Process explorer для windows как пользоваться

Process Explorer – альтернатива стандартному Task Manager-у. Эта утилита, как и многие другие утилиты Sysinternals, здорово расширяет возможности контроля и управления системой. Главное новшество только что вышедшей 14-ой версии — возможность мониторить сетевую активность процессов. Далее небольшой обзор возможностей этой утилиты, которые считаю наиболее полезными для себя.

Для справки. С 2006 года Sysinternals была приобретена Microsoft, а ключевая фигура этой компании – Марк Руссинович с тех пор работает в Microsoft. Марк известен своими утилитами, книгой Windows Internals, блогом и является признанным специалистом по архитектуре Windows.

Содержание:

• Колонки в главном окне
• Сервисы внутри svchost
• Суммарные графики активности, процесс с максимальной активностью
• Суммарные графики активности в трее, процесс с максимальной активностью
• Сетевые соединения процесса
• Потоки процесса, их активность, стек потока с загрузкой символов
• Информация по использованию памяти в системе
• Handles и DLL процесса
• Поиск handles и DLL

Колонки в главном окне

Для каждого процесса:

1. Имя процесса
2. Владелец процесса, я использую сортировку по этому полю, чтобы первыми шли пользовательские процессы, потом системные
3. Загрузка CPU процессом
4. Суммарное затраченное время CPU, интересно иногда обращать на это внимание, полезен для таймирования
5. Private bytes — объем занимаемой процессом памяти (реально выделенные страницы, исключая shared)
6. Peak private bytes — пиковое значение Private bytes, интересно иногда взглянуть до чего дело доходило
7. I/O read bytes — суммарный объем считанных с диска данных, по изменению видна активность
8. I/O write bytes — суммарный объем записанных на диск данных, по изменению видна активность
9. Network receive bytes — суммарный объем считанных из сети данных, по изменению видна активность
10. Network send bytes — суммарный объем переданных в сеть данных, по изменению видна активность
11. Описание процесса
12. Название компании
13. Полный путь к образу процесса (тут можно точно понять откуда стартовал процесс)
14. Командная строка запуска процесса

Сервисы внутри svchost

При наведении курсора на svchost (процесс который хостит в себе сервисы) можно видеть перечень сервисов – довольно полезная фича.

Суммарные графики активности, процесс с максимальной активностью

Сверху основного окна расположены графики основных суммарных параметров – память, дисковая, сетевая и CPU активность. При перемещении курсора по истории параметра, показан процесс который дал максимальный вклад в это значение в данный момент времени. Кроме того в тултипе есть информация о мгновенном значении параметра (зависит от частоты обновления). На следующей картинке — график сетевой активности.

В окне «system information» графики собраны вместе, здесь удобнее смотреть корреляцию параметров.

Суммарные графики активности в трее, процесс с максимальной активностью

Очень удобная фича – выведение в трей иконок с графиками суммарной активности. Там могут быть графики дисковой активности, CPU и память. Я использую первые два – поглядываю туда, при возникновении вопросов достаточно навести курсор и узнать какой процесс дает максимальный вклад в параметр. К сожалению сетевую активность туда нельзя выставить, я надеюсь это вопрос времени.

Сетевые соединения процесса

В свойствах процесса в закладке TCP/IP можно посмотреть текущие активные соединения. К сожалению сетевая активность по ним не видна, эта функциональность пока доступна в другой утилите – tcpview.

Потоки процесса, их активность, стек потока с загрузкой символов

В свойствах процесса в закладке threads видны все его потоки и загрузка CPU по потокам. Допустим хочется рассмотреть стек потока, который интенсивно что-то делает или висит. Для этого сперва надо его распознать, допустим по загрузке CPU, потом полезно приостановить процесс, чтобы спокойно рассмотреть его состояние — это можно сделать прямо в этом окне по кнопке “suspend”. Далее выделяем поток и нажимаем “stack”. В большинстве случаев стек будет начинаться в недрах системы и обрываться не совсем понятным образом. Дело в том, что не имея отладочной информации по системным библиотекам не удастся корректно развернуть стек и разобраться в нем. Есть решение – нужно сконфигурировать доступ с символьной информации с сайта Microsoft. Надо проделать несколько шагов:

1. Установить Debugging Tools. Из приведенной ссылки надо пойти по ссылке “Debugging Tools for Windows 32-bit Versions” или “Debugging Tools for Windows 64-bit Versions”. Далее выбрать для скачивания последнюю версию не интегрированную в SDK, иначе это выльется в скачивание огромного объема SDK, а так всего несколько Mb.
2. Настроить доступ к символам в Process Explorer. Options –> Configure Symbols. В одном поле задаем путь к dbghelp.dll, которая находится внутри установленного продукта из шага 1. Во втором настраиваем такую хитрую строку: “srv*C:Symbols*http://msdl.microsoft.com/download/symbols”. Часть строки указывает на локальный кэш для PDB файлов, вторая часть на путь к серверу для скачивания.
3. Теперь список потоков и стек будут более информативны. При открытии этих окон может происходить задержка на время подкачки PDB файлов с сервера Microsoft, но делается это один раз для каждой версии модуля, результат кэшируется в выбранной папке.

