Обзор утилиты Process Explorer от Sysinternals.com

Этот обзор — продолжение цикла статей о свободно распространяемых на Sysinternals.com утилитах. В этом обзоре будет рассмотрен интерфейс и основные возможности утилиты Process Explorer, которая окажет неоценимую помощь в просмотре и управлении процессами. Скачать утилиту можно на странице загрузки Process Explorer. Размер архива 268 килобайт.

Утилита не требует установки. Достаточно распаковать архив и запустить файл procexp.exe. Откроется главное окно утилиты, которое показано на рисунке ниже.

В верхней части окна в древовидной структуре перечислены все работающие в системе процессы. Помимо имени процесса выводится информация об использовании процессора, описание процесса, объем занятой памяти. Двойной щелчок по имени процесса открывает окно его свойств, пример которого показан ниже.

В нижней части главного окна показана детальная информация о выделенном в верхней части процессе. Это может быть список библиотек, используемых процессом или список хэндлов (открытых файлов, ключей реестра и т.д.). Двойной щелчок мыши по имени библиотеки или хэндла открывает окно свойств. Для получения описания библиотеки при помощи щелчка правой кнопки мыши по её имени можно открыть меню, выбор в котором пункта Google отправляет запрос в поисковую систему с именем выбранной библиотеки.

Для любого процесса при помощи щелчка правой кнопки мыши по имени процесса можно изменить его приоритет, завершить его выполнение или завершить выполнение процесса и его дерева. Полезная особенность Process Explorer заключается в том, что работу любого процесса можно приостановить (suspend), а потом возобновить (resume). Приостановка работы процесса может временно освободить занятые им ресурсы (процессор, сеть, жёсткий диск) для использования другими приложениями. Приостановив выполнение процесса можно определить, например, какой процесс открывает окна или проявляет повышенную сетевую активность. Это бывает необходимо сделать при подозрении на заражение компьютера вирусом или для пресечения работы рекламного программного обеспечения, которое устанавливается на компьютер без ведома пользователя.

Process Explorer предоставляет в распоряжение пользователя удобный инструмент, с помощью которого очень просто определить то, каким процессом открыто определённое окно. Для этого следует перетащить с панели инструментов Process Explorer кнопку в любое место открывшегося окна. После этого в верхней части главного окна Process Explorer будет подсвечено имя искомого процесса.

При помощи пункта меню Options — Replace Task Manager можно заменить стандартный Диспетчер задач Windows на Process Explorer. После такой замены по нажатию комбинации клавиш Ctrl+Shift+Esc будет открываться Process Explorer. Информация о системе, вызываемая из Process Explorer при помощи Ctrl+I, более полная, чем аналогичная вкладка Диспетчера задач Windows. Её пример показан на рисунке ниже.

Process Explorer может вывести скрытое окно приложения на экран. Некоторые программы не восстанавливают свой значок в трее, и если оболочка по каким-то причинам перезагружается, то после этого доступ к интерфейсу свёрнутой в трей программы получить будет невозможно. Придется завершать её через Диспетчер задач и запускать заново с потерей всех несохранённых данных. Воспользовавшись пунктом контекстного меню Bring to Front можно получить доступ к такому окну и сохранить данные.

Помимо прочего, при помощи Process Explorer можно выгрузить в текстовый файл список всех процессов с описаниями и объёмом занятой каждым из них памяти, запустить любое приложение, выключить, перезагрузить или заблокировать компьютер, найти используемые библиотеки и хэндлы, включить подсветку цветом определённых процессов и так далее. Всё это помогает контролировать работающие процессы и получать исчерпывающую информацию об использовании системных ресурсов.

Process Explorer v16.32

By Mark Russinovich

Published: April 28, 2020

Download Process Explorer (2.5 MB)
Run now from Sysinternals Live.

Introduction

Ever wondered which program has a particular file or directory open? Now you can find out. Process Explorer shows you information about which handles and DLLs processes have opened or loaded.

The Process Explorer display consists of two sub-windows. The top window always shows a list of the currently active processes, including the names of their owning accounts, whereas the information displayed in the bottom window depends on the mode that Process Explorer is in: if it is in handle mode you’ll see the handles that the process selected in the top window has opened; if Process Explorer is in DLL mode you’ll see the DLLs and memory-mapped files that the process has loaded. Process Explorer also has a powerful search capability that will quickly show you which processes have particular handles opened or DLLs loaded.

The unique capabilities of Process Explorer make it useful for tracking down DLL-version problems or handle leaks, and provide insight into the way Windows and applications work.

