Process Explorer v16.32

By Mark Russinovich

Published: April 28, 2020

Download Process Explorer (2.5 MB)
Run now from Sysinternals Live.

Introduction

Ever wondered which program has a particular file or directory open? Now you can find out. Process Explorer shows you information about which handles and DLLs processes have opened or loaded.

The Process Explorer display consists of two sub-windows. The top window always shows a list of the currently active processes, including the names of their owning accounts, whereas the information displayed in the bottom window depends on the mode that Process Explorer is in: if it is in handle mode you’ll see the handles that the process selected in the top window has opened; if Process Explorer is in DLL mode you’ll see the DLLs and memory-mapped files that the process has loaded. Process Explorer also has a powerful search capability that will quickly show you which processes have particular handles opened or DLLs loaded.

The unique capabilities of Process Explorer make it useful for tracking down DLL-version problems or handle leaks, and provide insight into the way Windows and applications work.

Related Links

• Windows Internals Book The official updates and errata page for the definitive book on Windows internals, by Mark Russinovich and David Solomon.
• Windows Sysinternals Administrator’s Reference The official guide to the Sysinternals utilities by Mark Russinovich and Aaron Margosis, including descriptions of all the tools, their features, how to use them for troubleshooting, and example real-world cases of their use.

Download

Download Process Explorer (2.5 MB)
Run now from Sysinternals Live.

Runs on:

• Client: Windows Vista and higher (Including IA64).
• Server: Windows Server 2008 and higher (Including IA64).

Installation

Simply run Process Explorer (procexp.exe).

The help file describes Process Explorer operation and usage. If you have problems or questions please visit the Process Explorer forum on Technet.

Note on use of symbols

When you configure the path to DBGHELP.DLL and the symbol path uses the symbol server, the location of DBGHELP.DLL also has to contain the SYMSRV.DLL supporting the server paths used. See SymSrv documentation or more information on how to use symbol servers.

Learn More

Here are some other handle and DLL viewing tools and information available at Sysinternals:

• The case of the Unexplained. In this video, Mark describes how he has solved seemingly unsolvable system and application problems on Windows.
• Handle — a command-line handle viewer
• ListDLLs — a command-line DLL viewer
• PsList — local/remote command-line process lister
• PsKill — local/remote command-line process killer
• Defrag Tools: #2 — Process Explorer In this episode of Defrag Tools, Andrew Richards and Larry Larsen show how to use Process Explorer to view the details of processes, both at a point in time and historically.
• Windows Sysinternals Primer: Process Explorer, Process Monitor and More Process Explorer gets a lot of attention in the first Sysinternals Primer delivered by Aaron Margosis and Tim Reckmeyer at TechEd 2010.

—>

Процесс EXPLORER.EXE

Наблюдая в Диспетчере задач список процессов, не каждый пользователь догадывается, за выполнение какой именно задачи отвечает элемент EXPLORER.EXE. Но без взаимодействия пользователя с данным процессом не представляется возможной нормальная работа в Windows. Давайте узнаем, что он собой представляет и за что именно отвечает.

Основные данные об EXPLORER.EXE

Указанный процесс можете наблюдать в Диспетчере задач, для запуска которого следует набрать Ctrl+Shift+Esc. Список, где можно посмотреть на изучаемый нами объект, расположен в разделе «Процессы».

Назначение

Давайте выясним, зачем используется EXPLORER.EXE в операционной системе. Он отвечает за работу встроенного файлового менеджера Windows, который называется «Проводник». Собственно, даже само слово «explorer» на русский язык переводится, как «проводник, обозреватель». Данный процесс и сам Проводник используется в ОС Виндовс, начиная с версии Windows 95.

То есть, те графические окна, отображаемые на экране монитора, по которым пользователь производит переход по закоулкам файловой системы компьютера, и являются непосредственным продуктом деятельности данного процесса. Он также отвечает за отображение панели задач, меню «Пуск» и всех остальных графических объектов системы, кроме обоев. Таким образом, именно EXPLORER.EXE является основным элементом, с помощью которого реализуется графический интерфейс Виндовс (оболочка).

Но Проводник обеспечивает не только видимость, а и процедуру самого перехода. С его помощью также производятся различные манипуляции с файлами, папками и библиотеками.