Информация по использованию памяти в системе

В окне «system information» закладка «memory». Здесь есть два графика – commit и physical. Physical – использование физической памяти без учета файлового кэша, под который уходит все что остается. Commit – сколько памяти выделено для процессов включая используемую виртуальную память. Под графиками в разделе «Commit Charge» есть поля Limit и Peak. Limit определяется суммой физической и виртуальной памяти, т.е. это максимальный суммарный объем памяти, который может выделить система. Peak – это максимум графика Commit за время работы утилиты. Процентные соотношения Current/Limit и Peak/Limit удобны для быстрой оценки насколько состояние системы приближалось к критическому лимиту по доступной памяти.

Handles и DLL процесса

В главном окне можно включить разделитель и снизу отображать DLL или handles выделенного процесса. При борьбе с вирусами и отладке программ это бывает очень полезно. На картинке — список handles для opera, первый handle файловой системы – это flash ролик в временном каталоге.

Для DLL можно добавить колонку с полным путем к образу, отсортировав по нему, проанализировать нет ли каких подозрительных модулей. На картинке видно, что подключен модуль от Logitech, есть подозрение что это что-то типа хука внедряющегося во все процессы. Следующим пунктом посмотрим где он еще встречается.

Поиск handles и DLL

Поиск по имени handle или DLL во всех процессах. Вводим имя DLL от Logitech из предыдущего пункта и убеждаемся что подключается он почти везде.

Другой пример – надо понять, кто блокирует файл или работает с папкой. Вводим часть пути и находим все процессы, которые открыли подобные объекты системы. Можно щелкнуть на элементе из списка и перейти к процессу, при этом будет подсвечен соответствующий handle или DLL.

PS Для отображения некоторых полей (например сетевая статистика) требуются административные привилегии. Повысить привилегии в уже запущенном Process Explorer можно с помощью команды в меню File. Только при наличии таких привилегий есть возможность добавить такие колонки. Я считаю такое поведение неверным, т.к. скрывает потенциальные возможности приложения от пользователя. Если поля добавлены и при следующем запуске нет административных прав, то они будут пустыми. Можно задать ключ «/e» в командной строке, чтобы форсировать поднятие привилегий при старте Process Explorer.

Серия уроков по пакету утилит SysInternals

1. Что такое инструменты SysInternals и как их использовать?

2. Знакомство с Process Explorer

3. Использование Process Explorer для устранения неполадок и диагностики

4. Понимание Process Monitor

5. Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра

6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО

В этом уроке из «Серии уроков по пакету утилит SysInternals» рассматривается Process Explorer, возможно, наиболее часто используемое и полезное приложение в наборе инструментов SysInternals. Но насколько хорошо вы действительно знаете эту утилиту?

Process Explorer, диспетчер задач и приложение для мониторинга системы, существует с 2001 года, и хотя раньше оно работало даже в Windows 9x, современные версии поддерживают только XP и выше, и они постоянно пополняются новыми функциями для современных версий Windows. Фактически, эта программа стала стандартом для устранения неполадок.

Если вы скачали полный пакет SysInternals, то для запуска Process Explorer дважды кликните на файл procexp64.exe или на файл procexp.exe (для 64- и 32-битных систем соответственно.

Итак, что может сделать Process Explorer?

Некоторые из лучших функций включают следующие, хотя это ни в коем случае не исчерпывающий список. Это приложение имеет множество функций, и многие из них скрыты глубоко внутри интерфейса. Удивительно, но это всё помещается в маленький файл.

• Древовидное представление по умолчанию показывает иерархические родительские отношения между процессами и отображает их с использованием цветов, чтобы легко понять процессы с первого взгляда.
• Очень точное отслеживание использования ЦП для процессов.
• Может использоваться для замены диспетчера задач, что особенно полезно в XP, Vista и Windows 7.
• Можно добавить несколько значков на панели задач для мониторинга ЦП, диска, графического процессора, сети и т. д.
• Выясните, какой процесс загрузил файл DLL.
• Выясните, какой процесс запускает открытое окно.
• Выясните, в каком процессе файл или папка открыты и заблокированы для удаления и переименования.
• Просматривайте полные данные о любом процессе, включая потоки, использование памяти, дескрипторы, объекты и многое другое, что нужно знать.
• Может убить все дерево процессов, включая любые процессы, запущенные тем, что вы решили убить.
• Может приостановить процесс, заморозив все его потоки, чтобы они ничего не делали.
• Можно увидеть, какой поток в процессе фактически загружает процессор.
• Последняя версия (v16) интегрирует VirusTotal в свой интерфейс, поэтому вы можете проверять процесс на вирусы, не выходя из Process Explorer.

Каждый раз, когда у вас возникает проблема с приложением, или что-то продолжает зависать на вашем компьютере, или, может быть, вы пытаетесь выяснить, для чего используется конкретный файл DLL, Process Explorer — это инструмент как раз для этой работы.

Понимание древовидного представления процессов

Когда вы запускаете Process Explorer, вам сразу же предоставляется множество визуальных данных — по умолчанию показывается иерархическое древовидное представление процессов, запущенных на вашем компьютере, среди прочего для каждого процесса показывается использование ЦП и ОЗУ. В верхней части панели инструментов есть несколько небольших мини-графиков, показывающих использование ЦП, которые можно щёлкнуть для отображения в отдельном окне.

