Этот урок из серии Geek School охватывает Process Explorer, пожалуй, самое используемое и полезное приложение в наборе инструментов SysInternals. Но насколько хорошо вы действительно знаете эту утилиту?
Process Explorer, приложение для управления задачами и системным монитором, существует с 2001 года, и хотя раньше оно работало даже в Windows 9x, современные версии поддерживают только XP и выше, и они постоянно пополняются функциями для современных версий Окна. Это стандарт defacto для работы с процессами устранения неполадок.
Так что же может делать Process Explorer?
Некоторые из лучших функций включают следующее, хотя это далеко не полный список. Это приложение имеет много функций, и многие из них скрыты глубоко в интерфейсе. Удивительно, но это также очень маленький файл.
Каждый раз, когда у вас возникают проблемы с приложением, или что-то продолжает зависать на вашем компьютере, или, возможно, вы пытаетесь выяснить, для чего используется тот или иной DLL-файл, Process Explorer является инструментом для этой работы.
Когда вы впервые запускаете Process Explorer, вы сразу получаете много визуальных данных — существует иерархическое древовидное представление процессов, запущенных на вашем компьютере, включая использование ЦП и ОЗУ с использованием числовых значений для каждого процесса. В верхней части панели инструментов есть несколько маленьких мини-графиков активности, показывающих загрузку процессора, которые можно щелкнуть для отображения в отдельном окне.
Там определенно много чего происходит, и было бы легко быть пораженным всем на экране.
Первоначальное отображение дает вам набор столбцов, которые включают в себя:
Нажатие на Process будет переключаться между сортировкой по имени процесса или возвращением к представлению дерева по умолчанию, что очень полезно, когда вы привыкнете к нему.
В случае быстро закрывающегося процесса, однако, вы захотите добавить дополнительные столбцы в представление по умолчанию для всего, что вам может понадобиться знать, потому что нажатие на несуществующий процесс в списке не будет сильно отображаться в подробном представлении, если процесс не работает, даже если вы все приостановили.
Понимание всех этих цветов
В типичном списке Process Explorer определенно много цветов, что может немного запутать начинающего гика. Очень важно узнать, что означают все эти цвета, потому что они не только для показа — каждый из них означает что-то важное.
Основываясь на цветах на картинке выше, вот что означает каждый из выбранных элементов (остальные не очень важны).
Поскольку очевидно, что эти разные сценарии частично совпадают, цвета будут применяться в порядке приоритета. Если процесс является услугой и приостановлен, он будет отображаться темно-серым, потому что этот цвет важнее.
Проверка подлинности приложения
Эта опция будет проверять цифровую подпись для каждого исполняемого файла в списке, который является бесценным инструментом устранения неполадок, когда вы смотрите на какое-то подозрительное приложение, работающее в списке.
На этом этапе подавляющее большинство надежного программного обеспечения должно иметь цифровую подпись. Если что-то не так, вы должны очень внимательно посмотреть, стоит ли вам это использовать.
Принятие мер в отношении процесса
Вы можете быстро выполнить действие с любым процессом, щелкнув по нему правой кнопкой мыши и выбрав один из вариантов, или используя сочетания клавиш, если вы предпочитаете. Эти варианты включают в себя:
И, очевидно, если вы откроете Свойства, которые приведут вас к еще более полезной информации о процессе, о которой мы поговорим во время следующего урока.
Примечание: мы протестировали параметр Temp, но понятия не имели, что он делает.
Запуск от имени администратора
Хотя вам совершенно не обязательно запускать Process Explorer от имени администратора, без этого многие полезные функции не будут работать, и вы не сможете увидеть столько информации о каждом процессе.
Если вы работаете в Windows XP или 2003, вам нужно будет работать как учетная запись, обладающая полными правами администратора для использования большинства функций. Вероятно, это не проблема для большинства людей, потому что XP все равно предоставил учетной записи по умолчанию полные привилегии, но если вы пытаетесь использовать это на работе без доступа администратора, это не сработает.
Интересный факт: Process Explorer фактически использует привилегию Debug Programs, которая объясняет, почему она настолько мощная.
