЦП (процессор) — загруженность в процентах. Если одно приложение сильно нагружает процессор, его можно закрыть. Или
Память — сколько оперативной памяти использует программа. Если памяти мало, стоит закрыть тяжелые приложения.
Диск — активность работы с диском. Если диск загружен на 100%, возможно, проблема с жестким диском или программами, активно читающими/записывающими данные.
Сеть — скорость передачи данных. Можно выявить, какая программа потребляет интернет.

Как использовать:

Если компьютер тормозит, смотрю, что грузит процессор или диск.
Закрываю зависшие или ненужные процессы. Для этого использую функцию «Снять задачу» — она появится, если кликнуть правой кнопкой мыши на любую задачу в списке.
Контролирую потребление памяти.

Еще некоторые тут могут посмотреть функцию «Создать файл дампа». Обычно это не надо, но пригодится разработчикам программ. Если вы пишете код, делаете тестирование и у вас программа плохо оптимизирована, файл дампа помогает посмотреть, что именно не так. Ну и оптимизировать свой код.

Графики загрузки системы:

ЦП — частота, загруженность, температура (в новых версиях). Очень полезно, если у вас перегревается компьютер или ноутбук. Можно посмотреть, какие процессы греют систему. Не всегда виноваты именно программы — может, просто пришла пора менять термопасту. Но знать об этом полезно.
Память — сколько занято, сколько доступно. Как мы все знаем, «железо» устаревает. И если память постоянно загружена, то надо ее увеличивать. Вот это тут и увидите.
Диск — активность чтения/записи. Если диск пишет или считывает очень активно, а вы вроде бы не задавали что-то «тяжелое», вроде рендеринга видео, это могут быть вирусы.
Сеть (Ethernet/Wi-Fi) — скорость входящего и исходящего трафика. Если сосед подключился к Wi-Fi, взломав ваш пароль, вы здесь это увидите по перерасходу ресурсов.

Итого, как использовать:

Если процессор или память загружены под 100%, ищу причину.
Если диск постоянно на 100%, проверяю фоновые процессы.
Если интернет медленный, смотрю, нет ли перегрузки сети.

Здесь же есть кнопка «Открыть мониторинг ресурсов», который дает еще больше деталей.

Мониторинг ресурсов

Расширенная версия вкладки «Производительность». Он нужен, чтобы более подробно посмотреть, что происходит на компьютере и почему. Разделы:

Обзор — суммарная информация о загрузке ЦП, памяти, диска и сети.
ЦП — какие процессы нагружают процессор. Если загрузка 100%, смотрю, что в списке.
Память — какие процессы занимают память. Удобно для выявления утечек памяти.
Диск — какие процессы активно работают с диском.
Сеть — какие программы используют интернет и на какие IP-адреса идут соединения.

Соответственно, каждая вкладка — это информация о происходящем. Можно выбрать определенные столбцы и посмотреть только на них: для этого нажимаем по заголовку правой кнопкой, далее — «Выбрать столбцы». А еще можно отметить флажком определенные процессы, по ним тогда приложение будет делать фильтрацию. Удобно, когда вам надо отследить деятельность конкретных приложений. Например, если ищете вирус.

Иногда система может запрещать «убить» процесс. Она тогда говорит, что файл используется другим приложением, удалить его нельзя. И тогда надо будет найти блокировщик. Для этого заходим на вкладку ЦП, вводим название файла или его часть в подвкладке «Связанные дескрипторы». И узнаем, в чем проблема.

Во вкладке «Диск» очередной полезный график: «Длина очереди диска». Если очередь больше, чем в два раза превышает количество физических дисков, то это сигнал о низкой производительности. Возможно, даже о том, что диск «умирает» и того гляди «посыплется».

Наконец, есть еще вкладка «Сеть». Здесь ловим майнеры, вирусы и другие вредоносные приложения, которые используют интернет. Можно посмотреть, какие порты открыты, какое состояние у брандмауэра. Если есть проблемы с подключением, обязательно смотрим «Процент потерянных пакетов» и «Задержка». Пакеты теряются из-за разных причин — от проблем на стороне провайдера до майнеров или троянов.

Но здесь же раздел TCP-подключения укажет на возможных «виновников»: он выводит список приложений, которые активно используют интернет. И если там что-то помимо понятного Chrome и Telegram, то уже стоит задуматься.

Возвращаемся в основное меню Диспетчера. Идем в «Журнал приложений». Он показывает, сколько ресурсов использовали программы из Microsoft Store.

CPU Time — сколько процессорного времени потратило приложение.
Network — сколько данных передало приложение по сети.

Не самая полезная вкладка, если у вас большинство приложений не из Microsoft Store. Но все равно стоит знать, для чего она нужна.

Список программ, запускающихся при включении компьютера. Иногда туда любят «прописываться» приложения при установке. Здесь можно их все увидеть.

Состояние — включена или отключена автозагрузка.
Влияние на запуск — низкое, среднее или высокое.

Если программ в автозагрузке много, а компьютер не очень мощный, он будет тормозить. После того, как посмотрели в Диспетчере, можно будет пойти в папку «Автозагрузки» уже через Панель управления и удалить лишнее.

Показывает, кто сейчас работает на компьютере и сколько ресурсов потребляет каждая сессия. Помогает поймать «нарушителей» — не очень актуально на домашнем компьютере, который вы используете единолично, но важно, если пользователей много или устройство сетевое.