Определённо много чего происходит, и при первом взгляде происходящее на экране может ошеломить.

Давайте начнём разбираться с каждым из элементов того, что показывает Process Explorer.

На начальном экране отображается набор столбцов, в который входят:

• Process — имя исполняемого файла вместе со значком, если он существует.
• CPU — процент процессорного времени за последнюю секунду (или независимо от установленной скорости обновления)
• Private Bytes — объем памяти, выделенный только этой программе.
• Working Set — фактический объем оперативной памяти, выделенной этой программе Windows.
• PID — идентификатор процесса.
• Description — описание, если оно есть в приложении.
• Company Name — это полезнее, чем вы думаете. Если что-то не так, начните с поиска процессов, которые не принадлежат Microsoft.

Вы можете настроить эти столбцы и добавить множество других параметров, или вы можете просто щёлкнуть любой из столбцов для сортировки по этому полю. Если вы когда-либо использовали Диспетчер задач раньше, вы, вероятно, сортировали по памяти или ЦП, и вы также можете сделать это здесь.

При нажатии на «Process» выполняется переключение между сортировкой по имени процесса или возвратом к древовидному представлению, которое мы видим по умолчанию, что очень полезно, когда вы к этому привыкнете.

Выводимая информация обновляется один раз в секунду, но вы можете перейти в меню View → Update Speed и настроить частоту обновления: минимальное значение составляет 0,5 секунды, а верхний уровень — 10 секунд. Если вы используете его для устранения неполадок, значение по умолчанию, вероятно, подойдёт, но если вы хотите использовать его в качестве монитора ЦП, находящегося на панели задач, то чтобы программа потребляла меньше процессорного времени, то можно выбрать частоту обновления в 5 или 10 секунд.

Вы также можете приостановить просмотр в том же подменю или просто нажав клавишу пробел. Это заморозит экран программы и вы получите моментальный снимок, что может быть полезно, если вы пытаетесь определить процесс, который запускается и быстро умирает, или если вы решили отсортировать по загрузке ЦП, а все строки продолжают прыгать.

Для запущенного процесса можно открыть подробное представление и детально изучить все столбцы. Вам нужно знать, что если вы нажали на паузу и экран не обновляется, то хоть вы и сможете видеть процесс, который завершил свою работу, в подробном представлении для завершённых процессов не показывается дополнительная информация. По этой причине следует заранее добавить дополнительные столбцы в окно программы, если вы отлавливаете и изучаете процесс, который быстро завершает свою работу.

Что означают цвета в Process Explorer

В типичном списке Process Explorer определённо много цветов, что может немного сбивать с толку начинающего компьютерщика. Очень важно узнать, что означают все эти цвета, потому что они предназначены не только для красоты — каждый из них имеет своё значение.

Если вы не можете вспомнить, что означает один из цветов, вы можете перейти в меню Options → Configure Colors, чтобы открыть диалоговое окно «Color Selection». По сути, это краткая шпаргалка что какой цвет означает. Продолжайте читать, так как мы собираемся объяснить здесь значение всех цветов Process Explorer.

Основываясь на цветах на картинке выше, вот что означает каждый из выбранных элементов (остальные на самом деле не важны).

• New Objects — Новые объекты (ярко-зеленый) — когда новый процесс появляется в Process Explorer, он начинается с ярко-зеленого цвета.
• Deleted Objects — Удалённые объекты (красный) — когда процесс завершается или закрывается, он обычно мигает красным прямо перед удалением.
• Own Processes — Собственные процессы (светло-голубой) — процессы, выполняемые под той же учётной записью, что и Process Explorer.
• Services — Службы (светло-розовый) — процессы служб Windows, хотя стоит отметить, что у них могут быть дочерние процессы, которые запускаются от имени другого пользователя, и они могут быть другого цвета.
• Suspended Processes — Приостановленные процессы (тёмно-серый) — когда процесс приостановлен, он ничего не может сделать. Вы можете легко использовать Process Explorer, чтобы приостановить приложение. Иногда сбойные приложения на короткое время отображаются серым цветом, пока Windows обрабатывает сбой.
• Immersive Process — Иммерсивный процесс (ярко-синий) — это просто причудливый способ сказать, что процесс представляет собой приложение Windows 8, использующее новые API. На скриншоте ранее вы могли заметить WSHost.exe, который представляет собой процесс «Windows Store Host», который запускает приложения Metro. По какой-то причине Explorer.exe и диспетчер задач также будут отображаться как иммерсивные.
• Packed Images — Упакованные образы (фиолетовый) — эти процессы могут содержать скрытый сжатый код, или, по крайней мере, Process Explorer считает, что они содержат, используя эвристику. Если вы видите пурпурный процесс, обязательно выполните сканирование на наличие вредоносных программ!

Поскольку, очевидно, что один и тот же процесс может иметь свойства более чем одной описанной группы, цвета будут применяться в порядке приоритета. Если процесс является сервисом и приостановлен, он будет отображаться тёмно-серым цветом, поскольку этот цвет более важен.

