Что за программа process explorer

Process Explorer – альтернатива стандартному Task Manager-у. Эта утилита, как и многие другие утилиты Sysinternals, здорово расширяет возможности контроля и управления системой. Главное новшество только что вышедшей 14-ой версии — возможность мониторить сетевую активность процессов. Далее небольшой обзор возможностей этой утилиты, которые считаю наиболее полезными для себя.

Для справки. С 2006 года Sysinternals была приобретена Microsoft, а ключевая фигура этой компании – Марк Руссинович с тех пор работает в Microsoft. Марк известен своими утилитами, книгой Windows Internals, блогом и является признанным специалистом по архитектуре Windows.

• Колонки в главном окне
• Сервисы внутри svchost
• Суммарные графики активности, процесс с максимальной активностью
• Суммарные графики активности в трее, процесс с максимальной активностью
• Сетевые соединения процесса
• Потоки процесса, их активность, стек потока с загрузкой символов
• Информация по использованию памяти в системе
• Handles и DLL процесса
• Поиск handles и DLL

Колонки в главном окне

Process Explorer — Подробно о процессах Windows с помощью утилиты от sysinternals.

1. Имя процесса
2. Владелец процесса, я использую сортировку по этому полю, чтобы первыми шли пользовательские процессы, потом системные
3. Загрузка CPU процессом
4. Суммарное затраченное время CPU, интересно иногда обращать на это внимание, полезен для таймирования
5. Private bytes — объем занимаемой процессом памяти (реально выделенные страницы, исключая shared)
6. Peak private bytes — пиковое значение Private bytes, интересно иногда взглянуть до чего дело доходило
7. I/O read bytes — суммарный объем считанных с диска данных, по изменению видна активность
8. I/O write bytes — суммарный объем записанных на диск данных, по изменению видна активность
9. Network receive bytes — суммарный объем считанных из сети данных, по изменению видна активность
10. Network send bytes — суммарный объем переданных в сеть данных, по изменению видна активность
11. Описание процесса
12. Название компании
13. Полный путь к образу процесса (тут можно точно понять откуда стартовал процесс)
14. Командная строка запуска процесса

Сервисы внутри svchost

При наведении курсора на svchost (процесс который хостит в себе сервисы) можно видеть перечень сервисов – довольно полезная фича.

Суммарные графики активности, процесс с максимальной активностью

Сверху основного окна расположены графики основных суммарных параметров – память, дисковая, сетевая и CPU активность. При перемещении курсора по истории параметра, показан процесс который дал максимальный вклад в это значение в данный момент времени. Кроме того в тултипе есть информация о мгновенном значении параметра (зависит от частоты обновления). На следующей картинке — график сетевой активности.

Process Explorer — для замены Диспетчера задач

В окне «system information» графики собраны вместе, здесь удобнее смотреть корреляцию параметров.

Суммарные графики активности в трее, процесс с максимальной активностью

Очень удобная фича – выведение в трей иконок с графиками суммарной активности. Там могут быть графики дисковой активности, CPU и память. Я использую первые два – поглядываю туда, при возникновении вопросов достаточно навести курсор и узнать какой процесс дает максимальный вклад в параметр. К сожалению сетевую активность туда нельзя выставить, я надеюсь это вопрос времени.

Сетевые соединения процесса

В свойствах процесса в закладке TCP/IP можно посмотреть текущие активные соединения. К сожалению сетевая активность по ним не видна, эта функциональность пока доступна в другой утилите – tcpview.

Потоки процесса, их активность, стек потока с загрузкой символов

В свойствах процесса в закладке threads видны все его потоки и загрузка CPU по потокам. Допустим хочется рассмотреть стек потока, который интенсивно что-то делает или висит. Для этого сперва надо его распознать, допустим по загрузке CPU, потом полезно приостановить процесс, чтобы спокойно рассмотреть его состояние — это можно сделать прямо в этом окне по кнопке “suspend”.

