Domovská » škola » Porozumění procesu průzkumu

    Porozumění procesu průzkumu

    Tato lekce v naší sérii Geek School zahrnuje aplikaci Process Explorer, což je možná nejvíce používaná a užitečná aplikace v sadě nástrojů SysInternals. Ale jak dobře tuto utilitu opravdu znáte?

    ŠKOLNÍ NAVIGACE
    1. Jaké jsou nástroje SysInternals a jak je používáte?
    2. Porozumění procesu průzkumu
    3. Použití Process Explorer k odstraňování a diagnostice
    4. Porozumění procesu sledování
    5. Použití monitorovacího procesu k odstraňování a nalezení hackerů v registru
    6. Použití autorunů k řešení spouštěcích procesů a malwaru
    7. Pomocí BgInfo zobrazíte informace o systému na ploše
    8. Použití PsTools pro ovládání jiných počítačů z příkazového řádku
    9. Analýza a správa souborů, složek a disků
    10. Zalomení a používání nástrojů společně

    Aplikace Process Explorer, správce úloh a systémová monitorovací aplikace jsou od roku 2001 a i když pracují na systému Windows 9x, moderní verze podporují pouze XP a vyšší a byly průběžně aktualizovány funkcemi pro moderní verze Okna. Je to defacto standard pro řešení procesů odstraňování problémů.

    Takže, co dokáže zpracovat průzkumník?

    Některé z lepších vlastností zahrnují následující, i když to v žádném případě není vyčerpávající seznam. Tato aplikace má mnoho funkcí a mnohé z nich jsou pohřbené hluboko v rozhraní. Úžasně je to také velmi malý soubor.

    • Výchozí zobrazení stromu zobrazuje hierarchický nadřazený vztah mezi procesy a zobrazuje pomocí barev, aby snadno pochopili procesy na první pohled.
    • Velmi přesné sledování využití procesoru pro procesy.
    • Může být použit pro výměnu Správce úloh, což je užitečné zejména pro XP, Vista a Windows 7.
    • Můžete přidat více ikon na monitoru pro sledování procesoru, disku, GPU, sítě a dalších.
    • Zjistěte, který proces načte soubor DLL.
    • Zjistěte, který proces probíhá v otevřeném okně.
    • Zjistěte, který proces má soubor nebo složku otevřenou a uzamčenou.
    • Zobrazte úplná data o jakémkoli procesu, včetně podprocesů, využití paměti, úchytů, objektů a téměř všeho jiného, ​​co je třeba vědět.
    • Může zabít celý procesový strom, včetně jakýchkoli procesů spuštěných tou, kterou jste se rozhodli zabít.
    • Může pozastavit proces a zmrazit všechny jeho závity, takže nic nedělají.
    • Vidí, který podproces v procesu skutečně maximalizuje CPU.
    • Nejnovější verze (v16) integruje VirusTotal do rozhraní, takže můžete zkontrolovat proces virů, aniž byste opustili Process Explorer.

    Pokaždé, když máte problém s aplikací, nebo něco, co se stále drží na vašem počítači, nebo se snažíte zjistit, proč je použit konkrétní soubor DLL, Process Explorer je nástroj pro práci.

    Porozumění zobrazení stromu

    Když poprvé spustíte aplikaci Process Explorer, máte k dispozici řadu vizuálních dat - hierarchický stromový pohled na procesy běžící na vašem počítači včetně využití procesoru a paměti RAM pomocí číselných hodnot pro každý proces. V horní části panelu nástrojů je zobrazeno několik malých grafických aktivit, které zobrazují využití procesoru, na které lze kliknout, aby se zobrazil v samostatném okně.

    Určitě se toho hodně děje a bylo by snadné ho přemoci vše na obrazovce.

    Počáteční zobrazení obsahuje sadu sloupců, které zahrnují:

    • Proces - název souboru spustitelného souboru spolu s ikonou, pokud existuje.
    • procesor - procentuální čas procesoru v poslední sekundě (nebo jakákoliv rychlost aktualizace je nastavena na)
    • Soukromé bajty - množství paměti přidělené pouze tomuto programu.
    • Pracovní sada - množství skutečné paměti RAM přidělené tomuto programu systémem Windows.
    • PID  - identifikátor procesu.
    • Popis - popis, pokud má aplikace jednu.
    • Jméno společnosti - toto je užitečnější, než si myslíte. Pokud není něco v pořádku, začněte hledáním procesů, které nejsou společností Microsoft.

