Process Explorer е помощна програма от пакета Sysinternals, която бихме могли да определим като вид мениджър на задачи, но е оборудвана с разширени функции за преглед на идентификатори, DLL файлове, производителност и дори интегриран анализ с VirusTotal. Целта ѝ: да позволи на потребителя да разбере какво прави всеки процес на компютъра му с изглед, който стандартният мениджър не може да постигне.
Освен че е безплатен, лек и преносим, Process Explorer наскоро беше актуализиран, с публично издание през май 2024 г., което доказва, че все още е жив и здрав, и Microsoft се грижи за него.
Какво е Process Explorer и какво го отличава?
Process Explorer е част от колекцията Sysinternals и е предназначен за наблюдение, анализ и управление на процеси и услуги в Windows с подход за задълбочена диагностика. Интерфейсът му е разделен на две области: в горната област винаги ще виждате списъка с активни процеси с ключова информация, като например името им и собственика на акаунта, докато в долната област можете да превключвате между режими, които предоставят подробен преглед на избрания процес.
Този двоен изглед ви позволява да видите цялостната картина и едновременно с това да се задълбочите в детайлите на дадена програма, за да откриете точно какво прави тя със системните ви ресурси и с... кои компоненти взаимодействат.
В режим на манипулатор, долният панел изброява всички манипулатори, които процесът е отворил: файлове, ключове в системния регистър, обекти за синхронизация и други ресурси на ядрото. Тази перспектива става важна, когато не можете да изтриете файл, защото друга програма го използва (възстановяване на замръзнал компютър) или когато търсите течове на идентификатори, които влошават производителността.
Една от ключовите му характеристики е функцията за търсене. Можете незабавно да откриете кой процес е отворен за конкретно име на файл, фрагмент от пътя, ключ в системния регистър или DLL.
Изтегляне, съвместимост и инсталиране
Пакетът Process Explorer е малък за това, което предлага, с размер приблизително 3,3 MB, и работи преносимо. Няма нищо за инсталиране: просто разархивирайте файла и стартирайте procexp.exe на съответната 32-битова или 64-битова архитектура. Ако предпочитате да не го изтегляте, можете да го стартирате директно от Sysinternals Live, което ви позволява да използвате инструмента в движение, когато сте в контролирана среда или не искате да сте свързани.
искате да докоснете диска. Всичко това намалява триенето и го прави лесно за вграждане в кутията с инструменти, без да оставя трайна следа върху системата и с незабавно стартиране.
По отношение на изискванията, той работи на съвременни версии на операционната система Microsoft: клиенти с Windows 10 и по-нови версии и сървъри с Windows Server 2016 и по-нови версии. Това означава, че покрива повече от съвременните домашни и бизнес среди. Пакетът включва помощен файл, който обяснява подробно как да го използвате. Ако имате конкретни въпроси, можете да посетите раздела с въпроси и отговори на Microsoft, посветен на Process Explorer, за допълнителни решения. реални случаи с точни препоръки.
Интерфейс: горен панел, долен панел и режими
Оформлението на интерфейса е лесно и много практично. В горната част, Process Explorer изброява активните процеси с йерархично дърво, за да се видят връзките родител-дете и името на акаунта, който ги изпълнява. Това ви помага да различите системните услуги, потребителските процеси и приложенията на трети страни. С един поглед, цветовата схема улеснява идентифицирането на типовете процеси и ако предпочитате, можете да коригирате тази палитра от Опции > Конфигуриране на цветове, за да съответства на вашия визуален стил или предпочитания. вътрешни конвенции за анализ.
Долният панел превключва между два режима. В „Диспетчери“ ще видите дескрипторите, отворени от избрания процес: файлови пътища, ключове в системния регистър и системни обекти. Това е идеалният изглед за намиране на заключвания и задържани ресурси. В „Библиотеки“ списъкът се променя на DLL файлове и файлове, картографирани в паметта, където можете да видите пътищата, версиите и доставчиците на всеки модул. Това е идеално за откриване на проблеми с версиите или за откриване на подозрителни зареждания на библиотеки, които не би трябвало да присъстват и които издават поведение. потенциално опасни.