Как использовать:

Если работают несколько пользователей, вижу, кто грузит систему. И чем, какой программой.
Если кто-то забыл выйти, могу завершить его сеанс.

Полезная фишка, если вы админ в компании и следите за не слишком аккуратными сотрудниками.

Список всех процессов с техническими параметрами. Полезно для продвинутых пользователей. Здесь показано, сколько конкретно памяти «ест» приложение.

Как использовать:

Проверяю, не запущены ли подозрительные процессы.
Если программа зависла и не закрывается, завершаю процесс вручную.
Могу выдать повышенный приоритет — это важно, если у нас тяжелое приложение, которому надо дать завершить свою работу. Например, рендеринг видео.

Здесь еще будет возможность «завершить дерево процессов», то есть «убить» сразу несколько взаимосвязанных.

Фоновые процессы Windows. Тут можно включать и отключать службы. Использую так:

Если какая-то функция Windows не работает, проверяю, включена ли нужная служба.
Если служба зависла, перезапускаю ее. Например, я подключил микрофон по Bluetooth, а он не работает. Здесь можно отыскать bthserv — службу поддержки Bluetooth и запустить ее вручную.

Раздел удобен тем, что поясняет, зачем нужны разные мелкие программы-драйверы.

Диспетчер задач — неплохой инструмент для стартовой диагностики. Он не заменит специальных программ, таких как FurMark под разгон и тест видеокарты. Или профессиональный антивирус. Но для простых случаев Диспетчера вполне хватит. Я лично его использую, если компьютер тормозит, программы зависают или что-то ведет себя странно.

Если хотите удаленно следить за домом, советую посмотреть статью — Как обезопасить дом? Рейтинг IP-камер видеонаблюдения Xiaomi.

Источник

Работа операционной системы Windows основана на работе процессов. В этой статье разберём что такое Windows процессы, их свойства, состояния и другое.

Процессы

Процесс стоит воспринимать как контейнер с набором ресурсов для выполнения программы. То есть запускаем мы программу, для неё выделяется часть ресурсов компьютера и эта программа работает с этими ресурсами.

Процессы нужны операционной системе для многозадачности, так как программы работают в своих процессах и не мешают друг другу, при этом по очереди обрабатываются процессором.

Windows процессы состоят из следующего:

Закрытое виртуальное адресное пространство, то есть выделенная для процесса часть оперативной памяти, которая называется виртуальной.
Исполняемая программа выполняя свой код, помещает его в виртуальную память.
Список открытых дескрипторов. Процесс может открывать или создавать объекты, например файлы или другие процессы. Эти объекты нумеруются, и их номера называют дескрипторами. Ссылаться на объект по дескриптору быстрее, чем по имени.
Контекст безопасности. Сюда входит пользователь процесса, группа, привилегии, сеанс и другое.
Идентификатор процесса, то есть его уникальный номер.
Программный поток (как минимум один или несколько). Чтобы процесс хоть что-то делал, в нем должен существовать программный поток. Если потока нет, значит что-то пошло не так, возможно процесс не смог корректно завершиться, или стартовать.

У процессов есть еще очень много свойств которые вы можете посмотреть в «Диспетчере задач» или «Process Explorer«.

Процесс может быть в различных состояниях:

Выполняется — обычно все фоновые процессы будут в этом состоянии, а если процесс с окошком, то значит что приложение готово принимать данные от пользователя.
Приостановлен — означает что все потоки процесса находятся в приостановленном состоянии. Приложения Windows Apps переходят в это состояние при сворачивании окна для экономии ресурсов.
Не отвечает — означает что программный поток не проверял свою очередь сообщений более 5 секунд. Поток может быть занят работой и интенсивно загружать процессор, или может ожидать операции ввода/вывода. При этом окно приложения зависает.

В Windows существуют процессы трёх типов:

Приложения. Процессы запущенных приложений. У таких приложений есть окно на рабочем столе, которое вы можете свернуть, развернуть или закрыть.
Фоновые процессы. Такие процессы работают в фоне и не имеют окна. Некоторые процессы приложений становятся фоновыми, когда вы сворачиваете их в трей.
Процессы Windows. Процессы самой операционной системы, например «Диспетчер печати» или «Проводник».

Дерево процессов

В Windows процессы знают только своих родителей, а более древних предков не знают.

Например у нас есть такое дерево процессов:

Процесс_1
|- Процесс_2
  |- Процесс_3

Если мы завершим дерево процессов «Процесс_1«, то завершатся все процессы. Потому что «Процесс_1» знает про «Процесс_2«, а «Процесс_2» знает про «Процесс_3«.

Если мы вначале завершим «Процесс_2«, а затем завершаем дерево процессов «Процесс_1«, то завершится только «Процесс_1«, так как между «Процесс_1» и «Процесс_3» не останется связи.

Например, запустите командную строку и выполните команду title parrent чтобы изменить заголовок окна и start cmd чтобы запустить второе окно командной строки:

>title parrent
>start cmd

Измените заголовок второго окна на child и из него запустите программу paint:

>title child
>mspaint

В окне командной строке child введите команду exit, окно закроется а paint продолжит работать:

>exit

После этого на рабочем столе останутся два приложения, командная строка parrent и paint. При этом parrent будет являться как бы дедом для paint.

Запустите «Диспетчер задач», на вкладке «Процессы» найдите процесс «Обработчик команд Windows», разверните список и найдите «parrent«. Затем нажмите на нём правой копкой мыши и выберите «Подробно»:

Вы переключитесь на вкладку «Подробно» с выделенным процессом «cmd.exe«. Нажмите правой кнопкой по этому процессу и выберите «Завершить дерево процессов»:

Окно командной строки Parrent завершится а Paint останется работать. Так мы убедились что связи между первым процессом и его внуком нет, если у внука нет непосредственного родителя.