Принудительное открытие Process Explorer от имени администратора
Если вы хотите убедиться, что Process Explorer всегда открывается как Администратор без необходимости щелкать правой кнопкой мыши по нему, вы можете принудительно сделать это, либо сделав специальный ярлык, требующий режима Администратора, либо открыв Свойства для procxp.exe, перейдите в раздел Совместимость, а затем выберите опцию «Запустить эту программу от имени администратора».
В любом случае, все будет работать нормально, или вы также можете просто отключить UAC, если хотите, что заставляет все время работать от имени администратора. Мы не рекомендуем это, но вы можете сделать это.
Использование Process Explorer для замены диспетчера задач
Process Explorer долгое время использовался в качестве мощной замены ранее анемичного приложения «Диспетчер задач» во всех версиях Windows до Windows 8, и, предполагая, что вам нужны реальные возможности, он работает очень хорошо, как замена в этой версии.
Примечание. Диспетчер задач Windows 8 значительно улучшен по сравнению с предыдущими версиями. Он по-прежнему не такой мощный, как Process Explorer, но, вероятно, его легче использовать обычным людям. Так что не меняй мамин компьютер по умолчанию на Process Explorer.
Как только вы это сделаете, с помощью сочетания клавиш CTRL + SHIFT + ESC или щелчка правой кнопкой мыши на панели задач будет запущен Process Explorer, а не диспетчер задач.
Предупреждение : если вы замените диспетчер задач, убедитесь, что вы поместили Process Explorer в место, где вы не будете случайно перемещать или удалять файл. В противном случае вы застрянете в системе, которая не может запустить диспетчер задач.
Использование Process Explorer в качестве Awesome Tray Icon Monitor
Одна из лучших функций Process Explorer — возможность минимизировать его в системном трее, но вместо одного значка он может превратиться в полный набор значков, которые могут контролировать CPU, I / O, Disk, Network, GPU и RAM, или любая их комбинация. Вы можете настроить их для отображения отдельно, или не на всех, если вы предпочитаете.
Чтобы настроить это, откройте меню «Параметры», перейдите в раздел «Значки на панели задач», а затем нажмите, чтобы включить все значки на панели задач, которые вы хотели бы видеть.
Вы можете просто запускать Process Explorer при каждом запуске компьютера, а затем свернуть его в системный трей, чтобы он всегда был рядом с вами. И, конечно же, если вы использовали опцию для замены диспетчера задач, вы можете быстро получить к нему доступ в любое время с помощью сочетания клавиш — хотя вы можете использовать опцию «Разрешить только один экземпляр», чтобы убедиться, что вы не открываете куча отдельных окон.
Использование Process Explorer для быстрого поиска VirusTotal
Если вы работаете на проблемном ПК и хотите выяснить, является ли процесс вирусом, вы можете сэкономить некоторое время, используя Process Explorer версии 16 или выше, поскольку они добавили интеграцию VirusTotal непосредственно в приложение. Просто щелкните правой кнопкой мыши на любом месте в списке, чтобы увидеть опцию.
При первом запуске вам будет предложено принять условия использования VirusTotal, но после этого вы увидите результаты VirusTotal, которые будут отображены прямо в списке.
Использование Process Explorer для устранения неполадок и диагностики
На следующем уроке нашей серии мы собираемся углубиться в то, как использовать Process Explorer в некоторых реальных сценариях для устранения распространенных проблем, таких как вредоносные программы и программное обеспечение. Обязательно следите за обновлениями до конца серии.
Понимание того, как работают диалоги и параметры Process Explorer, — все хорошо, но как насчет того, чтобы использовать его для какого-то фактического устранения неполадок или для диагностики проблемы? Сегодняшний урок Geek School поможет вам научиться делать именно это.
Не так давно мы начали исследовать все виды вредоносного и программного обеспечения, которое устанавливается автоматически каждый раз, когда вы не обращаете внимания при установке программного обеспечения. Почти все бесплатные программные продукты на рынке, включая «авторитетные», включают в себя панели инструментов, ужасный поиск или рекламное ПО, и некоторые из них трудно устранить.