    Tyto sloupce můžete přizpůsobit a přidat mnoho dalších možností, nebo můžete kliknout na některý ze sloupců, který chcete třídit podle daného pole. Pokud jste dříve používali nástroj Správce úloh, pravděpodobně jste je roztřídili podle paměti nebo CPU a můžete to udělat i zde.

    Klepnutím na položku Proces se mezi třídou převede název procesu nebo se vrátíte do výchozího stromového zobrazení, což je velmi užitečné, jakmile si na to zvyknete.

    Pohled se aktualizuje jednou za sekundu, ale můžete přejít na Zobrazit -> Aktualizovat rychlost a přizpůsobit, jak často to aktualizace, nejnižší je 0,5 sekundy a horní úroveň je 10 sekund. Pokud jej používáte pro řešení problémů, je výchozí hodnota pravděpodobně v pořádku, ale pokud jej chcete použít jako monitor CPU, který se nachází v systémové liště, může 5 nebo 10 sekund použít méně procesoru, když běží na pozadí.

    Můžete také pozastavit zobrazení pod stejnou podnabídkou nebo jednoduše stisknutím mezerníku. Toto zmrazí zobrazení jako momentový snímek, což může být užitečné, pokud se pokoušíte identifikovat proces, který začíná a rychle umírá, nebo pokud jste se rozhodli třídit podle využití CPU a všechny řádky stále skákají.

    V případě procesu rychlého zavírání byste však chtěli přidat do výchozího zobrazení další sloupce pro cokoli, co byste potřebovali vědět, protože kliknutí na nezadaný proces v seznamu se v zobrazení podrobností nezobrazí příliš, pokud proces není spuštěn, i když jste všechno pozastavili.

    Pochopení všech těchto barev

    Existuje určitě mnoho barev v typickém seznamu Process Explorer, který může být trochu matoucí pro začátečníka. Je skutečně důležité se dozvědět, co znamenají všechny tyto barvy, protože tam nejsou jen pro show - každý z nich znamená něco důležitého.

    Kdykoli si nepamatujete, co znamená jedna z barev, můžete v nabídce Možnosti -> Konfigurovat barvy vyskakovat dialogové okno Výběr barev. To je v podstatě rychlý podvodný list, na co všechno znamená. Pokračujte ve čtení, protože to vysvětlíme i zde.

    Na základě barev na obrázku výše, zde je to, co každá z vybraných položek znamená (ostatní nejsou skutečně důležité).

    • Nové objekty (Jasně zelené) - Když se v Průzkumníkovi objeví nový proces, začíná jako jasně zelená.
    • Smazané objekty (červená) - Když je proces zabit nebo zavřený, bude obvykle před jeho odstraněním blikat červeně.
    • Vlastní procesy (světle modré) - Procesy běží jako stejný uživatelský účet jako Process Explorer.
    • Služby (světle růžová) - Windows Service procesy, i když stojí za zmínku, že mohou mít podřízené procesy, které jsou spuštěny jako jiný uživatel, a tyto mohou mít jinou barvu.
    • Suspendované procesy (tmavě šedé) - Když je proces pozastaven, nemůže nic dělat. Proces aplikace Explorer můžete snadno pozastavit. Někdy se havarované aplikace krátce zobrazí v šedé barvě, zatímco Windows zpracovává havárii.
    • Imersivní proces (jasná modrá) - Jedná se jen o fantazijní způsob, jak říkat, že proces je aplikace Windows 8 pomocí nových rozhraní API. Na snímku dříve jste si možná všimli WSHost.exe, což je proces "Windows Store Host", který spouští aplikace Metro. Z nějakého důvodu Explorer.exe a Správce úloh se také zobrazí jako ponořující.
    • Balené obrázky (Purple) - tyto procesy mohou obsahovat komprimovaný kód skrytý uvnitř těchto procesů nebo alespoň Process Explorer si myslí, že to dělají pomocí heuristiky. Pokud uvidíte fialový proces, nezapomeňte skenovat škodlivý software!