Потоки

На центральном процессоре обрабатываются не сами процессы, а программные потоки. Каждый поток, это код загруженный программой. Программа может работать в одном потоке или создавать несколько. Если программа работает в несколько потоков, то она может выполняться на разных ядрах процессора. Посмотреть на потоки можно с помощью программы Process Explorer.

Поток содержит:

два стека: для режима ядра и для пользовательского режима;
локальную памятью потока (TLS, Thread-Local Storage);
уникальный идентификатор потока (TID, Thread ID).

Приложение может создать дополнительный поток, например, когда у приложения есть графический интерфейс, который работает в одном потоке и ожидает от пользователя ввода каких-то данных, а второй поток в это время занимается обработкой других данных.

Изучение активности потока важно, если вам нужно разобраться, почему тот или иной процесс перестал реагировать, а в процессе выполняется большое число потоков. Потоков может быть много в следующих процессах:

svchost.exe — главный процесс для служб Windows.
dllhost.exe — отвечает за обработку приложений, использующих динамически подключаемые библиотеки. Также отвечает за COM и .NET. И ещё управляет процессами IIS.
lsass.exe — отвечает за авторизацию локальных пользователей, попросту говоря без него вход в систему для локальных пользователей будет невозможен.

Волокна и планирование пользовательского режима

Потоки выполняются на центральном процессоре, а за их переключение отвечает планировщик ядра. В связи с тем что такое переключение это затратная операция. В Windows придумали два механизма для сокращения таких затрат: волокна (fibers) и планирование пользовательского режима (UMS, User Mode Scheduling).

Во-первых, поток с помощью специальной функции может превратится в волокно, затем это волокно может породить другие волокна, таким образом образуется группа волокон. Волокна не видимы для ядра и не обращаются к планировщику. Вместо этого они сами договариваются в какой последовательности они будут обращаться к процессору. Но волокна плохо реализованы в Windows, большинство библиотек ничего не знает о существовании волокон. Поэтому волокна могут обрабатываться как потоки и начнутся различные сбои в программе если она использует такие библиотеки.

Потоки UMS (User Mode Scheduling), доступные только в 64-разрядных версиях Windows, предоставляют все основные преимущества волокон при минимуме их недостатков. Потоки UMS обладают собственным состоянием ядра, поэтому они «видимы» для ядра, что позволяет нескольким потокам UMS совместно использовать процессор и конкурировать за него. Работает это следующим образом:

Когда двум и более потокам UMS требуется выполнить работу в пользовательском режиме, они сами могут периодически уступать управление другому потоку в пользовательском режиме, не обращаясь к планировщику. Ядро при этом думает что продолжает работать один поток.
Когда потоку UMS все таки нужно обратиться к ядру, он переключается на специально выделенный поток режима ядра.

Задания

Задания Windows (Job) позволяют объединить несколько процессов в одну группу. Затем можно этой группой управлять:

устанавливать лимиты (на память или процессорное время) для группы процессов входящих в задание;
останавливать, приостанавливать, запускать такую группу процессов.

Посмотреть на задания можно с помощью Process Explorer.

Диспетчер задач

Чаще всего для получения информации о процессе мы используем «Диспетчер задач». Запустить его можно разными способами:

комбинацией клавиш Ctrl+Shift+Esc;
щелчком правой кнопкой мыши на панели задач и выборе «Диспетчер задач»;
нажатием клавиш Ctrl+Alt+Del и выборе «Диспетчер задач»;
запуском исполняемого файла C:\Windows\system32\Taskmgr.exe.

При первом запуске диспетчера задач он запускается в кратком режиме, при этом видны только процессы имеющие видимое окно. При нажатие на кнопку «Подробнее» откроется полный режим:

В полном режиме на вкладке «Процессы» виден список процессов и информация по ним. Чтобы получить больше информации можно нажать правой кнопкой мышки на заголовке и добавить столбцы:

Диспетчер задач - Добавление столбцов с информацией

Чтобы получить еще больше информации можно нажать правой кнопкой мышки на процессе и выбрать «Подробно». При этом вы переключитесь на вкладку «Подробности» и этот процесс выделится.

На вкладке «Подробности» можно получить ещё больше информации о процессе. А также здесь также можно добавить колонки с дополнительной информацией, для этого нужно щелкнуть правой кнопкой мыши по заголовку и нажать «Выбрать столбцы»:

Выбор столбцов с информацией о процессах на вкладке «Подробности»

Process Explorer

Установка и подготовка к работе

Более подробную информацию о процессах и потоках можно получить с помощью программы Process Explorer из пакета Sysinternals. Его нужно скачать и запустить.

Некоторые возможности Process Explorer:

информация по правам процесса: кто владелец процесса, у кого есть доступ к нему;
выделение разными цветами процессов и потоков, для удобного восприятия информации:
- процессы служб — розовый;
- ваши собственные процессы — синий;
- новые процессы — зелёный;
- завершенные процессы — красный;
список файлов открытых процессом;
возможность приостановки процесса или потока;
возможность уничтожения отдельных потоков;
поиск процессов создающих наибольшую нагрузку на процессор;
отображение списка процессов в виде дерева, а также алфавитная сортировка и сортировка в обратном порядке;
возможность посмотреть:
- число дескрипторов у процесса;
- активность потоков в процессе;
- подробную информация о распределении памяти.