Лентата с инструменти интегрира много полезни преки пътища. Ще намерите бутон за запазване на информация за избрания процес, друг за обновяване на списъка, превключвател, който показва или скрива долния панел, конзолата за системна информация с глобални графики за процесор, памет, входно/изходни данни и графичен процесор, достъп до свойствата на процеса с подробни раздели, бутон за контролирано прекратяване на задачата и лупа за търсене. Те обхващат всичко - от бързо сканиране до управление на операции като прекратяване, спиране или приоритизиране на процеси с няколко щраквания и с... пълна видимост на въздействието.
Отстраняване на неизправности и диагностика
Лесното проследяване кой използва какъв ресурс е предимството на Process Explorer. Функцията за търсене ви позволява да въведете част от път, име на DLL файл или идентификатор и бързо да намерите свързания процес. Това е изключително полезно в ежедневни сценарии, като например изтриване на директории, които дават грешка, защото се използват, или установяване кое приложение е блокирало и блокира камерата, микрофона, графичния процесор или системен файл. Спестяването на време е значително, защото преминавате от предположения към точно идентифициране на отговорния процес и можете да действате своевременно. бързо и със сигурност.
Друга типична ситуация е търсенето на течове на дескриптори или памет. В процеси, които се изпълняват в продължение на много часове или дни, ще видите как броячите на дескриптори нарастват и ако видите непрекъснато увеличение, можете да проучите какъв тип дескриптор се разкрива и при какви обстоятелства. По подобен начин, изгледът на библиотеката помага, когато дадено приложение се срине поради DLL конфликти, което е много често срещано при смесване на версии на компоненти. Виждането на пълния списък на заредените модули с техния път и доставчик улеснява изолирането на проблемния модул и вземането на решение дали да се актуализира, върне или изолира зависимост, като се избягва сляпото тестване и се позволява прилагането... корекции с критерии.
Интеграция с VirusTotal: сигурност в движение
В продължение на години Process Explorer е интегрирал директна проверка с Virustotal за да ви помогне да откривате злонамерен или подозрителен софтуер сред работещите процеси. Активирането на функцията е лесно: отидете в менюто „Опции“, раздел „VirusTotal“ и поставете отметка в квадратчето. Нова колона автоматично ще бъде добавена към списъка с процеси с резултата, върнат от услугата. Това е много ценна проверка, когато нещо се държи странно и искате втори чифт независими и знаещи очи. масивна база от подписи.
Важно за поверителността и производителността: Process Explorer не е необходимо да изпраща пълния изпълним файл за проверка. Обикновено той изпраща хеша на файла до VirusTotal, който го сравнява с базата си данни с известни образци. Ако вече съществува, ще получите резултата незабавно. В определени ситуации може да се наложи да качите файла, но съпоставянето на пръстови отпечатъци е стандартният подход. Предимствата включват бързо откриване на активни заплахи и възможност за по-задълбочено сканиране от VirusTotal, ако искате да разширите информацията върху конкретна находка и нейния резултат. поведение на други машини (откриване и премахване на зловреден софтуер).
От друга страна, има две ограничения, които трябва да се вземат предвид:
- От една страна, Вие разчитате на качеството на базата данни VirusTotal. Ако дадена заплаха е много нова, може би все още няма или много малко двигатели са я идентифицирали.
- За друг, Активирането на тази проверка добавя консумация на ресурси и мрежов трафик докато управлявате хешове и отговори. Затова е най-добре да го използвате целенасочено на компютри с лоша свързаност или когато търсите максимална производителност.
Дори с тези резерви, това е допълнителен слой, който добавя много, когато става въпрос за контрол на съмнителни процеси, без да се инсталират допълнителни пакети за сигурност и с... минималистична интеграция.
Практически операции, които правят разликата
Process Explorer не само наблюдава; той ви позволява да предприемате действия. Можете да прекратите или рестартирате проблемни процеси, когато те заседнат (прекратяване на процеси и услуги), генерирайте дъмпове на паметта за криминалистично разследване на грешки или незабавно отворете папката с изпълнимия файл, за да прегледате нейния източник. Той също така показва свойства за сигурност, цифрови подписи и подробности за изображението. Ако е необходимо да направите още една стъпка, интерфейсът предлага корекции на приоритета и афинитета на процесора.
За тези, които предпочитат бързи действия, лентата с икони е много удобна. Запомнете тези често срещани клавишни комбинации:
- Запазете данни от избрания процес за документиране или одит.
- Обновете списъка ръчно, ако е необходимо.
- Отворете или затворете долния панел.
- Достъп до панела „Системна информация“, който функционира като табло за управление на производителността.