Порядок приоритета процессов, который нам удалось составить во время исследования программы: Suspended → Packed → Immersive → Services → Own Processes (то есть Приостановлено → Упаковано → Иммерсивное → Службы → Собственные процессы).

Проверка идентичности приложения

Один действительно полезный параметр, который, к нашему удивлению, не включён по умолчанию, находится в разделе Options → Verify Image Signatures (Проверить подписи образа).

Эта опция проверяет цифровую подпись для каждого исполняемого файла в списке, что является неоценимым инструментом для устранения неполадок, когда вы смотрите на какое-то работающее подозрительное приложение этом в списке.

На данном этапе подавляющее большинство программного обеспечения с хорошей репутацией должно иметь цифровую подпись. Если что-то не так, вам следует очень внимательно подумать, следует ли вам его использовать.

Действия над процессами

Вы можете быстро принять меры к любому процессу, щёлкнув его правой кнопкой мыши и выбрав один из вариантов или, если хотите, используя сочетания клавиш. Эти варианты включают:

• Window — Окно — содержит ряд опций, в том числе Bring to Front («На передний план»), которые могут быть полезны для определения окна, связанного с процессом. Если для этого процесса нет окон, то данный параметр будет недоступен.
• Set Priority — Установить приоритет — вы можете использовать это для настройки приоритета процесса. Это в основном полезно для укрощения беглого процесса, который вы не хотите убивать.
• Kill Process — Убить процесс — как вы понимаете, данная опция быстро убивает указанный процесс.
• Kill Process Tree — Убить дерево процессов — убивает не только элемент в списке, но и дочерние элементы этого родительского процесса.
• Restart — Перезагрузка — очень полезно при тестировании, это просто убивает процесс, а затем перезапускает его. Стоит отметить, что завершение процессов может привести к потере данных.
• Suspend — Приостановить — этот удобный вариант отлично подходит для устранения неполадок, когда процесс выходит из-под контроля. Вы можете просто приостановить процесс, а не убить его, и проверить, что именно не в порядке.
• Check VirusTotal — Проверить по VirusTotal — это новая опция, о которой мы расскажем дальше. Это действительно очень удобно, так как она проверяет процесс на вирусы.
• Search Online — Искать в Интернете — эта опция просто будет искать в Интернете название процесса.

И, очевидно, если вы откроете Properties (Свойства), это приведёт вас к ещё более полезной информации о процессе, многое из чего мы рассмотрим в следующем уроке.

Запуск от имени администратора

Хотя вам совершенно не обязательно запускать Process Explorer от имени администратора, без этого многие полезные функции не будут работать, и вы не сможете увидеть так много информации о каждом процессе, как запустив программу с повышенными привилегиями.

Если вы работаете в Windows XP или 2003, вам нужно будет работать под учётной записью с полными правами администратора для использования большинства функций. Вероятно, это не проблема для большинства людей, потому что XP в любом случае предоставляет дефолтной учётной записи полные права, но если вы пытаетесь использовать программу на работе без прав администратора, это не сработает.

Чтобы запустить приложение в качестве администратор просто щёлкните правой кнопкой мыши и выберите нужный вариант в меню.

Интересный факт: Process Explorer на самом деле использует привилегию Debug Programs, которая во многом объясняет, почему она настолько эффективна.

Как сделать так, чтобы Process Explorer всегда запускался от имени администратора

Если вы хотите, чтобы Process Explorer всегда открывался с правами администратора без необходимости открывать контекстное меню, то в контекстном меню откройте Свойства файла procexp64.exe (или procxp.exe), перейдите на вкладку «Совместимость», а затем выберите параметр «Запускать эту программу от имени администратора».

Использование Process Explorer для замены диспетчера задач

Process Explorer долгое время использовался в качестве мощной замены ранее анемичного встроенного Диспетчера задач — если вы хотите получить реальную мощь в своих руках, он справится с этой задачей.

Примечание. Диспетчер задач Windows 10 значительно улучшен по сравнению с предыдущими версиями. Он все ещё не такой мощный, как Process Explorer, но, вероятно, его проще использовать обычным людям. Так что не меняйте в компьютере мамы Диспетчер задач на Process Explorer.

Чтобы заставить Process Explorer заменить диспетчер задач, все, что вам нужно сделать, это выбрать в меню Options → Replace Task Manager. Всё готово.

Как только вы это сделаете, сочетание клавиш CTRL+SHIFT+ESC или щелчок правой кнопкой мыши по панели задач запустит Process Explorer, а не диспетчер задач. Легко, правда?

Предупреждение: если вы все же замените Диспетчер задач, убедитесь, что вы поместили Process Explorer в такое место, где вы случайно не переместите и не удалите файл. В противном случае вы застрянете с системой, которая не сможет запускать диспетчер задач.

Использование Process Explorer для добавления отличных значков монитора системы в трей

Одной из лучших функций Process Explorer является возможность сворачивать его в системный лоток, но вместо одного значка он может сворачиваться в полный набор значков, которые могут контролировать ЦП, ввод-вывод, диск, сеть, графический процессор и RAM, или любое их сочетание. Вы можете настроить их отображение отдельно или не отображать вовсе, если хотите.