Запустите Process Explorer:

Далее нужно настроить сервер символических имен. Если это не сделать, при двойном щелчке на процессе, на вкладке Threads (потоки) вы получите сообщение о том, что символические имена не настроены:

Предупреждение о не настроенных символических именах

Для начала скачиваем установщик «Пакет SDK для Windows 10».

Устанавливать все не нужно, достаточно при установки выбрать «Debugging Tools for Windows«:

Для настройки символических имен перейдите в меню Options / Configure / Symbols. Введите путь к библиотеке Dbghelp.dll, которая находится внутри установленного «Пакета SDK для Windows 10» по умолчанию:

C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\Dbghelp.dll.

И путь к серверу символической информации:

srv*C:\Symbols*http://msdl.microsoft.com/download/symbols

При этом:

C:\Symbols — путь к кеширующей локальной папке;
http://msdl.microsoft.com/download/symbols — сервер microsoft.

Настройка символический имен в Process Explorer

Некоторые основные настройки Process Explorer:

Смена цветового выделения — Options / Configure Colors.
Выбор колонок с информацией о процессах — View / Select Columns.
Сортировка процессов — нужно щелкнуть на заголовке столбца Process, при первом щелчке сортировка будет в алфавитном порядке, при втором в обратном порядке, при третьем вернется в вид дерева.
Просмотр только своих процессов — View / снять галочку Show Processes from All Users.
Настройка времени выделения только что запущенных процессов и завершённых — Options / Difference Highlight Duration / введите количество секунд.
Чтобы исследователь процесс подробнее можно дважды щелкнуть на нем и посмотреть информацию на различных вкладках.
Открыть нижнюю панель для просмотра открытых дескрипторов или библиотек — Vies / Show Lower Panel.

Потоки в Process Explorer

Потоки отдельного процесса можно увидеть в программе Process Explorer. Для этого нужно дважды кликнуть по процессу и в открывшемся окне перейти на вкладку «Threads»:

В колонках видна информация по каждому потоку:

TID — идентификатор потока.
CPU — загрузка процессора.
Cycles Delta — общее количество циклов процессора, которое этот процесс использовал с момента последнего обновления работы Process Explorer. Скорость обновления программы можно настроить, указав например 5 минут.
Suspend Count — количество приостановок потока.
Service — название службы.
Start Address — начальный адрес процедуры, который начинает выполнение нового потока. Выводится в формате:«модуль!функция».

При выделении потока, снизу показана следующую информация:

Идентификатор потока.
Время начала работы потока.
Состояние потока.
Время выполнения в режиме ядра и в пользовательском режиме.
Счетчик переключения контекста для центрального процессора.
Количество циклов процессора.
Базовый приоритет.
Динамический приоритет (текущий).
Приоритет ввода / вывода.
Приоритет памяти.
Идеальный процессор (предпочтительный процессор).

Есть также кнопки:

Устройство Windows. Изучение активности потока, изображение №3

Stack — посмотреть стек процесса;
Module — посмотреть свойства запущенного исполняемого файла;
Permission — посмотреть права на поток;
Kill — завершить поток;
Suspend — приостановить поток.

Задания в Process Explorer

Process Explorer может выделить процессы, управляемые заданиями. Чтобы включить такое выделение откройте меню «Options» и выберите команду «Configure Colors», далее поставьте галочку «Jobs»:

Более того, страницы свойств таких процессов содержат дополнительную вкладку Job с информацией о самом объекте задания. Например приложение Skype работает со своими процессами как за заданием:

Запустите командную строку и введите команду:

>runas /user:<домен>\<пользователь> cmd

Таким образом вы запустите еще одну командную строку от имени этого пользователя. Служба Windows, которая выполняет команды runas, создает безымянное задание, чтобы во время выхода из системы завершить процессы из задания.

В новой командной строке запустите блокнот:

>notepad.exe

Далее запускаем Process Explorer и находим такое дерево процессов:

Устройство Windows. Задания, изображение №3

Как видим, процесс cmd и notepad это процессы связанные с каким-то заданием. Если дважды кликнуть по любому из этих процессов и перейти на вкладку Job, то мы увидим следующее:

Тут видно что эти два процесса работают в рамках одного задания.

Вернуться к оглавлению

Если понравилась статья, подпишись на мой канал в VK или Telegram.

Источник

Все способы:

Способ 1: «Диспетчер задач»
Способ 2: «PowerShell»
Способ 3: «Командная строка»
Способ 4: Сторонние приложения
Вопросы и ответы: 0

Способ 1: «Диспетчер задач»

Для просмотра процессов и управления ими в Windows 10 предусмотрено штатное приложение «Диспетчер задач». Его использование является самым простым, удобным и наглядным способом получения сведений о запущенных в системе системных и сторонних процессов.

Откройте «Диспетчер задач» из контекстного меню «Панели задач» или любым другим удобным вам способом.
Подробнее: Способы открыть «Диспетчер задач» в Windows 10

Как получить список всех процессов в Windows 10-1

Список процессов, а если точнее, их названий, доступен для просмотра в одноименной вкладке: в ней будет указан уровень загрузки ЦП, ОЗУ, диска и сети для каждого процесса.

Как получить список всех процессов в Windows 10-2

Если слева от имени процесса располагается импровизированная стрелка, значит, процесс содержит один и более подпроцессов. Кликните по стрелке, чтобы просмотреть подпроцессы.