Related Links

• Windows Internals Book The official updates and errata page for the definitive book on Windows internals, by Mark Russinovich and David Solomon.
• Windows Sysinternals Administrator’s Reference The official guide to the Sysinternals utilities by Mark Russinovich and Aaron Margosis, including descriptions of all the tools, their features, how to use them for troubleshooting, and example real-world cases of their use.

Download

Download Process Explorer (2.5 MB)
Run now from Sysinternals Live.

Runs on:

• Client: Windows Vista and higher (Including IA64).
• Server: Windows Server 2008 and higher (Including IA64).

Installation

Simply run Process Explorer (procexp.exe).

The help file describes Process Explorer operation and usage. If you have problems or questions please visit the Process Explorer forum on Technet.

Note on use of symbols

When you configure the path to DBGHELP.DLL and the symbol path uses the symbol server, the location of DBGHELP.DLL also has to contain the SYMSRV.DLL supporting the server paths used. See SymSrv documentation or more information on how to use symbol servers.

Learn More

Here are some other handle and DLL viewing tools and information available at Sysinternals:

• The case of the Unexplained. In this video, Mark describes how he has solved seemingly unsolvable system and application problems on Windows.
• Handle — a command-line handle viewer
• ListDLLs — a command-line DLL viewer
• PsList — local/remote command-line process lister
• PsKill — local/remote command-line process killer
• Defrag Tools: #2 — Process Explorer In this episode of Defrag Tools, Andrew Richards and Larry Larsen show how to use Process Explorer to view the details of processes, both at a point in time and historically.
• Windows Sysinternals Primer: Process Explorer, Process Monitor and More Process Explorer gets a lot of attention in the first Sysinternals Primer delivered by Aaron Margosis and Tim Reckmeyer at TechEd 2010.

—>

990x.top

Простой компьютерный блог для души)

Process Explorer — что это за программа и нужна ли она? (Sysinternals, procexp)

Приветствую друзья! Сегодня мы постараемся узнать что за программа Process Explorer, а также насколько она нужна или ее может стоит удалить?

Process Explorer — что это такое?

Инструмент для расширенного управления процессами запущенных программ Windows.

В некотором смысле это продвинутый вариант диспетчера задач.

Process Explorer позволяет найти любой процесс и узнать какие он использует файлы и папки.

Одной из полезных фишек проги — можно узнать к какому процессу принадлежит окно на рабочем столе. Часто при помощи этой проги можно узнать какой процесс показывает рекламное окно. Хотя в таком случае первым делом я бы посоветовал просканировать систему утилитами AdwCleaner и HitmanPro — это лучшие утилиты против рекламного и шпионского ПО.

Программа не требует инсталляции, то есть вы скачали архив, распаковали и сразу можете запускать. А скачать прогу можно с официального сайта Microsoft.

Process Explorer — основные возможности

Нашел в интернете возможности проги, давайте посмотрим что умеет:

1. Получать подробную инфу о процессах, которые запущены в Windows.
2. Управлять можно не только процессами, но и службами — остановка, приостановка, возобновить и перезапустить. Ну не думаю что особо полезная функция, потому что похожее есть и в штатном диспетчере задач.
3. В проге процесс можно не только завершить, но и заморозить (Suspend) и потом возобновить (Resume). А вот это уже думаю полезная функция.
4. Можно управлять не только процессами, но и потоками. Поток, это вроде бы внедряемая библиотека DLL. Интересная опция, но думаю что без опыта опция может быть опасной — например если вносить изменения в работу процесса svchost.exe, то думаю могут быть глюки в Windows.
5. Изменение приоритетов процесса, права доступа, разрешения, разрешать использовать только указанное количество ядер.
6. Запуск новых процессов с разными правами — например от имени Система, от имени пользователя, администратора. Хорошая опция, хотя вряд ли особо нужна, учитывая что процесс спокойно можно запустить от имени администратора, достаточно просто по файлу нажать правой кнопкой и выбрать пункт запуска от администратора.
7. В любое время при необходимости можете создать дамп памяти (Minidump или Fill Dump) с сохранением в выбранный файл.
8. Завершение работы Windows, завершение сеанса пользователя, переход в спящий режим, режим гибернации, блокировка рабочего стола. Все хорошо, но вроде бы эти опции есть и у самой Windows, например чтобы заблокировать рабочий стол достаточно нажать Win + L.

Но не смотря на все — поверьте, прога Process Explorer очень полезная и научиться ней пользоваться всегда будет на пользу.

Process Explorer — внешний вид

Теперь давайте посмотрим внешний вид.