Чтобы настроить это, откройте меню «Options», перейдите в раздел Tray Icons, а затем щёлкните, чтобы включить все значки, которые вы хотели бы видеть на панели задач.

Вы можете просто запускать Process Explorer каждый раз при запуске компьютера, а затем свернуть его в системный лоток, чтобы он всегда был рядом с вами. И, конечно же, если вы использовали вариант замены диспетчера задач, вы можете быстро получить к нему доступ в любое время с помощью сочетания клавиш — хотя вы можете использовать параметр Allow Only One Instance («Разрешить только один экземпляр»), чтобы убедиться, что вы не открываете кучу окон с Process Explorer.

Использование Process Explorer для быстрого поиска по VirusTotal

Если вы работаете на проблемном ПК и хотите выяснить, является ли процесс вирусом, вы можете сэкономить время, используя Process Explorer версии 16 или выше, потому что они добавили интеграцию VirusTotal непосредственно в приложение. Просто щёлкните что-либо в списке правой кнопкой мыши, чтобы увидеть этот параметр.

При первом запуске вам будет предложено принять условия использования VirusTotal, но после этого вы увидите, что результаты VirusTotal появятся прямо в списке.

Вы можете нажать на результат, чтобы перейти к VirusTotal и просмотреть подробности. Это отличное дополнение к одной из лучших утилит на свете.

Следующий урок: Использование Process Explorer для устранения неполадок и диагностики

В следующем уроке нашей серии мы собираемся более подробно рассказать о том, как использовать Process Explorer в некоторых реальных сценариях для устранения распространённых проблем, таких как вредоносное и проблемное ПО. Следите за обновлениями до конца серии.

Диспетчер задач Windows очень ограничен – гораздо лучшей альтернативой является бесплатный Process Explorer Microsoft. Программа выдает подробнейшую информацию обо всех запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д.

Что это за программа?

Справка! Process Explorer — это бесплатный диспетчер задач Windows и инструмент мониторинга системы, который детализирует, какие программы в системе пользователя имеют определенный открытый файл или каталог.

Обозреватель процессов предоставляет более наглядные и подробные отчеты, чем диспетчер задач Windows.

Это часть Sysinternals Process Utilities, имеющая выбор инструментов, чтобы предоставить программе больше контроля и вариантов для повышения производительности Windows.

Process Explorer можно использовать для отслеживания проблем. Например, он предоставляет средство для перечисления или поиска именованных ресурсов, которые хранятся процессом или всеми процессами. Это может быть использовано для отслеживания того, что держит файл открытым и предотвращения его использования другой программой.

В качестве другого примера, он может показать командные строки, используемые для запуска программы, что позволяет различать идентичные процессы.

Как и диспетчер задач, он может показать процесс, который исчерпывает ЦП, но в отличие от диспетчера задач программа демонстрирует, какой поток использует ЦП, эта информация даже не доступна в отладчике.

Как пользоваться этим софтом для Windows?

Внимание. Process Explorer имеет два окна с подробной информацией.

В верхнем окне отображается список активных процессов в режиме реального времени, описание того, что делают процессы, процессор и использование памяти, и название компании программного обеспечения.

Процессы настраиваются в иерархическом представлении с родительским процессом сверху и дочерними процессами под ними. Он может настроить, какую информацию столбцы включают на основе предпочтений. Кроме того, IT-специалисты могут организовать строки в алфавитном или числовом порядке.

Верхняя панель Process Explorer также содержит линейные диаграммы, цветовые коды и символы, которые можно настроить. Инструмент имеет область, которая показывает:

• все библиотеки динамической компоновки;
• дескрипторы;
• значки;
• командные строки;
• полные пути изображения;
• статистику памяти;
• атрибуты безопасности и многое другое.

Внимание! В нижнем окне представлен увеличенный вид процессов Windows, и он изменяется в зависимости от того, в каком режиме Process Explorer находится.

Режимы включают режим дескриптора, который показывает целочисленные значения, используемые в качестве идентификаторов для активных процессов и их потоков, и режим DLL.

Эти режимы зависят от типа отображаемых в Проводнике данных Process Explorer.

Инструменты в Process Explorer предлагают целевую помощь, такую как быстрый поиск, чтобы быстро найти файл, или опцию Kill Process, чтобы закрыть полное дерево процессов одним щелчком мыши.

Нажатие на пробел приостанавливает автоматическое обновление, чтобы программа могла внимательно следить за процессом. Она может легко найти файлы, которые которые блокируются или теряются во множестве процессов в представлении дескриптора.

Process Explorer также использует VirusTotal для мониторинга потенциальных вредоносных программ из сомнительных процессов. ПО может добавить столбец VirusTotal в параметры, и столбец покажет все антивирусные сайты, которые помечают процесс как потенциальный вирус.

Как скачать, установить и запустить?

Для того, чтобы скачать и установить Process Explorer, выполните следующее:

1. зайдите на страницу Process Explorer;
2. скачайте и распакуйте файл ProcessExplorer.zip (прямая ссылка для скачивания – http://download.sysinternals.com/Files/ProcessExplorer.zip);
3. запустите файл procexp.exe (3,38МБ);
4. в окне с лицензионным соглашением Process Explorer License Agreement нажмите Agree.