Завершение процесса

Несмотря на такую широту задач, которые входят в область ответственности процесса EXPLORER.EXE, его принудительное или аварийное завершение не ведет к прекращению работы системы (краху). Все остальные процессы и программы, запущенные в системе, будут продолжать нормально функционировать. Например, если вы смотрите фильм через видеоплеер или работаете в браузере, то можете даже не заметить прекращение функционирования EXPLORER.EXE, пока не свернете программу. Вот тогда и начнутся проблемы, ведь взаимодействие с программами и элементами ОС, ввиду фактического отсутствия оболочки операционной системы, будет сильно осложнено.

В то же время, иногда из-за сбоев, чтобы возобновить корректную работу Проводника, нужно временно отключить EXPLORER.EXE для его перезагрузки. Посмотрим, как это сделать.

В Диспетчере задач выделяем наименование «EXPLORER.EXE» и кликаем по нему правой кнопкой мыши. В контекстном перечне выбираем вариант «Завершить процесс».

После этого EXPLORER.EXE будет остановлен. Внешний вид экрана компьютера с выключенным процессом представлен ниже.

Пуск процесса

После того, как возникла ошибка приложения или процесс завершен вручную, естественно, встает вопрос, как его запустить заново. EXPLORER.EXE автоматически стартует при запуске ОС Windows. То есть, одним из вариантов заново запустить Проводник является перезагрузка операционной системы. Но указанный вариант подходит далеко не всегда. Особенно он неприемлем, если в фоновом режиме работают приложения, выполняющие манипуляции с несохраненными документами. Ведь в случае холодной перезагрузки все несохраненные данные будут потеряны. Да и зачем вообще перезагружать компьютер, если есть возможность запустить EXPLORER.EXE другим способом.

Запустить EXPLORER.EXE можно с помощью введения специальной команды в окно инструмента «Выполнить». Чтобы вызвать инструмент «Выполнить», нужно применить нажатие сочетания клавиш Win+R. Но, к сожалению, при выключенном EXPLORER.EXE указанный метод работает не на всех системах. Поэтому произведем запуск окна «Выполнить» через Диспетчер задач.

Для вызова Диспетчера задач применяем комбинацию Ctrl+Shift+Esc (Ctrl+Alt+Del). Последний вариант применяется в Windows XP и в более ранних ОС. В запустившемся Диспетчере задач жмите пункт меню «Файл». В раскрывшемся списке выберите пункт «Новая задача (Выполнить…)».

Происходит запуск окошка «Выполнить». Вбейте в него команду:

После этого процесс EXPLORER.EXE, а, следовательно, и Проводник Windows, будет запущен заново.

Если же вы просто хотите открыть окно Проводника, то достаточно набрать комбинацию Win+E, но при этом EXPLORER.EXE должен быть уже активен.

Расположение файла

Теперь давайте узнаем, где расположен файл, который инициирует EXPLORER.EXE.

Активируем Диспетчер задач и кликаем правой кнопкой мыши в списке по наименованию EXPLORER.EXE. В меню щелкаем по «Открыть место хранения файла».

После этого запускается Проводник в той директории, где расположен файл EXPLORER.EXE. Как видим из адресной строки, адрес этого каталога следующий:

Изучаемый нами файл помещен в корневом каталоге операционной системы Виндовс, который сам расположен на диске C.

Подмена вирусами

Некоторые вирусы научились маскироваться под объект EXPLORER.EXE. Если в Диспетчере задач вы видите два или больше процесса с подобным названием, то с большой вероятностью можно сказать, что они созданы именно вирусами. Дело в том, что, сколько бы окон в Проводнике открыто не было, но процесс EXPLORER.EXE всегда один.

Файл настоящего процесса расположен по тому адресу, который мы выяснили выше. Просмотреть адреса других элементов с аналогичным наименованием можно точно таким же способом. Если их не удается устранить с помощью штатного антивируса или программ-сканеров, удаляющих вредоносный код, то сделать это придется вручную.

1. Сделайте резервную копию системы.
2. Остановите фальшивые процессы при помощи Диспетчера задач, используя тот же метод, который описывался выше для отключения подлинного объекта. Если вирус не дает это сделать, то выключите компьютер и зайдите вновь в Безопасном режиме. Для этого при загрузке системы нужно удерживать кнопку F8 (или Shift+F8).
3. После того, как вы остановили процесс или вошли в систему в Безопасном режиме, перейдите в директорию расположения подозрительного файла. Кликните правой кнопкой мыши по нему и выберите «Удалить».