Мы видели много компьютеров от людей, которые, как мы знаем, установили столько шпионского и рекламного ПО, что ПК даже почти не загружается. В частности, попытка загрузить веб-браузер практически невозможна, поскольку все рекламное и отслеживающее программное обеспечение конкурирует за ресурсы, позволяющие украсть вашу личную информацию и продать ее тем, кто предложит самую высокую цену.
Естественно, мы хотели провести небольшое исследование того, как некоторые из них работают, и нет лучшего места для начала, чем вредоносная программа Conduit Search, которая унесла сотни миллионов компьютеров по всему миру. Этот гнусный ужас захватывает вашу поисковую систему в вашем браузере, меняет вашу домашнюю страницу, и, что самое неприятное, она захватывает вашу страницу новой вкладки, независимо от того, какой браузер установлен.
Мы начнем с рассмотрения этого, а затем покажем, как использовать Process Explorer для устранения ошибок, связанных с заблокированными файлами и папками, которые используются.
И затем мы закончим с другим взглядом на то, как некоторые рекламные программы в наши дни прячутся за процессами Microsoft, поэтому они выглядят законными в Process Explorer или Task Manager, хотя на самом деле это не так.
Исследование вредоносного ПО для поиска в кабелепроводе
Как мы уже упоминали, поисковик-угонщик Conduit — это одна из самых стойких, ужасных и ужасных вещей, которые почти каждый из ваших родственников, вероятно, имеет на своем компьютере. Они связывают свое программное обеспечение неясными способами с любым бесплатным программным обеспечением, которое они могут, и во многих случаях, даже если вы решите отказаться, угонщик все равно будет установлен.
Conduit устанавливает то, что они называют «Search Protect», что, по их утверждению, не позволяет вредоносным программам вносить изменения в ваш браузер. Чего они не упоминают, так это того, что он также не позволяет вам вносить какие-либо изменения в их браузер, если вы не используете их панель Search Protect для внесения этих изменений, о которых большинство людей не узнают, так как они находятся в системном трее.
Conduit не только перенаправит все ваши поиски на собственную страницу Bing, но и сделает ее домашней страницей. Можно предположить, что Microsoft платит им за весь этот трафик Bing, так как они также передают в строке запроса аргументы типа ?
Интересный факт: компания, стоящая за этим куском мусора, стоит 1,5 миллиарда долларов, а JP Morgan вложил в них 100 миллионов долларов. Быть злом выгодно.
Взлом вашей поисковой и домашней страницы является тривиальным для любого вредоносного ПО. Именно здесь Conduit усиливает зло и каким-то образом переписывает страницу «Новая вкладка», чтобы заставить ее отображать Conduit, даже если вы меняете все настройки.
Вы можете удалить все свои браузеры или даже установить браузер, который вы не устанавливали ранее, например Firefox или Chrome, и Conduit все равно сможет захватить страницу «Новая вкладка».
Кто-то должен быть в тюрьме, но они, вероятно, на яхте.
С точки зрения навыков гиков не требуется больших усилий, чтобы в конечном итоге сделать вывод, что проблема заключается в приложении Search Protect, запущенном в системном трее. Завершите этот процесс, и вдруг ваши новые вкладки откроются именно так, как задумал создатель браузера.
Но как именно это происходит? В любом из браузеров не установлены надстройки или расширения. Там нет никаких плагинов. Как они это делают?
Здесь мы обращаемся к Process Explorer, чтобы провести некоторое исследование. Во-первых, мы найдем процесс Search Protect в списке, который достаточно прост, потому что он имеет правильное имя, но если вы не уверены, вы всегда можете открыть окно и использовать маленький значок «бычий глаз» рядом с бинокль, чтобы выяснить, какой процесс принадлежит окну.
Теперь вы можете просто выбрать соответствующий процесс, который в данном случае был одним из трех, которые автоматически запускаются службой Windows, которую устанавливает Conduit. Как я узнал, что служба Windows перезапускает ее? Потому что цвет этой строки розовый, конечно. Вооружившись этим знанием, я всегда мог остановить или удалить службу (хотя в данном конкретном случае вы можете просто удалить ее из раздела «Удаление программ» на панели управления).