Вот как выглядит прога:

И сразу видим — процессы удобно упорядочены, сразу видно какие являются дочерними, кто кого запустил. Плюс ко всему у программы есть русский язык, что тоже весомый плюс.

Есть у проги одна опция очень полезная, о которой например я не знал — оказывается она может показывать результат проверки файла на VirusTotal:

Колонка VirusTotal находится в самом конце и вообще я ее видел не во всех версиях (может колонку просто можно отключить). Возможно что прога берет данные уже с готовой базы, сверяя далеко не только название процесса, но и размер файла и его хеш.

И снова видим насколько удобно узнавать какие процессы были запущены другим процессом, в итоге легко понять от какой программы процесс:

Теперь посмотрим что можно сделать, если нажать правой кнопкой по процессу:

1. Set Affinity — это задать соответствие, то есть чтобы использовал только 1 или только 2 ядра процессора. Удобная фишка.
2. Set Priority — думаю и так понятно, нужно чтобы задать приоритет. Если процесс оч грузит ПК, то можно ему задать низкий приоритет + разрешить использовать 1 ядро = в итоге прилично ограничите ему аппетиты.
3. Kill Process — завершить работу процесса, то есть выключить его.
4. Kill Process Tree — завершить дерево процессов, то есть не один процесс, а плюс все дочерние. И как по мне это тоже очень удобная фишка.
5. Restart — перезапустить процесс, иногда полезно если он очень грузит ПК.
6. Suspend — как уже выяснили это чтобы заморозить процесс.
7. Create Dump — создать дамп, вообще эта опция нужна чтобы сделать в некотором смысле снимок оперативной памяти (точнее ее содержимого). И потом снимок (файл) можно анализировать, чтобы понять причину какой-то ошибки или какого-то сбоя. Но анализировать могут продвинутые пользователи, там далеко не все так просто.
8. Check VirusTotal — еще одна супер-функция, чтобы сразу одним нажатием проверить файл на вирусы. Потом в конце в колонке VirusTotal будет результат, возможно по которому можно нажать и откроется страница проверки в браузере.
9. Properties — не знаю что это, но возможно чтобы отобразить свойства файла.
10. Search Online — поиск информации в интернете. Кстати не удивлюсь если поиск будет при помощи Bing, это поисковая система от Microsoft и они ее всеми силами продвигают, хотя до Google как до луны (впрочем как и до Яндекса).

Заключение

Надеюсь теперь вы поняли что за программа Process Explorer, что это в некотором роде продвинутая замена диспетчеру задач Windows. Многое что умеет, чего не умеет обычный диспетчер.

А если учесть то, что прога скачивается с сайта Microsoft — то никаких глюков и багов в ней быть не должно, а совместимость с Windows должна быть идеальной.

Надеюсь кому-то информация пригодилась. Удачи и добра, до новых встреч господа!

Sysinternals Process Utilities

Autoruns
See what programs are configured to startup automatically when your system boots and you login. Autoruns also shows you the full list of Registry and file locations where applications can configure auto-start settings.

Handle
This handy command-line utility will show you what files are open by which processes, and much more.

ListDLLs
List all the DLLs that are currently loaded, including where they are loaded and their version numbers. Version 2.0 prints the full path names of loaded modules.

PortMon
Monitor serial and parallel port activity with this advanced monitoring tool. It knows about all standard serial and parallel IOCTLs and even shows you a portion of the data being sent and received. Version 3.x has powerful new UI enhancements and advanced filtering capabilities.

ProcDump
This new command-line utility is aimed at capturing process dumps of otherwise difficult to isolate and reproduce CPU spikes. It also serves as a general process dump creation utility and can also monitor and generate process dumps when a process has a hung window or unhandled exception.

Process Explorer
Find out what files, registry keys and other objects processes have open, which DLLs they have loaded, and more. This uniquely powerful utility will even show you who owns each process.

Process Monitor
Monitor file system, Registry, process, thread and DLL activity in real-time.

PsExec
Execute processes remotely.

PsGetSid
Displays the SID of a computer or a user.

PsKill
Terminate local or remote processes.

PsList
Show information about processes and threads.

PsService
View and control services.

PsSuspend
Suspend and resume processes.

PsTools
The PsTools suite includes command-line utilities for listing the processes running on local or remote computers, running processes remotely, rebooting computers, dumping event logs, and more.

ShellRunas
Launch programs as a different user via a convenient shell context-menu entry.

VMMap
See a breakdown of a process’s committed virtual memory types as well as the amount of physical memory (working set) assigned by the operating system to those types. Identify the sources of process memory usage and the memory cost of application features.