После этого появится окошко, в котором нужно будет подтвердить готовность удалить файл.

Подозрительный объект вследствие данных действий будет удален с компьютера.

Внимание! Вышеуказанные манипуляции производите только в том случае, если точно удостоверились, что файл фальшивый. В обратной ситуации систему могут ожидать фатальные последствия.

Developing with Windows Explorer

Windows Explorer is a powerful resource-browsing and management application. Windows Explorer can be accessed as an integrated whole through Explorer.exe or the IExplorerBrowser interface. Windows Explorer (Explorer.exe) can be spawned as a separate process using ShellExecuteEx or a similar function.

Command-line options for Explorer.exe are documented on the Microsoft Windows Support site in the article Windows Explorer Command-Line Options.

Open explorer windows can be discovered and programmed by using IShellWindows (CLSID_ShellWindows), and new instances of Windows Explorer can be created by using IWebBrowser2 (CLSID_ShellBrowserWindow).

The following code sample demonstrates how the Windows Explorer automation model can be used to create and discover explorer windows that are running.

The Windows Explorer client area can be hosted by using the IExplorerBrowser interface. The Windows Explorer client and the namespace tree controls are standard components of WindowsВ Vista and later. Developers can reuse the interfaces as building components. One common use of these controls is to create customized explorers appropriate to the problem domain.

The controls in Windows Explorer are classified into the following functional categories:

Navigation Controls

Navigation controls assist users in determining context and navigating the associated logical domain space, called the pagespace. For example, the pagespace for Windows Explorer is the Shell namespace. Pagespaces are composed of zero or more pages.

The following table lists and describes the navigation controls available in Windows Explorer in the WindowsВ Vista and later operating systems.

Navigation control	Description
Address Bar (Breadcrumb control)	Displays the address of the current page in the pagespace. Breadcrumb buttons can be clicked to navigate to any ancestor in the pagespace. Users can also type URLs and paths to navigate.
Folder Tree	Provides a new version of a tree control, optimized for large pagespaces.
Travel	Enables relative navigation through web-style buttons such as Back and Forward.
Title	Displays the current explorer name and context.
Pagespace	Displays the current branch of the pagespace. Pages can be ordered by different criteria. Users can click a page to navigate to it.

Command Controls

Command controls advertise the features and functionality of the Windows Explorer to users. These controls perform either general actions or actions specific to one selected item or items.

Command control	Description
Toolbar	Displays buttons for commonly used commands (a new version of a command toolbar). Customization options include drop-down buttons, split buttons, optional descriptive text, and an overflow area.
Hero	Appears as a single, optional, custom control in the center of the toolbar. It represents the primary command for the current context.
Menu Bar	Presents commands through menus.
Context Menu	Lists a contextually relevant subset of available commands that are displayed as a result of right-clicking an item.

Property and Preview Controls

Property and preview controls are used to preview items, and to view and edit item properties.

Control	Description
Preview	Displays a preview of the selected item, such as a thumbnail or a Live Icon.
Properties	Displays properties of the selected item. For multiple selections, it displays a summary of properties for the selected group of items. For a null selection, it displays a summary of properties for the current page (contents of the listview).

Filtering and View Controls

Filtering and view controls are used to manipulate the set of items in the listview and to change the presentation of items in the listview.

Control	Description
Filter	Filters or arranges items in a listview based on properties listed as columns. Clicking on a column sorts by that property.
Wordwheel	Dynamically and incrementally filters the displayed items in a listview based on an input text string.
View	Enables the user to change the view mode of a listview control. A slider can be used to determine icon size.

Listview Control

The listview control is used to view a set of items in one of four view modes: details, tiles, icons, or panorama. The listview control also enables the user to select and activate one or more items.

Although some of these controls have names and/or functionality that is similar to standard Windows Presentation Foundation (WPF) controls found in the System.Windows.Controls namespace, they are distinct classes.

These separate controls work together largely through events generated either by user interaction or by the controls themselves. The following table shows the three primary event categories.