Примечание: в мире Windows «дескриптор» — это целочисленное значение, которое используется для уникальной идентификации ресурса в памяти, такого как окно, открытый файл, процесс или многие другие вещи. Каждое открытое окно приложения на вашем компьютере имеет, например, уникальный «дескриптор окна», который можно использовать для ссылки на него.
Библиотеки DLL, или библиотеки динамических ссылок, являются общими частями скомпилированного кода, которые хранятся в отдельном файле для совместного использования несколькими приложениями. Например, вместо того, чтобы каждое приложение записывало свои собственные диалоги открытия / сохранения файлов, все приложения могут просто использовать общий код диалога, предоставленный Windows в файле comdlg32.dll.
Просмотр списка маркеров в течение нескольких минут приблизил нас к тому, что происходило, потому что мы нашли маркеры для Internet Explorer и Chrome, которые в настоящее время открыты в тестовой системе. Мы определенно подтвердили, что Search Protect что-то делает с нашими открытыми окнами браузера, но нам нужно еще немного изучить, чтобы выяснить, что именно.
Следующее, что нужно сделать, — это дважды щелкнуть процесс в списке, чтобы открыть представление сведений, а затем перейти на вкладку «Изображение», которая предоставит вам информацию о полном пути к исполняемому файлу, командной строке и даже рабочая папка. Мы нажмем кнопку «Исследовать», чтобы взглянуть на папку установки и посмотреть, что там еще скрывается.
Мы нашли здесь несколько DLL-файлов, но по какой-то странной причине ни один из этих DLL-файлов не был указан в представлении DLL для процесса Search Protect, когда мы рассматривали его ранее. Это может быть проблемой.
В любое время, когда вы захотите узнать, используется ли файл DLL в настоящее время каким-либо приложением в вашей системе, вы можете открыть панель поиска, перейдя в меню «Поиск», нажав сочетание клавиш CTRL + F или просто щелкнув значок бинокля на панели инструментов. Теперь введите часть имени DLL или даже полное имя, если хотите.
Мы решили искать только начало, «SPVC», так как это была общая связь между ними, и, конечно же, похоже, что эти DLL загружаются непосредственно в каждый из процессов браузера, запущенных на нашем компьютере.
Нажав на один из пунктов в списке и переключившись на страницу «Темы», мы подтвердили то, что нас беспокоило. И в Chrome, и в Internet Explorer были запущены потоки с использованием файлов SPVC32.dll или SPVC64.dll из вредоносной программы Search Protect, и именно так они угоняли нашу новую вкладку — не изменяя настройки, а угоняя браузер изнутри.
Примечание. В Windows поток — это то, что операционная система выделяет для загрузки времени процессора. Процесс в Windows — это то, о чем мы привыкли думать как гики и системные администраторы, но технически потоки — это единственное, что работает в Windows, а не процессы. Некоторые процессы могут иметь только один поток выполнения, но другие могут иметь много потоков, которые все работают отдельно друг от друга, обычно взаимодействуя с каким-то внутрипроцессным механизмом связи.
Вы также можете дважды щелкнуть по любому из потоков, чтобы увидеть полный стек выполнения, что может быть полезно, чтобы увидеть, какие функции вызываются, и попытаться выяснить, в чем проблема.
Стоит также отметить, что вы можете увидеть загрузку ЦП для каждого потока, углубившись в этот уровень детализации, что может быть очень полезно при устранении неполадок в приложении с плагинами. Вы можете использовать это, чтобы выяснить, что определенный файл DLL занимает слишком много процессорного времени, а затем провести некоторое исследование того, к чему принадлежит этот компонент.
Работа с заблокированными файлами или папками
Поскольку маловероятно, что вы будете постоянно исследовать вредоносное ПО, также полезно использовать Process Explorer для других задач, например, для работы с теми «Используемыми» диалоговыми окнами, которые вы можете в любое время пытаться удалить, переместить или изменить файл или папка, которая используется другим процессом, особенно если вы не уверены, какой процесс его блокирует.
Когда вы получаете сообщение об ошибке, похожее на это, просто перейдите в Process Explorer, откройте поиск с помощью сочетания клавиш CTRL + F или значка, а затем введите имя папки, указанной выше (или более полный описательный путь, если имя очень расплывчатый).