    Vzhledem k tomu, že mezi těmito různými scénáři je zřejmě nějaké překrývání, budou barvy aplikovány v pořadí podle priority. Pokud je proces službou a je pozastaven, zobrazí se v tmavě šedé barvě, protože tato barva je důležitější.

    Z toho, co jsme se dozvěděli při zkoumání, je objednávka Suspended> Packed> Immersive> Services -> Own Processes.

    Ověření identifikace aplikace

    Jedna opravdu užitečná volba, kterou překvapíme, není ve výchozím nastavení povolena v části Možnosti -> Ověřit podpisy obrázků.

    Tato možnost zkontroluje digitální podpis pro každý spustitelný soubor v seznamu, což je neocenitelný nástroj pro odstraňování problémů při sledování některé podezřelé aplikace, která je spuštěna v seznamu.

    Převážná většina renomovaného softwaru by měla být v tomto okamžiku digitálně podepsána. Pokud něco není, měli byste se velmi pečlivě podívat, zda byste ho měli používat.

    Učinit kroky v procesu

    Můžete rychle podniknout kroky v jakémkoli procesu klepnutím pravým tlačítkem na něj a volbou jedné z možností nebo pomocí klávesových zkratek, pokud chcete. Mezi tyto možnosti patří:

    • Okno - má možnosti včetně funkce Přenést do fronty, což může být užitečné pro identifikaci okna spojeného s procesem. Pokud pro tento proces nejsou žádné okna, bude šedá.
    • Nastavte prioritu - můžete tuto funkci použít pro konfiguraci priority procesu. To je většinou užitečné pro zkrocení procesu uprchlíků, který nechcete zabít.
    • Zabij proces - stejně jako byste si představovali, že tento proces rychle zabije.
    • Zabij strom procesů - To zabíjí nejen položku v seznamu, ale i děti tohoto rodičovského procesu.
    • Restartujte - při testování je to velice užitečné, jen to zabíjí proces a poté ho restartuje. Za zmínku stojí, že procesy zabíjení mohou způsobit ztrátu dat.
    • Pozastavit - tato šikovná volba je skvělá pro odstraňování problémů, když je proces mimo kontrolu. Můžete jednoduše pozastavit proces spíše než zabít ho a zkontrolovat, zda není něco zbytečné.
    • Zkontrolujte VirusTotal - to je nová možnost, kterou budeme dále vysvětlovat. Je to docela užitečné, protože kontroluje proces virů.
    • Hledat online - to bude jen vyhledávat na webu název procesu.

    A samozřejmě pokud otevřete vlastnosti, které vás přivedou k ještě užitečnějším informacím o procesu, z čehož se hodně dozvíme v další lekci.

    Poznámka: jsme testovali možnost Temp, ale neměli ani tušení, co dělá.

    Spuštění jako správce

    Ačkoli nemusíte absolutně spouštět aplikaci Process Explorer jako správce, aniž byste tak učinili, mnoho užitečných funkcí nebude fungovat a nebudete moci vidět tolik informací o každém procesu.

    Pokud běžíte v systémech Windows XP nebo 2003, budete muset běžet jako účet s úplnými oprávněními správce, abyste mohli používat většinu funkcí. To pravděpodobně není problém pro většinu lidí, protože XP dal výchozí účet plné oprávnění stejně, ale pokud se snažíte používat v práci bez přístupu administrátora, nebude fungovat úplně stejně.

    Vzhledem k tomu, že většina našich čtenářů používá Windows 7, 8.x nebo dokonce i Vista, budete pravděpodobně znát spuštění aplikace jako správce. Je to opravdu jednoduché ... stačí kliknout pravým tlačítkem myši a zvolit z nabídky nabídku.

    Zábavný fakt: Program Průzkumník skutečně používá oprávnění Programy ladění, což vysvětluje, proč je tak silná.

    Vynutit aplikaci Process Explorer, aby se vždy otevřel jako správce

    Pokud se chcete ujistit, že aplikace Process Explorer se vždy otevře jako správce, aniž byste museli zapomínat na pravé tlačítko na něm, můžete ji vynutit vytvořením speciální zástupce, který vyžaduje režim Administrator nebo otevřením vlastností pro proxp.exe, přejděte na položku Kompatibilita a potom vyberte možnost "Spustit tento program jako správce".