Далее выделяем поток и нажимаем “stack”. В большинстве случаев стек будет начинаться в недрах системы и обрываться не совсем понятным образом. Дело в том, что не имея отладочной информации по системным библиотекам не удастся корректно развернуть стек и разобраться в нем. Есть решение – нужно сконфигурировать доступ с символьной информации с сайта Microsoft. Надо проделать несколько шагов:

1. Установить Debugging Tools. Из приведенной ссылки надо пойти по ссылке “Debugging Tools for Windows 32-bit Versions” или “Debugging Tools for Windows 64-bit Versions”. Далее выбрать для скачивания последнюю версию не интегрированную в SDK, иначе это выльется в скачивание огромного объема SDK, а так всего несколько Mb.
2. Настроить доступ к символам в Process Explorer. Options –> Configure Symbols. В одном поле задаем путь к dbghelp.dll, которая находится внутри установленного продукта из шага 1. Во втором настраиваем такую хитрую строку: “srv*C:Symbols*http://msdl.microsoft.com/download/symbols”. Часть строки указывает на локальный кэш для PDB файлов, вторая часть на путь к серверу для скачивания.
3. Теперь список потоков и стек будут более информативны. При открытии этих окон может происходить задержка на время подкачки PDB файлов с сервера Microsoft, но делается это один раз для каждой версии модуля, результат кэшируется в выбранной папке.

Информация по использованию памяти в системе

В окне «system information» закладка «memory». Здесь есть два графика – commit и physical. Physical – использование физической памяти без учета файлового кэша, под который уходит все что остается. Commit – сколько памяти выделено для процессов включая используемую виртуальную память. Под графиками в разделе «Commit Charge» есть поля Limit и Peak.

Limit определяется суммой физической и виртуальной памяти, т.е. это максимальный суммарный объем памяти, который может выделить система. Peak – это максимум графика Commit за время работы утилиты. Процентные соотношения Current/Limit и Peak/Limit удобны для быстрой оценки насколько состояние системы приближалось к критическому лимиту по доступной памяти.

Handles и DLL процесса

В главном окне можно включить разделитель и снизу отображать DLL или handles выделенного процесса. При борьбе с вирусами и отладке программ это бывает очень полезно. На картинке — список handles для opera, первый handle файловой системы – это flash ролик в временном каталоге.

Для DLL можно добавить колонку с полным путем к образу, отсортировав по нему, проанализировать нет ли каких подозрительных модулей. На картинке видно, что подключен модуль от Logitech, есть подозрение что это что-то типа хука внедряющегося во все процессы. Следующим пунктом посмотрим где он еще встречается.

Поиск handles и DLL

Поиск по имени handle или DLL во всех процессах. Вводим имя DLL от Logitech из предыдущего пункта и убеждаемся что подключается он почти везде.

Другой пример – надо понять, кто блокирует файл или работает с папкой. Вводим часть пути и находим все процессы, которые открыли подобные объекты системы. Можно щелкнуть на элементе из списка и перейти к процессу, при этом будет подсвечен соответствующий handle или DLL.

PS Для отображения некоторых полей (например сетевая статистика) требуются административные привилегии. Повысить привилегии в уже запущенном Process Explorer можно с помощью команды в меню File. Только при наличии таких привилегий есть возможность добавить такие колонки. Я считаю такое поведение неверным, т.к. скрывает потенциальные возможности приложения от пользователя.

Если поля добавлены и при следующем запуске нет административных прав, то они будут пустыми. Можно задать ключ «/e» в командной строке, чтобы форсировать поднятие привилегий при старте Process Explorer.

• windows
• sysinternals
• process explorer

Источник: habr.com

Process Explorer — продвинутый диспетчер задач для Windows

Весит мало, установки не требует.

Официально работает в:

• Windows 8.1 и старше
• Windows Server 2012 и старше

Неофициально должно от XP работать, по крайней мере, более старые версии.

Полнота показываемых сведений зависит от пользователя, от имени которого запускается Process Explorer. Имеется возможность в меню заменить стандартный диспетчер задач. Тогда по Ctrl + Shift + Esc вместо Task Manager запустится Process Explorer. С каждой новой версией появляются новые возможности, такие как мониторинг сетевой активности, параметры GPU, возможность проверки процесса по базе VirusTotal.

Можно узнать в какой программе открыт конкретный файл или каталог. Отобразить сведения об открытых и загруженных декскрипторах и процессах DLL. Можно отобразить дополнительные колонки, нажав правую кнопку на легенду, их там много, нет смысла писать про все.

Окно Process Explorer состоит из двух частей. В верхнем окне всегда отображается список активных в настоящее время процессов, включая имена учетных записей. Сведения, отображаемые в нижнем окне, зависят от режима, в котором находится Process Explorer: если он находится в режиме дескриптора, вы увидите дескрипторы, выбранные в верхнем окне; если в режиме DLL — вы увидите библиотеки DLL и сопоставленные в памяти файлы.