Как получить список всех процессов в Windows 10-3

Просмотреть процессы в «Диспетчере задач» можно также на вкладке «Подробности». Здесь, помимо исполняемого файла процесса, для просмотра доступны такие данные, как его идентификатор, состояние, владелец, используемый объем памяти и название.

Как получить список всех процессов в Windows 10-4

Способ 2: «PowerShell»

Вывести список запущенных процессов можно также с помощью консоли «PowerShell». Способ хорош тем, что позволяет получать дополнительные данные о процессах и гибко сортировать их при необходимости.

Откройте консоль «PowerShell» от имени администратора из контекстного меню кнопки «Пуск».

Как получить список всех процессов в Windows 10-5

Введите в консоли команду Get-Process и нажмите клавишу ввода.

Как получить список всех процессов в Windows 10-6

В результате вы получите список процессов с указанием таких свойств, как количество дескрипторов ввода («Handles»), выгружаемый и невыгружаемый размер данных процесса «(PM(K) и NPM(K))», объем используемой процессом памяти («WS(K)»), процессорное время («CPU(s)») и идентификатор («ID»). Имя процесса будет указано в столбце «ProcessName».

Способ 3: «Командная строка»

Для получения списка процессов сгодится и классическая «Командная строка», однако в этом случае вы получите несколько меньший объем свойств процессов.

Откройте «Командную строку» от имени администратора через поиск или другим известным вам методом.
Подробнее: Открытие «Командной строки» в Windows 10

Как получить список всех процессов в Windows 10-7

Выполните команду tasklist.

Как получить список всех процессов в Windows 10-8

В результате, помимо названий процессов, вы получите следующие сведения: идентификаторы, имя сессии, номер сеанса и объем ОЗУ, потребляемый каждым процессом.

Способ 4: Сторонние приложения

Если вы хотите получить о запущенных процессах максимум деталей, лучше использовать специализированные сторонние программы, например Process Explorer — мощный бесплатный инструмент управления процессами.

Скачать Process Explorer с официального сайта

Скачайте исполняемый файл утилиты procexp.exe или procexp64.exe и запустите.
Если до этого программа никогда не запускалась, вам будет предложено принять лицензионное соглашение.

Как получить список всех процессов в Windows 10-9

В результате в левой колонке приложения будет выведен список всех запущенных на компьютере процессов. Если нужно просмотреть свойства процесса, кликните по нему два раза мышкой.

Как получить список всех процессов в Windows 10-10

Одним лишь просмотром процессов и их свойств возможности Process Explorer не ограничиваются. С помощью этой небольшой портативной программы вы можете принудительно завершать работу процессов, изменять их приоритет, создавать дампы памяти, выявлять связанные динамические библиотеки, а также выполнять другие операции.

Наша группа в TelegramПолезные советы и помощь

Источник

Уровень сложностиПростой

Время на прочтение12 мин

Количество просмотров30K

В этой статье моей целью будет быстро и понятно внести памятку о легитимных процессах Windows. Немного расскажу, какой процесс за что отвечает, какие нормальные свойства имеют процессы, и приправлю это все небольшим количеством краткой, но полезной информации.

Я искренне приношу извинения за возможные неточности в изложении материала, информация в этой статье является «сборной солянкой» из моих слов и тысячи и тысячи источников!
По мере возможности я постараюсь обновлять материал, исправляя неточности, делая его более детализированным и актуальным.

System

Путь: Процесс не создается за счет исполняемого файла
Родительский процесс: Нет
Количество экземпляров: Один
Время запуска: Запуск системы

Здесь многословить не стоит: этот процесс отвечает за выполнение ядра операционной системы, других процессов и драйверов устройств, поэтому в основном под ним запускаются файлы .sys и некоторые важные для системы библиотеки. В обязанности System входит контроль за управлением оперативной и виртуальной памятью, объектами файловой системы.

smss.exe

Путь: %SystemRoot%\System32\smss.exe
Родительский процесс: System
Количество экземпляров: Один и дочерний, который запускается после создания сеанса
Время запуска: Через несколько секунд после запуска первого экземпляра

Session Manager Subsystem — диспетчер, отвечающий за создание новых сеансов, запуск процессов csrss.exe и winlogon.exe, отвечающих за графический интерфейс и вход в систему, а также за инициализацию переменных окружения. Первый экземпляр создает сеанс нуля и дочерний экземпляр, и как только дочерний экземпляр инициализирует новый сеанс, запуская csrss.exe и wininit.exe для сеанса 0 или winlogon.exe для сеанса 1, дочерний экземпляр завершается.

Если обнаружены проблемы с файловой системой, первостепенной функцией smss.exe является запуск системной утилиты для проверки диска — autochk.
После выполнения этих задач smss.exe переходит в пассивный режим.

Немного о сеансе 0 и сеансе 1

Сеанс 0 и сеанс 1 — это разные типы сеансов Windows, которые используются для запуска процессов.
Сеанс 0 создается при запуске системы, и в нем в фоновом режиме работают службы и процессы Windows.
Сеанс 1 создается для пользовательских процессов.

Chkdsk и autochk — что это вообще, и зачем? А разница в чем?

На самом деле, autochk — это версия chkdsk, которая запускается автоматически smss.exe при обнаруженных проблемах с диском. А разница их в том, что chkdsk можно запустить в среде Windows напрямую из командной строки, а autochk — нет.
Да и autochk работает только с NTFS, что не скажешь про chkdsk — он, в дополнение к NTFS, поддерживает FAT и exFAT.