Вы очень быстро увидите процесс в списке, в котором открыт файл или папка, и вы можете дважды щелкнуть по нему, чтобы идентифицировать процесс в списке.
Ваша немедленная реакция может заключаться в том, чтобы просто закрыть этот процесс, но вам не обязательно делать это. Вы также можете щелкнуть правой кнопкой мыши файл или папку в списке дескрипторов (используйте опцию CTRL + H, чтобы вызвать список дескрипторов) и выбрать опцию «Закрыть дескриптор». Этот ресурс теперь разблокирован!
Примечание. Если вы что-то удаляете, это идеальный вариант, но если вы просто пытаетесь отредактировать или переместить этот элемент, вам, вероятно, следует открыть приложение-нарушитель и разобраться с ним там, чтобы не потерять данные.
Исследование процессов, которые выглядят безопасными, но не являются
В ходе нашего исследования вредоносных программ мы заметили еще одну проблему, которая становится все более распространенной, поэтому целесообразно следить за ней в будущем. Что это за проблема? Вредоносное ПО скрывается за законными процессами Windows и хорошо работает.
Проблема заключается в служебной программе Windows rundll32.exe, которую можно использовать для произвольного запуска функций из файлов DLL. Поскольку эта утилита подписана Microsoft, она отображается в списке как совершенно законный процесс, но в действительности они просто переносят весь свой код вредоносного / рекламного ПО в файл . DLL вместо файла . EXE, а затем вместо этого загрузите вредоносную программу с помощью rundll32.exe. На самом деле, если вы видите, что rundll32.exe работает как «собственный процесс» в голубом цвете, показанном ниже, это почти всегда то, что не должно выполняться.
В приведенном ниже примере вы можете видеть, что, хотя мы использовали функцию Verified Signer для проверки этого элемента, когда мы наводим указатель мыши на него и просматриваем полный путь, он фактически загружает DLL, которая оказывается частью рекламного ПО. продукт.
Примечание: прежде чем вы начнете кричать о запуске антивирусной проверки, мы заметим, что мы сделали, и ничего не получилось. Многие из этих программных, рекламных и шпионских программ игнорируются антивирусными утилитами.
Двойной щелчок, чтобы открыть подробности, показывает еще одну проблему, и мы также можем увидеть каталог, в котором заканчивается вредоносное ПО, которое мы будем использовать для дальнейшего изучения.
Внутри этого каталога мы нашли несколько файлов, которые постоянно обновлялись в фоновом режиме.
Остальное расследование привело к появлению некоторых других инструментов, которые не были SysInternals, и о которых мы, вероятно, расскажем позже, но достаточно сказать, что это всего лишь часть вредоносного ПО, работавшего в сочетании с другим приложением для работы с программным обеспечением. ,
Важным моментом здесь является то, что вредоносные программы могут скрываться за легитимными исполняемыми файлами Windows, поэтому не забывайте следить за чем-либо подобным.
Оставайтесь с нами завтра, чтобы еще больше узнать о SysInternals, поскольку мы покажем вам, как использовать утилиту Process Monitor для отслеживания того, что приложения на самом деле делают за кулисами. Это откроет глаза.
Каждый пользователь Windows использовал диспетчер задач хотя бы один раз. Это важная встроенная утилита, которая собирает важную информацию об активных процессах и потреблении ресурсов, которая пригодится, когда что-то пойдет не так, когда завершается процесс.
Да, диспетчер задач является ценным инструментом для всех пользователей Windows, но только для начинающих и промежуточных пользователей, которые считают его подходящим для всего, что им нужно сделать. Однако, если вы продвинутый пользователь, вам, вероятно, понадобятся дополнительные функции.
Проще говоря, там, где заканчиваются возможности диспетчера задач, появляется Process Explorer. Бесплатный расширенный менеджер задач и системный монитор работает на платформе Microsoft и создан одним из самых известных энтузиастов Windows, Марком Руссиновичем. Сегодня мы представляем вам подробное объяснение этого инструмента и всех его возможностей.