Важно. Программу рекомендуется запускать от имени администратора.

После запуска программы в области уведомлений Панели задач появляется характерный значок, при наведении на него курсора мыши появляется всплывающая подсказка с информацией о загрузке центрального процессора и о том, какой процесс больше всего загружает CPU.

Если вы запустили инструмент не от имени администратора, вы не сможете просматривать сведения обо всех процессах.

Диспетчер задач встроен в Windows, поэтому часто отключается вирусами. Process Explorer — это автономная программа, которая может быть запущена, даже если диспетчер задач отключен.

Как включить русский язык?

К недостаткам утилиты следует отнести отсутствие русифицированного интерфейса и русскоязычной справки.

На просторах интернета можно найти множество версий программы Process explorer со встроенным русификатором. Однако, ручаться за безопасность таких файлов нельзя. Поэтому лучше избегать посредников и скачивать ПО с сайта разработчика.

Process Explorer был одним из многих инструментов, созданных программным обеспечением Winternals, которое Microsoft затем приобрела и переименовала в Windows Sysinternals.rsght

Каждый пользователь Windows использовал диспетчер задач хотя бы один раз. Это важная встроенная утилита, которая собирает важную информацию об активных процессах и потреблении ресурсов, которая пригодится, когда что-то пойдет не так, когда завершается процесс.

Да, диспетчер задач является ценным инструментом для всех пользователей Windows, но только для начинающих и промежуточных пользователей, которые считают его подходящим для всего, что им нужно сделать. Однако, если вы продвинутый пользователь, вам, вероятно, понадобятся дополнительные функции.

Проще говоря, там, где заканчиваются возможности диспетчера задач, появляется Process Explorer. Бесплатный расширенный менеджер задач и системный монитор работает на платформе Microsoft и создан одним из самых известных энтузиастов Windows, Марком Руссиновичем. Сегодня мы представляем вам подробное объяснение этого инструмента и всех его возможностей.

Как использовать Process Explorer

Загрузка и установка

Перво-наперво, Sysinternals, разработчик Process Explorer, имеет целый набор для различных системных задач . Вы можете скачать весь пакет или загрузить отдельные инструменты по отдельности. То же самое касается Process Explorer, наиболее часто используемого инструмента в комплекте.

Вы можете скачать заархивированный файл для обеих системных архитектур или напрямую загрузить файл .exe.

• Архив с версиями x86 и x64.
• Единственный файл, который вы можете запустить прямо из браузера.

Пользовательский интерфейс

По сравнению с диспетчером задач Windows 10 интерфейс Process Explorer немного запутан и не так удобен для пользователя. Пока простые задачи не должны представлять проблему. Тем не менее, для выполнения более сложных задач вам необходимо понять структуру программы, что не должно занимать более нескольких минут.

В левой части главного окна вы увидите активные процессы с подробным списком подпроцессов, представленным в виде дерева. На противоположной стороне вы можете увидеть стандартные подобные задачам столбцы отличительных процессов. Конечно, вы можете настроить столбцы в соответствии с вашими потребностями или использовать их для отслеживания определенного потребления. Особый акцент делается на столбце Название компании. Это лучший способ округлить доверенные сервисы и удалить (позднее удалить) те, которые могут быть вредоносными.

Над правой стороной главного окна вы увидите функции мониторинга Process Explorer. Там в режиме реального времени системная информация с использованием ЦП и ОЗУ и HDD и GPU деятельности. С левой стороны, над деревом процессов, вы увидите доступные параметры, которые в основном похожи на стандартный диспетчер задач.

Если вы хотите проверить определенный процесс, вы можете приостановить обновления с помощью пробела и нажать Ctrl + H для панели Handle View.

Характеристики

Пока вы можете сделать вывод, что это просто плохо спроектированный диспетчер задач, но вы ошибаетесь. С другой стороны, этот инструмент намного лучше для сложных задач, особенно когда дело доходит до поиска вредоносных программ.

Во-первых, с помощью Process Explorer вы можете завершить все дерево процессов вместо одного процесса. Вы, вероятно, столкнулись со сбоями Chrome / Firefox и перешли к диспетчеру задач, чтобы остановить эти махинации, и там вместо одного процесса вы увидели 5-10 запущенных процессов. С Process Explorer вы просто убиваете дерево процессов и все. Вы можете использовать эту функцию, щелкнув правой кнопкой мыши по нужному процессу и выбрав Kill Process, или вы можете использовать комбинацию клавиш Shift + Delete для тех же результатов.

Возможно, вы также пытались удалить / переместить / переименовать определенный процесс ddx, но система предложила вам сообщение «Этот файл открыт в другой программе». И иногда вы будете знать, какая программа мешает вам предпринять дальнейшие действия, но иногда вы этого не сделаете. Здесь вам пригодится Process Explorer, позволяющий определить процесс, заблокировавший ваш файл. Просто откройте Process Explorer, нажмите Ctrl + F и введите имя файла. Завершите процесс и продолжайте выполнять предыдущие действия.