Process Explorer обладает мощными возможностями поиска, которые быстро показывают, какие процессы открывают определенные дескрипторы или загружаются библиотеки DLL. Уникальные возможности Process Explorer делают утилиту полезной для отслеживания проблем с версиями DLL или устранения утечек, а также предоставления аналитических сведений о работе Windows и приложений.

• Иерархическое отображение процессов
• Возможность идентификации системных процессов (например, является ли процесс svchost.exe системным)
• Отображает иконку и компанию производителя каждого процесса
• Изменяемый диапазон измерений загрузки CPU и графические индикаторы
• Возможность «заморозить» любой процесс
• Возможность управления (запуск, пауза, остановка) потоками (нитями) процесса
• Возможность вывести окно, принадлежащее тому или иному процессу, поверх остальных
• Возможность закрытия древа процессов
• Возможность в реальном режиме времени менять приоритет и то, на каком ядре процессора будет выполняться тот или иной процесс
• Возможность проверки сертификата файла процесса
• Возможность заменять системный диспетчер задач по тем же горячим клавишам
• Для каждого объекта, имеющего ACL, отображается вкладка «Безопасность»

Доступно отображение процессов в виде дерева. В трей можно вывести графики загрузки процессора для выбранного приложения, I/O, Disk, Network, GPU, Commit, Memory.

Весьма полезная утилита для разработчиков и системных администраторов. И мощная, книгу можно написать.

Ссылки

Ещё можно посмотреть в сторону Process Hacker.

Источник: internet-lab.ru

Process Explorer

Программа для мониторинга и управления процессами Windows

Яндекс.Браузер — быстрый браузер с защитой от мошенников и вредоносных сайтов.

• Windows 10
• Windows 8.1
• Windows 8
• Windows 7
• Windows Vista
• Windows XP

Тип лицензии:
Freeware (бесплатное)

Языки: Английский
Полезные статьи

Process Explorer — многофункциональный менеджер процессов для операционных систем Windows XP, Vista, 7, 8, 8.1 и 10. Программа распространяется бесплатно, работает как в 32-разрядных, так и 64-разрядных ОС. Интерфейс приложения выполнен на английском языке.

Функциональные возможности Process Explorer

В программе Process Explorer объединены и представлены в более удобном виде функциональные возможности таких стандартных приложений Windows, как «Диспетчер задач» и «Монитор ресурсов». Менеджер процессов обладает и рядом собственных функций.

В сумме Process Explorer обеспечивает пользователя исчерпывающей информацией о каждом запущенном на компьютере процессе, в т.ч. и об используемых им файлах, папках, разделах реестра и других объектах. Кроме того, программа обладает множеством функций по управлению процессами, для использования которых требуются права администратора.

Мониторинг процессов — основная функция утилиты Process Explorer. Вот некоторые возможности программы по части мониторинга и анализа запущенных процессов:

• Потребление системных ресурсов (включая сеть, видеопамять и видеопроцессор) с возможностью открытия отдельных окон для мониторинга за любым количеством выбранных процессов одновременно.
• Отображение всех процессов, запуск которых инициирован процессом-родителем (т.е. просмотр древа процессов).
• Возможность добавления в основное окно программы дополнительных информационных колонок: разработчик программного обеспечения, версия исполнимого файла, разрядность, виртуализированность, уровень интеграции процесса, наличие видимых окон и их заголовки, для автоматически загружающихся процессов — путь в реестре, откуда был инициирован запуск, и многое другое.
• Просмотр всех дескрипторов процесса с указанием их типа, текущего шестнадцатеричного адреса в памяти и других сведений.
• Просмотр информации обо всех DLL-библиотеках, используемых выбранным процессом.
• Возможность глобального (среди всех запущенных процессов) поиска дескрипторов и/или DLL-библиотек по их названию, описанию и типу.
• Возможность чтения печатаемых строк DLL-библиотек с целью их анализа.
• Наличие функции онлайн-сканирования любого процесса или используемого им файла (включая DLL) на предмет наличия вредоносного кода, для чего используется бесплатная интернет-служба VirusTotal.
• Наличие функции определения процесса путем указания пользователем на любое открытое окно.

Менеджер Process Explorer также обладает рядом активных функций:

• Изменение приоритета и возможность в режиме реального времени указания процессу, на каком из имеющихся ядер процессора тот может выполняться.
• Возможность остановки процесса и всего древа процессов, а также и любого из дескрипторов. Также возможна заморозка/приостановка любого выполняющегося процесса.

Создания полного и минидампа (DMP-файла) для выбранного процесса и другие функции.

Источник: www.softsalad.ru