Как использовать Process Explorer
По сравнению с диспетчером задач Windows 10 интерфейс Process Explorer немного запутан и не так удобен для пользователя. Пока простые задачи не должны представлять проблему. Тем не менее, для выполнения более сложных задач вам необходимо понять структуру программы, что не должно занимать более нескольких минут.
В левой части главного окна вы увидите активные процессы с подробным списком подпроцессов, представленным в виде дерева. На противоположной стороне вы можете увидеть стандартные подобные задачам столбцы отличительных процессов. Конечно, вы можете настроить столбцы в соответствии с вашими потребностями или использовать их для отслеживания определенного потребления. Особый акцент делается на столбце Название компании. Это лучший способ округлить доверенные сервисы и удалить (позднее удалить) те, которые могут быть вредоносными.
Над правой стороной главного окна вы увидите функции мониторинга Process Explorer. Там в режиме реального времени системная информация с использованием ЦП и ОЗУ и HDD и GPU деятельности. С левой стороны, над деревом процессов, вы увидите доступные параметры, которые в основном похожи на стандартный диспетчер задач.
Если вы хотите проверить определенный процесс, вы можете приостановить обновления с помощью пробела и нажать Ctrl + H для панели Handle View.
Пока вы можете сделать вывод, что это просто плохо спроектированный диспетчер задач, но вы ошибаетесь. С другой стороны, этот инструмент намного лучше для сложных задач, особенно когда дело доходит до поиска вредоносных программ.
Во-первых, с помощью Process Explorer вы можете завершить все дерево процессов вместо одного процесса. Вы, вероятно, столкнулись со сбоями Chrome / Firefox и перешли к диспетчеру задач, чтобы остановить эти махинации, и там вместо одного процесса вы увидели 5-10 запущенных процессов. С Process Explorer вы просто убиваете дерево процессов и все. Вы можете использовать эту функцию, щелкнув правой кнопкой мыши по нужному процессу и выбрав Kill Process, или вы можете использовать комбинацию клавиш Shift + Delete для тех же результатов.
Возможно, вы также пытались удалить / переместить / переименовать определенный процесс ddx, но система предложила вам сообщение «Этот файл открыт в другой программе». И иногда вы будете знать, какая программа мешает вам предпринять дальнейшие действия, но иногда вы этого не сделаете. Здесь вам пригодится Process Explorer, позволяющий определить процесс, заблокировавший ваш файл. Просто откройте Process Explorer, нажмите Ctrl + F и введите имя файла. Завершите процесс и продолжайте выполнять предыдущие действия.
Заменить диспетчер задач
Хотя Диспетчер процессов является сторонним инструментом, вы можете установить его в качестве диспетчера задач по умолчанию. Да, вы правильно поняли: Process Explorer может полностью заменить встроенный диспетчер задач. Вы можете запустить его с помощью Ctrl + Alt + Delete или Ctrl + Shift + Escape, точно так же, как и в собственном диспетчере задач. Но в этом есть как положительные, так и отрицательные стороны.
Чтобы заменить диспетчер задач на Process Explorer, откройте «Параметры» и нажмите «Заменить диспетчер задач». Имейте в виду, что вам нужно административное разрешение для завершения действия.
Это должно обернуть это. Если вы стремитесь улучшить свой общий контроль над ПК, не смотрите дальше. Process Explorer поможет вам во многих отношениях.
Вы пробовали Process Explorer?
Скажите нам свое мнение в комментариях.
СВЯЗАННЫЕ ИСТОРИИ, КОТОРЫЕ ВЫ ДОЛЖНЫ ПРОВЕРИТЬ:
Время на прочтение
Process Explorer – альтернатива стандартному Task Manager-у. Эта утилита, как и многие другие утилиты Sysinternals, здорово расширяет возможности контроля и управления системой. Главное новшество только что вышедшей 14-ой версии — возможность мониторить сетевую активность процессов. Далее небольшой обзор возможностей этой утилиты, которые считаю наиболее полезными для себя.
Для справки. С 2006 года Sysinternals была приобретена Microsoft, а ключевая фигура этой компании – Марк Руссинович с тех пор работает в Microsoft. Марк известен своими утилитами, книгой Windows Internals, блогом и является признанным специалистом по архитектуре Windows.