Кроме того, этот инструмент может быть использован в качестве решения для защиты от вредоносных программ. Но вместо сканирования вы выбираете подозрительные процессы и проверяете их с помощью Virus Total. Virus Total — это вирусная поисковая система, состоящая из объединенной базы данных, созданной всеми основными разработчиками антивирусов. Вы можете выделить один процесс (щелкнуть правой кнопкой мыши, выбрать Проверить VirusTotal) или проверить все активные процессы в «Параметры> Проверить VirusTotal.com». После того, как вы переключите Check VirusTotal, любой новый процесс будет автоматически проверен. Первый номер обозначает подтверждение вируса, а второй — количество антивирусных компаний. Если вы, например, получаете 50/57, это означает, что 50 из 57 компаний отметили этот процесс как вредоносное ПО.

Заменить диспетчер задач

Хотя Диспетчер процессов является сторонним инструментом, вы можете установить его в качестве диспетчера задач по умолчанию. Да, вы правильно поняли: Process Explorer может полностью заменить встроенный диспетчер задач. Вы можете запустить его с помощью Ctrl + Alt + Delete или Ctrl + Shift + Escape, точно так же, как и в собственном диспетчере задач. Но в этом есть как положительные, так и отрицательные стороны.

• Положительный: превосходные функции, лучшее понимание общей производительности системы, возможности настройки.
• Отрицательно: вы не сможете организовать запуск и управление службами в Windows 8.1 / 10; старомодный дизайн.

Чтобы заменить диспетчер задач на Process Explorer, откройте «Параметры» и нажмите «Заменить диспетчер задач». Имейте в виду, что вам нужно административное разрешение для завершения действия.

Заворачивать

Это должно обернуть это. Если вы стремитесь улучшить свой общий контроль над ПК, не смотрите дальше. Process Explorer поможет вам во многих отношениях. И бесплатно.

Вы пробовали Process Explorer?

Скажите нам свое мнение в комментариях.

СВЯЗАННЫЕ ИСТОРИИ, КОТОРЫЕ ВЫ ДОЛЖНЫ ПРОВЕРИТЬ:

• Вот почему вы должны перейти на Windows 10 с Mac
• Исправлено: опция «Удалить все» не работает в Windows 10
• Мы отвечаем: что такое версия Windows 10 N и как ее использовать?

Обзоры утилит от Sysinternals.com:

• Process Explorer (контроль за процессами)
• PageDfrg (дефрагментация системных файлов)
• Autoruns (управление автозагрузкой)
• FileMon (монитор файловой системы)
• RegMon (монитор реестра)

Этот обзор — продолжение цикла статей о свободно распространяемых на Sysinternals.com утилитах. В этом обзоре будет рассмотрен интерфейс и основные возможности утилиты Process Explorer, которая окажет неоценимую помощь в просмотре и управлении процессами. Скачать утилиту можно на странице загрузки Process Explorer. Размер архива 268 килобайт.

Утилита не требует установки. Достаточно распаковать архив и запустить файл procexp.exe. Откроется главное окно утилиты, которое показано на рисунке ниже.

В верхней части окна в древовидной структуре перечислены все работающие в системе процессы. Помимо имени процесса выводится информация об использовании процессора, описание процесса, объем занятой памяти. Двойной щелчок по имени процесса открывает окно его свойств, пример которого показан ниже.

В нижней части главного окна показана детальная информация о выделенном в верхней части процессе. Это может быть список библиотек, используемых процессом или список хэндлов (открытых файлов, ключей реестра и т.д.). Двойной щелчок мыши по имени библиотеки или хэндла открывает окно свойств. Для получения описания библиотеки при помощи щелчка правой кнопки мыши по её имени можно открыть меню, выбор в котором пункта Google отправляет запрос в поисковую систему с именем выбранной библиотеки.

Для любого процесса при помощи щелчка правой кнопки мыши по имени процесса можно изменить его приоритет, завершить его выполнение или завершить выполнение процесса и его дерева. Полезная особенность Process Explorer заключается в том, что работу любого процесса можно приостановить (suspend), а потом возобновить (resume). Приостановка работы процесса может временно освободить занятые им ресурсы (процессор, сеть, жёсткий диск) для использования другими приложениями. Приостановив выполнение процесса можно определить, например, какой процесс открывает окна или проявляет повышенную сетевую активность. Это бывает необходимо сделать при подозрении на заражение компьютера вирусом или для пресечения работы рекламного программного обеспечения, которое устанавливается на компьютер без ведома пользователя.

Process Explorer предоставляет в распоряжение пользователя удобный инструмент, с помощью которого очень просто определить то, каким процессом открыто определённое окно. Для этого следует перетащить с панели инструментов Process Explorer кнопку в любое место открывшегося окна. После этого в верхней части главного окна Process Explorer будет подсвечено имя искомого процесса.

При помощи пункта меню Options — Replace Task Manager можно заменить стандартный Диспетчер задач Windows на Process Explorer. После такой замены по нажатию комбинации клавиш Ctrl+Shift+Esc будет открываться Process Explorer. Информация о системе, вызываемая из Process Explorer при помощи Ctrl+I, более полная, чем аналогичная вкладка Диспетчера задач Windows. Её пример показан на рисунке ниже.