    Ať tak či tak bude fungovat dobře, nebo byste mohli také vypnout UAC, pokud dáváte přednost, což dělá vše, co běží jako správce po celou dobu. Neodpovídáme tomu, ale můžete to udělat.

    Použití Process Explorer k nahrazení Správce úloh

    Program Process Explorer je již dlouho používán jako účinná náhrada za předchozí anemickou aplikaci Správce úloh v každé verzi systému Windows před Windows 8 a za předpokladu, že chcete mít nějaký skutečný výkon ve vašich rukou, funguje to opravdu dobře, jako náhrada té verze.

    Poznámka: Správce úloh systému Windows 8 je výrazně lepší než předchozí verze. Stále ještě není tak silný jako Process Explorer, ale je to pravděpodobně pro obyčejné lidi snadnější. Takže neměňte měnový počítač s výchozím nastavením Process Explorer.

    Chcete-li nástroj Process Explorer nahradit správce úloh, stačí, abyste v nabídce zvolili volbu Možnosti -> Nahradit správce úloh. A je to.

    Jakmile to uděláte, pomocí kláves CTRL + SHIFT + ESC nebo pravým klepnutím na panelu úloh spustíte program Process Explorer spíše než správce úloh. Snadné, správně?

    Varování: Pokud nahradíte správce úloh, dejte absolutně jistotu, že jste aplikaci Process Explorer umístili na místo, kde se nechcete náhodně přesouvat nebo odstraňovat. V opačném případě budete uvíznutí systémem, který nemůže spustit správce úloh.

    Použití aplikace Průzkumník aplikace Explorer jako sledování ikon Awesome Tray

    Jedním z nejlepších vlastností aplikace Process Explorer je možnost minimalizovat ji do systémové lišty, ale namísto jediné ikony se může minimalizovat do plné sady ikon, které mohou monitorovat procesor, I / O, disk, síť, GPU , a RAM, nebo jakákoli jejich kombinace. Můžete je nakonfigurovat tak, aby se zobrazovaly samostatně nebo vůbec ne, pokud chcete.

    Chcete-li toto nastavení nastavit, otevřete nabídku Možnosti, přejděte do sekce Ikony v zásobníku a potom klepnutím aktivujte všechny ikony zásobníků, které chcete vidět.

    Můžete spustit program Průzkumník vždy, když spustíte počítač a minimalizujete ho na systémovém panelu, takže to vždy bude pro vás. A samozřejmě, pokud jste použili možnost nahradit Správce úloh, můžete k němu kdykoliv rychle přistupovat pomocí klávesové zkratky - ačkoliv budete chtít použít možnost "Pouze jedna instance", aby se ujistil, že neotevřete spousta samostatných oken.

    Pomocí aplikace Průzkumník pro rychlé vyhledání VirusTotal

    Pokud pracujete na problému s počítačem a chcete zjistit, zda je proces virem, můžete ušetřit čas pomocí aplikace Process Explorer verze 16 nebo vyšší, protože jste přidali integraci VirusTotal přímo do aplikace. Stačí kliknout pravým tlačítkem myši na cokoliv v seznamu, abyste viděli možnost.

    Při prvním spuštění budete vyzváni, abyste přijali podmínky používání služby VirusTotal, ale poté, co tak učiníte, uvidíte v seznamu výsledky VirusTotal.

    Klepnutím na výsledek můžete přejít na VirusTotal a zobrazit podrobnosti. Je to skvělý nový doplněk k jednomu z nejlepších nástrojů kdykoli.

    Další lekce: Použití aplikace Průzkumník pro odstraňování a diagnostiku

    V další lekci v naší sérii se budeme věnovat mnohem větší hloubce o tom, jak používat Process Explorer v některých scénářích v reálném světě k řešení běžných problémů, jako je malware a crapware. Ujistěte se, že zůstanou naladěny pro zbytek série.

    Pochopení Pseudo-prvku před a po
    Pochopení směrovačů, přepínačů a síťového hardwaru
    Pochopení rychlosti přenosu sítě LAN
    Další článek
    Porozumění procesu sledování
    Předchozí článek
    Pochopení Microinteractions v Mobile App Design