Кстати!
По сути, chkdsk тоже может запускаться smss.exe, но это зависит от того, что указано в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Control\SessionManager (здесь хранится информация, предназначенная для Диспетчеpa сеансов ) в параметре BootExecute). При запуске chkdsk Диспетчер сеансов использует параметр /r , что позволяет утилите производить поиск повреждённых секторов (наряду с ошибками файловой системы).

csrss.exe

Путь: %SystemRoot%\System32\csrss.exe
Родительский процесс: smss.exe, который, запустив csrss.exe, завершает работу
Количество экземпляров: Два или больше
Время запуска: Через несколько секунд после запуска первых двух экземпляров — для сеанса 0 и сеанса 1

Client/Server Run-Time Subsystem — подсистема выполнения «клиент/сервер» обеспечивает пользовательский режим подсистемы Windows. Csrss.exe отвечает за импорт многих DLL-библиотек, которые предоставляют WinAPI (kernel32.dll, user32.dll, ws_2_32.dll и другие), а также за обработку графического интерфейса завершения работы системы.
Процесс запускается для каждого сеанса, а именно 0 и 1, дополнительные сеансы создаются при помощи удаленного рабочего стола или за счет быстрого переключения между пользователями.

Что интересно для Windows Server

Можно проверить количество активных сеансов, введя query SESSION в командной строке. Так можно проверить, соответствует ли количество сеансов количеству запущенных csrss.exe.

И еще..

До Windows 7 csrss.exe обеспечивал старт окна консоли, но теперь этим занимается conhost.exe.

wininit.exe

Путь: %SystemRoot%\System32\wininit.exe
Родительский процесс: smss.exe, который завершает работу перед запуском wininit.exe
Количество экземпляров: Один
Время запуска: Через несколько секунд после запуска системы

После получения управления от процесса smss.exe, wininit.exe помечает себя как критический, что позволяет ему избегать нежелательного отключения при аварийном завершении сеанса или входа систему в гибернацию. Целью Windows Initialisation (wininit.exe) является запуск ключевых фоновых процессов в рамках сеанса нуля. Он запускает:

services.exe — Диспетчер управления службами
lsass.exe — Сервер проверки подлинности локальной системы безопасности
lsaiso.exe — для систем с включенной Credential Guard.

Дополнительно на протяжении всего сеанса работы системы wininit.exe отвечает за создание и наполнение папки TEMP. Перед выключением wininit.exe снова «активизируется» — теперь уже для корректного завершения запущенных процессов. .

Кстати!

До Windows 10 lsm.exe (Диспетчер локальных сеансов) также запускался с помощью wininit.exe. Начиная с Windows 10, эта функция перенесена в lsm.dll, которая размещена в svchost.exe.

services.exe

Путь: %SystemRoot%\System32\services.exe
Родительский процесс: wininit.exe
Количество экземпляров: Один
Время запуска: Через несколько секунд после запуска системы

В функции services.exe входит реализация Унифицированного диспетчера фоновых процессов (UBPM), который отвечает за фоновую работу таких компонентов, как Диспетчер управления службами (SCM) и Планировщик задач (Task Sheduler). Словом, services.exe отвечает за управление службами, а также за контроль за взаимодействием служб, обеспечивая их безопасную и эффективную работу.

UBPM: немного для тех, кто видит первый раз

Унифицированный диспетчер фоновых процессов (UBPM) — компонент системы, который автоматически управляет фоновыми процессами, такими как службы и запланированные задачи. Словом, он помогает оптимизировать запущенные в фоновом режиме службы, приостанавливать или завершать фоновые процессы, что позволяет экономить ресурсы системы.

Кстати!

До Windows 10, как только пользователь успешно вошел в систему в интерактивном режиме, services.exe считал загрузку успешной и устанавливал для последнего удачного набора элементов управления HKLM\SYSTEM\Select\LastKnownGood значение CurrentControlSet.

А LastKnownGood — что это вообще?

LastKnownGood являлся опцией восстановления, благодаря которой можно запустить систему с последней рабочей конфигурацией, если система не может загрузиться из-за каких-либо причин. LastKnownGood сохранял резервную копию части реестра, в которой хранится информация о системе, драйверах и настройках.

Когда это могло пригодиться? Например, если загрузка нового ПО или изменение параметров системы не привело ни к чему хорошему. Тогда можно было бы использовать эту опцию, чтобы отменить изменения и откатиться к прошлому состоянию.

svchost.exe

Путь: %SystemRoot%\system32\svchost.exe
Родительский процесс: services.exe (чаще всего)
Количество экземпляров: Несколько (обычно не менее 10)
Время запуска: В течение нескольких секунд после загрузки, однако службы могут запускаться в течение работы системы, что приводит к появлению новых экземпляров svchost.exe.

svchost.exe (в Диспетчере задач прописывается как Служба узла) — универсальный хост-процесс для служб Windows, использующийся для запуска служебных DLL. В системе запускается несколько экземпляров svchost.exe, и каждая служба работает в своем собственном процессе svchost, что позволяет изолировать ошибки в работе одной службы от других, хотя в системах с ОЗУ менее 3,5 ГБ службы приходится группировать (см. ниже). Ну а в системах с оперативной памятью более 3,5 ГБ можно увидеть даже более 50 экземпляров svchost.exe.