Process Explorer может вывести скрытое окно приложения на экран. Некоторые программы не восстанавливают свой значок в трее, и если оболочка по каким-то причинам перезагружается, то после этого доступ к интерфейсу свёрнутой в трей программы получить будет невозможно. Придется завершать её через Диспетчер задач и запускать заново с потерей всех несохранённых данных. Воспользовавшись пунктом контекстного меню Bring to Front можно получить доступ к такому окну и сохранить данные.

Диспетчер задач является одной из немногих штатных утилит Windows, которая существует в идеальном завершённом формате — и в плане интерфейса, и в плане функционала. Но только, если говорить об уровне обывателя. Последнему знать более, чем та информация, что может предложить диспетчер задач Windows, ни к чему. А вот профессионалам часто нужен инструмент похлеще существующего формата диспетчера задач – с большим функционалом и с более информативным представлением данных.

0. Оглавление:

1. О программе Process Explorer
2. Скачивание и запуск программы Process Explorer
3. Отображение данных
4. Основные возможности программы

1. О программе Process Explorer

Бесплатная, минималистичная, с простым и понятным интерфейсом – программа Process Explorer от авторов веб-проекта Sysinternals.Com и есть эта самая более продвинутая альтернатива системному диспетчеру задач.

Process Explorer выдает подробнейшую справку обо всех запущенных процессах – загрузка процессора, использование памяти, идентификатор процесса, его описание, компания-разработчик. В довесок к отслеживанию запущенных процессов и их активности программа позволяет наблюдать и контролировать работу дескрипторов и загруженных процессом DLL-библиотек.

2. Скачивание и запуск программы Process Explorer

Программу Process Explorer с англоязычным интерфейсом можно скачать бесплатно на сайте Microsoft Technet.

Русифицированная версия программы для бесплатного скачивания доступна на сервере этого сайта.

Process Explorer не требует инсталляции, это портативная утилита, которая может быть настроена на сворачивание в трей при закрытии окна программы.

3. Отображение данных

Не открывая окно программы, прямо в системном трее наведением курсора мыши на значок Process Explorer можно вызвать всплывающую информацию о проценте загрузки процессора и о наиболее нагружаемом последний процессе.

Предустановленный параметр отображения данных о загрузке процессора в системном трее можно сменить и настроить отображение других системных ресурсов.

Рабочая область программы настраиваемая: окно программы может быть полностью отдано для отображения процессов в древовидной структуре.

А можно сделать активным отображение нижнего окна, где на выбор могут быть представлены либо списки DLL-библиотек, либо дескрипторы.

В отдельных случаях для удобства работы окно Process Explorer можно закрепить поверх всех остальных окон и настроить полупрозрачный вид программы.

4. Основные возможности программы

Двойной щелчок левой клавишей мыши на названии процесса запустит окно его свойств.

Контролировать запущенные процессы можно как с помощью контекстного меню, вызванном на каждом из процессов, так и с помощью меню вверху окна «Процесс».

Process Explorer позволяет завершать процессы, перезапускать их, изменять их приоритет с целью высвобождения системных ресурсов для выполнения более важных задач, осуществлять поиск информации касательного того или иного процесса в Интернете и т.д. Одним из преимуществ программы является возможность приостановки на время процессов (вместо их завершения, как это происходит в штатном диспетчере задач Windows) с последующим запуском этих процессов.

Возможность приостановки процессов может быть использована для их исследования. Приостановив на время тот или иной процесс, можно на время высвободить ресурсы компьютера для решения более важных задач, а затем возобновить этот процесс. Приостановка известных сетевых процессов поможет определить, какие другие процессы могут быть виновниками чрезмерной сетевой активности. При очевидных признаках торможения компьютера это один из способов выявления вирусного, шпионского или рекламного ПО. Приостановку процессов можно использовать, прежде чем безапелляционно приступать к решению проблемы с загрузкой жёсткого диска на 100% путём отключения тех или иных системных служб.

Process Explorer обустроена функцией определения процесса путём перетаскивания на окна запущенных приложений специальной кнопки, находящейся на панели инструментов программы. После того, как эта кнопка определит процесс приложения, он, уже будучи идентифицированным, выделится в окне Process Explorer.

В разделе меню «Вид» доступна информация о системе – это аналог вкладки «Производительность» штатного диспетчера задач Windows.

Process Explorer позволяет оперативно из своего интерфейса выключать, перезагружать компьютер, менять пользователя, а также запускать программы и службы с помощью встроенной в меню «Файл» команды «Выполнить», причём как с правами администратора, так и с правами обычного пользователя.

Программа обстроена поиском, позволяющим оперативно выявить процессы с определёнными открытыми дескрипторами или определёнными загруженными DLL-библиотеками.

Process Explorer умеет сохранять текущее состояние процессов в TXT-файл. Список всех запущенных процессов может быть выгружен в текстовый формат со всеми данными, отображающимися в окне программы.

При необходимости программа может стать частью системы Windows. Штатный диспетчер задач заменяется на Process Explorer с помощью специальной функции в самой программе, и именно окно Process Explorer впоследствии будет появляться при нажатии горячих клавиш Ctrl+Shift+Esc.