Колонки в главном окне
Для каждого процесса:
Сервисы внутри svchost
При наведении курсора на svchost (процесс который хостит в себе сервисы) можно видеть перечень сервисов – довольно полезная фича.
Суммарные графики активности, процесс с максимальной активностью
Сверху основного окна расположены графики основных суммарных параметров – память, дисковая, сетевая и CPU активность. При перемещении курсора по истории параметра, показан процесс который дал максимальный вклад в это значение в данный момент времени. Кроме того в тултипе есть информация о мгновенном значении параметра (зависит от частоты обновления). На следующей картинке — график сетевой активности.
В окне «system information» графики собраны вместе, здесь удобнее смотреть корреляцию параметров.
Суммарные графики активности в трее, процесс с максимальной активностью
Очень удобная фича – выведение в трей иконок с графиками суммарной активности. Там могут быть графики дисковой активности, CPU и память. Я использую первые два – поглядываю туда, при возникновении вопросов достаточно навести курсор и узнать какой процесс дает максимальный вклад в параметр. К сожалению сетевую активность туда нельзя выставить, я надеюсь это вопрос времени.
Сетевые соединения процесса
В свойствах процесса в закладке TCP/IP можно посмотреть текущие активные соединения. К сожалению сетевая активность по ним не видна, эта функциональность пока доступна в другой утилите – tcpview.
Потоки процесса, их активность, стек потока с загрузкой символов
В свойствах процесса в закладке threads видны все его потоки и загрузка CPU по потокам. Допустим хочется рассмотреть стек потока, который интенсивно что-то делает или висит. Для этого сперва надо его распознать, допустим по загрузке CPU, потом полезно приостановить процесс, чтобы спокойно рассмотреть его состояние — это можно сделать прямо в этом окне по кнопке “suspend”. Далее выделяем поток и нажимаем “stack”. В большинстве случаев стек будет начинаться в недрах системы и обрываться не совсем понятным образом. Дело в том, что не имея отладочной информации по системным библиотекам не удастся корректно развернуть стек и разобраться в нем. Есть решение – нужно сконфигурировать доступ с символьной информации с сайта Microsoft. Надо проделать несколько шагов:
Информация по использованию памяти в системе
В окне «system information» закладка «memory». Здесь есть два графика – commit и physical. Physical – использование физической памяти без учета файлового кэша, под который уходит все что остается. Commit – сколько памяти выделено для процессов включая используемую виртуальную память. Под графиками в разделе «Commit Charge» есть поля Limit и Peak. Limit определяется суммой физической и виртуальной памяти, т.е. это максимальный суммарный объем памяти, который может выделить система. Peak – это максимум графика Commit за время работы утилиты. Процентные соотношения Current/Limit и Peak/Limit удобны для быстрой оценки насколько состояние системы приближалось к критическому лимиту по доступной памяти.
Handles и DLL процесса
В главном окне можно включить разделитель и снизу отображать DLL или handles выделенного процесса. При борьбе с вирусами и отладке программ это бывает очень полезно. На картинке — список handles для opera, первый handle файловой системы – это flash ролик в временном каталоге.
Для DLL можно добавить колонку с полным путем к образу, отсортировав по нему, проанализировать нет ли каких подозрительных модулей. На картинке видно, что подключен модуль от Logitech, есть подозрение что это что-то типа хука внедряющегося во все процессы. Следующим пунктом посмотрим где он еще встречается.
Поиск handles и DLL
Поиск по имени handle или DLL во всех процессах. Вводим имя DLL от Logitech из предыдущего пункта и убеждаемся что подключается он почти везде.
PS Для отображения некоторых полей (например сетевая статистика) требуются административные привилегии. Повысить привилегии в уже запущенном Process Explorer можно с помощью команды в меню File. Только при наличии таких привилегий есть возможность добавить такие колонки. Я считаю такое поведение неверным, т.к. скрывает потенциальные возможности приложения от пользователя. Если поля добавлены и при следующем запуске нет административных прав, то они будут пустыми. Можно задать ключ “/e” в командной строке, чтобы форсировать поднятие привилегий при старте Process Explorer.