Злоумышленники часто пользуются преимуществом наличия большого количества процессов svchost.exe, и могут воспользоваться этим, чтобы разместить какую-либо вредоносную DLL в качестве службы, либо запустить вредоносный процесс с именем svchost.exe или что-то типа scvhost.exe, svhost.exe и так далее.
Хотя, как известно, так можно сделать с любым процессом, но с svchost.exe это происходит почаще.

Кстати!

До Windows 10 версии 1703 экземпляры svchost.exe по умолчанию запускались в системе с уникальным параметром -k, благодаря которому была возможна группировка похожих служб. Типичные параметры -k включают:

DcomLaunch — служба, которая запускает компоненты COM и DCOM, благодаря которым программы взаимодействуют между собой на удаленных компьютерах

RPCSS — служба RPC (удаленный вызов процедур), благодаря которой программы взаимодействуют между собой через сеть.

LocalServiceNetworkRestricted — локальная служба, которая работает в пределах компьютера и имеет доступ к сети только для определенных операций.

LocalServiceNoNetwork — локальная служба, идентичная LocalServiceNetworkRestricted, но не имеющая доступа к сети.

netsvcs — группа служб Windows, благодаря которым выполняются задачи, связанные с сетью.

NetworkService — служба, которая позволяет выполнять задачи на удаленных хостах, и имеет доступ к сети для обмена данными.

Здесь можно почитать о разделении служб SvcHost.

RuntimeBroker.exe

Путь: %SystemRoot%\System32\RuntimeBroker.exe
Родительский процесс: svchost.exe
Количество экземпляров: Один или больше
Время запуска: Может быть разным

Работающий в системах Windows, начиная с Windows 8, RuntimeBroker.exe действует как прокси между ограниченными приложениями универсальной платформы Windows (UWP) и набором функций и процедур Windows API. В целях безопасности приложения UWP должны иметь ограниченные возможности взаимодействия с оборудованием, файловой системой и другими процессами, поэтому процессы-брокеры а-ля RuntimeBroker.exe используются для обеспечения требуемого уровня доступа для таких приложений.

Обычно для каждого приложения UWP существует один файл RuntimeBroker.exe. Например, запуск сalculator.exe приведет к запуску соответствующего процесса RuntimeBroker.exe.

И такое было: об утечках памяти, связанных с RuntimeBroker

Когда процесс RuntimeBroker еще был в новинку, пользователи во время работы с системой начали замечать, что RuntimeBroker.exe нещадно занимает аж более 500 МБ памяти, что несвойственно для него.
Оказывается, ошибка заключалась в следующем: каждый вызов метода TileUpdater.GetScheduledTileNotifications приводила к тому, что RuntimeBroker выделял память без ее дальнейшего высвобождения. Чаще всего с этим сталкивались пользователи, у которых было установлено приложение «The Time» для измерения времени — оно постоянно обновляло информацию на плитке.

Об этом казусе в Windows 8 можно почитать тут.

Про метод TileUpdater.GetScheduledTileNotifications

Если кратко, это метод, позволяющий получать запланированные уведомления от плиток в универсальных приложениях Windows (UWP). Он позволяет приложениям отображать информацию на стартовом экране пользователя в виде динамически обновляемых плиток.

Те самые «плитки» в Windows 8

taskhostw.exe

Путь: %SystemRoot%\System32\taskhostw.exe
Родительский процесс: svchost.exe
Количество экземпляров: Один или больше
Время запуска: Может быть разным

Процесс Task Host Window отвечает за выполнение различных задач Windows.
С началом работы, taskhostw.exe начинает выполнять задачи, которые были назначены ему системой, а в течение работы системы выполняет непрерывный цикл прослушивания триггерных событий. Примеры триггерных событий, которые могут инициировать задачу, могут включать в себя:

Определенное расписание задач
Вход пользователя в систему
Запуск системы
Событие журнала Windows
Блокировка/ разблокировка рабочей станции и т.д.

Двое из ларца: В чем разница между Task Host Window и Task Scheduler?

Task Host Window отвечает за выполнение различных системных задач, например, запуск служб и выполнение запросов на исполнение программ. Taskhostw.exe может использоваться для запуска службы обновления Windows, перехода компьютера в режим сна или ожидания после определенного времени и так далее.

Task Sheduler, он же Планировщик задач, — инструмент, благодаря которому пользователь имеет возможность создавать задачи и запускать их по расписанию или при определенных событиях. Планировщик задач может быть использован для запуска программ, скриптов и автоматизации задач.

lsass.exe

Путь: %SystemRoot%\System32\lsass.exe
Родительский процесс: wininit.exe
Количество экземпляров: Один
Время запуска: В течение нескольких секунд после загрузки

Local Security Authentication Subsystem Service (Служба проверки подлинности локальной системы безопасности) отвечает за аутентификацию пользователей путем вызова соответствующего пакета аутентификации, указанного в HKLM\SYSTEM\CurrentControlSet\Control\Lsa. Обычно это Kerberos для учетных записей домена или MSV1_0 для локальных учетных записей. Помимо аутентификации пользователей, lsass.exe также отвечает за реализацию локальной политики безопасности (например, политики паролей и политики аудита), а также за запись событий в журнал событий безопасности.

Что любят котята: Mimikatz и LSASS

Многим известно, что злоумышленники могут использовать Mimikatz, зачастую для перехвата учетных данных в операционной системе, и делают они это за счет перехвата данных процесса lsass.exe.
Все просто: работает Mimikatz на уровне ядра и внедряется в процесс LSASS или использует метод DLL-injection. Кража учетных данных происходит либо за счет получения доступа к памяти процесса, в котором лежат заветные креды, либо за счет перехвата вызова функций до шифрования учетных данных.
Также Mimikatz не пренебрегает использованием стандартных функций Win32 LsaProtectMemory и LsaUnprotectMemory, которые используются для шифрования и расшифровки некоторых участков памяти с чувствительной информацией.

