Process explorer для microsoft windows

Process Explorer — это мощный инструмент от Microsoft Sysinternals, который позволяет глубже анализировать процессы, запущенные на нашем компьютере. Он заменяет стандартный Диспетчер задач Windows, предоставляя больше информации о процессах, их ресурсах и зависимостях. Вот пошаговое руководство, как пользоваться Process Explorer:

Перейдите на официальный сайт Sysinternals:

https://learn.microsoft.com/ru-ru/sysinternals/downloads/

Щелкните по ссылке «Sysinternals Suite», чтобы начать скачивать архив с набором служебных программ. Найдите в архиве файл «procexp.exe» («procexp64.exe» для x64) и разархивируйте в удобную директорию.

Process Explorer портативное приложение, не требует установки, но для полного доступа к функциям рекомендуется запускать программу от имени администратора: Правый клик мыши по файлу → «Запуск от имени администратора».

Основной интерфейс

После запуска вы увидите два окна: верхнее окно отображает список активных процессов, а нижнее — детали выбранного процесса (например, открытые файлы и каталоги).

Картинка с сайта: amur.pro

Просмотр процессов

В верхнем окне вы можете увидеть иерархию процессов. Каждый процесс может быть развернут, чтобы показать дочерние процессы.

Вы можете сортировать процессы по различным столбцам, таким как CPU, память и т.д.

Детали процесса

Выберите процесс в верхнем окне, чтобы увидеть его детали в нижнем окне.

В нижнем окне можно переключаться между вкладками, такими как DLLs, Handles, TCP/IP и другими, чтобы получить более подробную информацию.

Картинка с сайта: amur.pro

Поиск обработчиков

Используйте функцию поиска «Ctrl+F», чтобы найти, какой процесс использует определенный файл или каталог.

Картинка с сайта: amur.pro

Завершение процессов

Вы можете завершить процесс, выбрав его и нажав клавишу «Delete» или выбрав соответствующую опцию в контекстном меню.

Настройка Process Explorer

Настройка столбцов

Щёлкните правой кнопкой мыши на заголовке таблицы процессов. Выберите «Select Columns» , чтобы добавить или удалить столбцы (например, добавьте столбец «Private Bytes» для мониторинга потребления памяти).

Цветовая маркировка

Process Explorer автоматически выделяет некоторые процессы цветом:

• Красный: Процессы, подписанные недействительными сертификатами.
• Жёлтый: Процессы без цифровой подписи.

Вы можете настроить цвета через меню «Options» → «Configure Colors«.

Пример использования

Сценарий: Определение программы, которая использует много CPU

• Откройте Process Explorer.
• Найдите столбец «CPU» (если его нет, добавьте через «Select Columns» ).
• Найдите процесс с высоким использованием CPU.
• Щёлкните правой кнопкой мыши на процессе и выберите «Properties», чтобы узнать детали.
• Если процесс ненужный, завершите его через «Kill Process».

Преимущества Process Explorer перед стандартным Диспетчером задач

• Больше деталей о каждом процессе.
• Возможность просмотра открытых файлов и сетевых соединений.
• Поддержка проверки цифровых подписей.
• Гибкая настройка интерфейса и фильтров.

Теперь вы знаете основы работы с Process Explorer! Этот инструмент особенно полезен для IT-специалистов, разработчиков и пользователей, которые хотят глубже понимать, что происходит в их системе.

Время на прочтение5 мин

Количество просмотров103K

Process Explorer – альтернатива стандартному Task Manager-у. Эта утилита, как и многие другие утилиты Sysinternals, здорово расширяет возможности контроля и управления системой. Главное новшество только что вышедшей 14-ой версии — возможность мониторить сетевую активность процессов. Далее небольшой обзор возможностей этой утилиты, которые считаю наиболее полезными для себя.

Для справки. С 2006 года Sysinternals была приобретена Microsoft, а ключевая фигура этой компании – Марк Руссинович с тех пор работает в Microsoft. Марк известен своими утилитами, книгой Windows Internals, блогом и является признанным специалистом по архитектуре Windows.

Содержание:

• Колонки в главном окне
• Сервисы внутри svchost
• Суммарные графики активности, процесс с максимальной активностью
• Суммарные графики активности в трее, процесс с максимальной активностью
• Сетевые соединения процесса
• Потоки процесса, их активность, стек потока с загрузкой символов
• Информация по использованию памяти в системе
• Handles и DLL процесса
• Поиск handles и DLL

Колонки в главном окне

Картинка с сайта: habr.com

Картинка с сайта: habr.com

Для каждого процесса:

1. Имя процесса
2. Владелец процесса, я использую сортировку по этому полю, чтобы первыми шли пользовательские процессы, потом системные
3. Загрузка CPU процессом
4. Суммарное затраченное время CPU, интересно иногда обращать на это внимание, полезен для таймирования
5. Private bytes — объем занимаемой процессом памяти (реально выделенные страницы, исключая shared)
6. Peak private bytes — пиковое значение Private bytes, интересно иногда взглянуть до чего дело доходило
7. I/O read bytes — суммарный объем считанных с диска данных, по изменению видна активность
8. I/O write bytes — суммарный объем записанных на диск данных, по изменению видна активность
9. Network receive bytes — суммарный объем считанных из сети данных, по изменению видна активность
10. Network send bytes — суммарный объем переданных в сеть данных, по изменению видна активность
11. Описание процесса
12. Название компании
13. Полный путь к образу процесса (тут можно точно понять откуда стартовал процесс)
14. Командная строка запуска процесса

Сервисы внутри svchost

При наведении курсора на svchost (процесс который хостит в себе сервисы) можно видеть перечень сервисов – довольно полезная фича.