- Прегледайте пълните свойства на процеса и изпълнете задачата.
С лупата, търсенето по манипулатори и DLL файлове решава повечето от ежедневните ви съмнения и ви спестява ръчното навигиране през дървото на процесите, когато бързате и имате нужда от отговор. за няколко секунди.
Цветове, долен панел и фини настройки
Визуалното персонализиране помага много при дълги анализи. От „Опции“ > „Конфигуриране на цветове“ можете да дефинирате цветови кодове, за да разграничите процесите в различни състояния, услуги, 32-битови или 64-битови процеси и други. Това кодиране, заедно с дървото на процесите, ви помага да следвате редовете на изпълнение. Включването и изключването на долния панел се извършва със специалния бутон или менюто „Изглед“ > „Долен панел“, така че можете да регулирате работното пространство, за да виждате повече редове в горната част или да се фокусирате върху детайлите на манипулаторите или библиотеките, когато фокусът на вашата задача стане активен. технически изследвания.
Свойствата на процеса добавят още един незаменим слой: пълни пътища, аргументи за стартиране, среда, сокети, нишки, памет, разрешения, цифров подпис и други. С всичко това, когато трябва да обосновете намеса или да документирате инцидент, ще можете да съберете солидни доказателства. А ако преглеждате странно поведение, отварянето на местоположението на изпълнимия файл ще ви позволи да проверите дали този двоичен файл е там, където трябва да бъде, или дали се появява в подозрителни пътища в потребителския профил – точки, които често издават програми. нежелано или постоянно (ръководство за откриване и премахване на зловреден софтуер).
Как да замените диспечера на задачите
Ако харесвате Process Explorer, можете да го направите свой диспечер на задачи по подразбиране. В менюто с опции ще намерите „Замени диспечера на задачите“, който замества традиционния диспечер на задачите. От този момент нататък, когато използвате пряката комбинация Ctrl+Shift+Esc или извикате диспечера от системното меню, ще се отвори Process Explorer. Тази конфигурация има смисъл, ако често диагностицирате и предпочитате нивото на детайлност, което предлага този инструмент, тъй като ще имате незабавен достъп до неговата мощ без междинни стъпки и с... същото удобство на класическия пряк път.
За ежедневна употреба, изгледът „Системна информация“, включен в Process Explorer, ви предоставя графики и броячи на производителността, сравними с тези в Task Manager. Той обаче има по-технически и задълбочен фокус. Комбинирането на този глобален изглед с изгледа на ниво процес ви дава отлична представа за състоянието на компютъра. Той ви позволява да преминете от обща телеметрия до първопричината само с няколко кликвания, идеално, ако подкрепяте други или ако не искате да губите време, скачайки между инструменти и менюта, когато нещо се обърка. внезапно полудява.
Символи и дебъгване: DBGHELP и SYMSRV
Когато искате да се задълбочите, особено в сценарии за дебъгване или криминалистичен анализ, е добра идея да конфигурирате символи. Process Explorer ви позволява да укажете пътя до DBGHELP и сървър за символи. Ако използвате сървъра за символи на Microsoft, уверете се, че SYMSRV е наличен заедно с DBGHELP във версия, съвместима с пътищата на сървъра, които използвате. Тази конфигурация прави стековете за извиквания и подробностите, свързани с модулите, много по-полезни и точни. Това улеснява приписването на поведение на конкретни функции и библиотеки и по този начин вземането на информирани технически решения. по-голяма увереност и техническа поддръжка.
Правилното използване на символи е ключово при генериране на дъмпове на паметта за анализ, независимо дали се дължи на спорадичен срив или повтарящи се проблеми. Наличието на този слой информация намалява фалшивите положителни резултати, избягва объркване с генерични модули и предоставя улики, които иначе биха били пропуснати. Ако не сте свикнали да боравите със символи, документацията на SymSrv и ръководствата на Sysinternals обясняват как да го конфигурирате стъпка по стъпка.
Process Explorer е инструмент, възникнал от нуждата да се погледне малко по-задълбочено, и той ще остане тук, защото решава проблеми, които преди са стрували часове. Той е лек, преносим и надежден. Три качества, които го правят задължителен за много професионалисти, за да могат винаги да имат под ръка какво се случва в екипа им и да вземат решения въз основа на солидна информация. незабавни действия с едно щракване на бутон.