Чуть больше об lsass.exe можно прочитать тут.
И о любви котят к LSASS — тут.

winlogon.exe

Путь: %SystemRoot%\System32\winlogon.exe
Родительский процесс: smss.exe, который, запустив winlogon.exe, завершает работу
Количество экземпляров: Один или больше
Время запуска: В течение нескольких секунд после загрузки первого экземпляра, дополнительные экземпляры запускаются по мере создания новых сеансов (подключение с удаленного рабочего стола и быстрое переключение пользователей)

Winlogon обрабатывает интерактивный вход и выход пользователей из системы. Он запускает LogonUI.exe, который использует поставщика учетных данных для сбора учетных данных пользователя, а затем передает учетные данные lsass.exe для проверки.
После аутентификации пользователя Winlogon загружает NTUSER.DAT пользователя в HKCU, настраивает окружение пользователя, включая его рабочий стол, настройки реестра и т.д., и запускает оболочку пользователя explorer.exe через userinit.exe.

Совсем чуть-чуть об logonUI.exe

Да, название говорит само за себя: logonUI.exe отвечает за отображение экрана входа пользователя и за взаимодействие с пользователем при входе в систему. Если просто, то вывод того самого экрана входа и поля для ввода учетных данных — старания logonUI.exe.

..И об userinit.exe

Основная функция userinit.exe заключается в подготовке среды пользователя для работы в операционной системе.
Когда пользователь входит в систему, userinit.exe инициирует загрузку профиля пользователя, настройки оболочки (шаблоны рабочего стола, запуск программ и т.д.). После выполнения сих действий, userinit.exe запускает оболочку пользователя explorer.exe, которая отображает рабочий стол и другие элементы интерфейса, после чего завершает работу.

Кстати!

Обработка команд из CTRL+ALT+DEL, между прочим, тоже входит в обязанности winlogon.exe.
А тут можно почитать о Winlogon еще и узнать чуть больше — и про его состояния, и про GINA, и про все-все.

explorer.exe

Путь: %SystemRoot%\explorer.exe
Родительский процесс: userinit.exe, который завершает работу
Количество экземпляров: Один или больше, если включена опция Запускать окна с папками в отдельном процессе
Время запуска: Интерактивный вход пользователя

По своей сути, explorer.exe предоставляет пользователям доступ к файлам, хотя одновременно это файловый браузер через проводник Windows (тот самый Диспетчер файлов) и пользовательский интерфейс, предоставляющий такие функции, как:

Рабочий стол пользователя
Меню «Пуск»
Панель задач
Панель управления
Запуск приложений через ассоциации расширений файлов и файлы ярлыков

Словом, процесс отвечает за отображение действий пользователя: открытие и закрытие окон, перемещение и копирование файлов и тому подобное.

Запуск приложений через ассоциации расширений файлов

По сути, это процесс, при котором система использует информацию о расширении имени файла (например, .txt) для определения программы, которая будет запущена, чтобы обработать этот файл. Например, файл расширения .txt ассоциируется в системе с текстовым редактором, потому она запустит его при двойном щелчке мышью. Словом, ассоциации расширений файлов определяют, какие программы открываются по умолчанию для определенных типов файлов.

Также и с ярлыками — при щелчке запускается связанные с ними ресурсы.

Explorer.exe — это пользовательский интерфейс по умолчанию, указанный в значении реестра HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell, хотя Windows может работать и с другим интерфейсом, например, с cmd.exe.
Следует заметить, что легитимный explorer.exe находится в каталоге %SystemRoot%, а не %SystemRoot%\System32.

Explorer — это же браузер, нет?

В старые добрые времена, когда на системах еще стоял Internet Explorer, запуск этого браузера инициировал процесс iexplore.exe, и с каждой новой вкладкой создавался новый экземпляр этого процесса. Сейчас остался только explorer.exe, который ни в коем случае не связан с браузером.
Вместо Internet Explorer на наших системах стоит MS Edge, который имеет процесс msedge.exe, исполняемый файл которого лежит в \Program Files (x86)\Microsoft\Edge\Application\.

ctfmon.exe

Путь: %SystemRoot%\System32\ctfmon.exe
Родительский процесс: Зависит от того, какой процесс запустил ctfmon.exe
Количество экземпляров: Один
Время запуска: При входе в систему

Процесс ctfmon.exe или, как привыкли его видеть, CTF-загрузчик, управляет функциями рукописного и сенсорного ввода, распознавания голоса и переключения языка на панели задач. Также процесс отслеживает активные программы и настраивает языковые параметры для обеспечения поддержки многоязычного ввода.
Ctfmon.exe может быть запущен разными процессами, и это напрямую зависит от того, какие функции ввода или языка используются в системе. Примеры родительских процессов и причины запуска:

svchost.exe — использование рукописного ввода или распознавания речи
winword.exe, excel.exe и т.д. — использование программ пакета Microsoft Office
searchUI.exe — использование поиска на панели задач или приложения из магазина Windows 10

Конечно, это не исчерпывающий список легитимных процессов, но, как минимум, основной. Хочется верить, что этот материал был полезен тем, кто пугается страшных букв в Диспетчере задач и тем, кто просто хочет узнать немного больше.
Спасибо за прочтение!

Источник