Картинка с сайта: habr.com

Суммарные графики активности, процесс с максимальной активностью

Сверху основного окна расположены графики основных суммарных параметров – память, дисковая, сетевая и CPU активность. При перемещении курсора по истории параметра, показан процесс который дал максимальный вклад в это значение в данный момент времени. Кроме того в тултипе есть информация о мгновенном значении параметра (зависит от частоты обновления). На следующей картинке — график сетевой активности.

В окне «system information» графики собраны вместе, здесь удобнее смотреть корреляцию параметров.

Картинка с сайта: habr.com

Суммарные графики активности в трее, процесс с максимальной активностью

Очень удобная фича – выведение в трей иконок с графиками суммарной активности. Там могут быть графики дисковой активности, CPU и память. Я использую первые два – поглядываю туда, при возникновении вопросов достаточно навести курсор и узнать какой процесс дает максимальный вклад в параметр. К сожалению сетевую активность туда нельзя выставить, я надеюсь это вопрос времени.

Сетевые соединения процесса

В свойствах процесса в закладке TCP/IP можно посмотреть текущие активные соединения. К сожалению сетевая активность по ним не видна, эта функциональность пока доступна в другой утилите – tcpview.

Картинка с сайта: habr.com

Потоки процесса, их активность, стек потока с загрузкой символов

В свойствах процесса в закладке threads видны все его потоки и загрузка CPU по потокам. Допустим хочется рассмотреть стек потока, который интенсивно что-то делает или висит. Для этого сперва надо его распознать, допустим по загрузке CPU, потом полезно приостановить процесс, чтобы спокойно рассмотреть его состояние — это можно сделать прямо в этом окне по кнопке “suspend”. Далее выделяем поток и нажимаем “stack”. В большинстве случаев стек будет начинаться в недрах системы и обрываться не совсем понятным образом. Дело в том, что не имея отладочной информации по системным библиотекам не удастся корректно развернуть стек и разобраться в нем. Есть решение – нужно сконфигурировать доступ с символьной информации с сайта Microsoft. Надо проделать несколько шагов:

1. Установить Debugging Tools. Из приведенной ссылки надо пойти по ссылке “Debugging Tools for Windows 32-bit Versions” или “Debugging Tools for Windows 64-bit Versions”. Далее выбрать для скачивания последнюю версию не интегрированную в SDK, иначе это выльется в скачивание огромного объема SDK, а так всего несколько Mb.
2. Настроить доступ к символам в Process Explorer. Options –> Configure Symbols. В одном поле задаем путь к dbghelp.dll, которая находится внутри установленного продукта из шага 1. Во втором настраиваем такую хитрую строку: “srv*C:\Symbols*http://msdl.microsoft.com/download/symbols”. Часть строки указывает на локальный кэш для PDB файлов, вторая часть на путь к серверу для скачивания.
3. Теперь список потоков и стек будут более информативны. При открытии этих окон может происходить задержка на время подкачки PDB файлов с сервера Microsoft, но делается это один раз для каждой версии модуля, результат кэшируется в выбранной папке.

Картинка с сайта: habr.com

Картинка с сайта: habr.com

Информация по использованию памяти в системе

В окне «system information» закладка «memory». Здесь есть два графика – commit и physical. Physical – использование физической памяти без учета файлового кэша, под который уходит все что остается. Commit – сколько памяти выделено для процессов включая используемую виртуальную память. Под графиками в разделе «Commit Charge» есть поля Limit и Peak. Limit определяется суммой физической и виртуальной памяти, т.е. это максимальный суммарный объем памяти, который может выделить система. Peak – это максимум графика Commit за время работы утилиты. Процентные соотношения Current/Limit и Peak/Limit удобны для быстрой оценки насколько состояние системы приближалось к критическому лимиту по доступной памяти.

Картинка с сайта: habr.com

Handles и DLL процесса

В главном окне можно включить разделитель и снизу отображать DLL или handles выделенного процесса. При борьбе с вирусами и отладке программ это бывает очень полезно. На картинке — список handles для opera, первый handle файловой системы – это flash ролик в временном каталоге.

Картинка с сайта: habr.com

Для DLL можно добавить колонку с полным путем к образу, отсортировав по нему, проанализировать нет ли каких подозрительных модулей. На картинке видно, что подключен модуль от Logitech, есть подозрение что это что-то типа хука внедряющегося во все процессы. Следующим пунктом посмотрим где он еще встречается.

Картинка с сайта: habr.com

Поиск handles и DLL

Поиск по имени handle или DLL во всех процессах. Вводим имя DLL от Logitech из предыдущего пункта и убеждаемся что подключается он почти везде.

Картинка с сайта: habr.com

Другой пример – надо понять, кто блокирует файл или работает с папкой. Вводим часть пути и находим все процессы, которые открыли подобные объекты системы. Можно щелкнуть на элементе из списка и перейти к процессу, при этом будет подсвечен соответствующий handle или DLL.

Картинка с сайта: habr.com

PS Для отображения некоторых полей (например сетевая статистика) требуются административные привилегии. Повысить привилегии в уже запущенном Process Explorer можно с помощью команды в меню File. Только при наличии таких привилегий есть возможность добавить такие колонки. Я считаю такое поведение неверным, т.к. скрывает потенциальные возможности приложения от пользователя. Если поля добавлены и при следующем запуске нет административных прав, то они будут пустыми. Можно задать ключ «/e» в командной строке, чтобы форсировать поднятие привилегий при старте Process Explorer.