Process Explorer и Process Monitor
Process Explorer и Process Monitor — два из трёх очень полезных инструментов для тонкой настройки операционных систем Windows.
Если вы хотите знать, что прямо сейчас происходит на вашем компьютере, попробуйте Process Explorer. В своей основе Process Explorer — более сложная версия диспетчера задач Windows 10.
В нем, в реальном времени, отображается информация о запущенных процессах, включая какая учётная запись является владельцем определённого процесса. Какие файлы, ключи реестра и другие объекты этот процесс открыли. И какие библиотеки DLL этим процессом были загружены. А также, программа Process Explorer, обеспечивает моментальный снимок производительности системы и использования её ресурсов.
Process Explorer
Вы предпочитаете загруженный, но информативный дисплей Process Explorer, более чистому, но почти пустому диспетчеру задач? Пожалуйста, для этого имеется свой параметр. А именно, в программе Process Explorer, выберите меню «Параметры» и затем «Заменить диспетчер задач» (для внесения этого изменения вам потребуются учётные данные администратора). После этого, нажатие клавиш Ctrl+Shift+Esc, вместо диспетчера задач Windows, откроет инструмент Sysinternals.
Process Monitor: отслеживание файловой активности
На примере ниже чётко видно, что Process Explorer очень активен. Для идентификации каждого процесса по типу, он использует цветовое кодирование, а для привлечения внимания к начинающимся и заканчивающимся процессам — анимацию.
Вид группировки по умолчанию в Process Explorer обрабатывает процессы родитель-потомок и использует цветовое кодирование для выявления различных типов процессов.
Цветовое кодирование, вы можете настроить самостоятельно. Для этого, нажмите «Опции» и выберите «Настройка цветов».
Параметры по умолчанию следующие:
Зелёный цвет указывает на новые объекты, а насыщенный красный — момент удаления объектов. Оба этих цвета появляются на короткое время, в момент начала и окончания процесса.
Светло-голубой — определяет «собственные процессы», те, что работают под той же учётной записью, что и Process Explorer. Обратите внимание, что эти процессы могут выполняться в другом контексте безопасности чем учётная запись пользователя, под которой они были запущены.
Розовый цвет — выделяет процессы, которые содержат одну или более служб Windows. Когда вы наводите курсор на одну из этих строк, появляется подсказка, отображающая имена работающих в этом процессе отдельных служб. Что может быть полезным для определения какой экземпляр Svchost.exe за это отвечает.
Фиолетовый (или тёмно-фиолетовый) — означает «Упакованные» (зашифрованные или сжатые) исполняемые программы. Это может означать потенциально вредоносные программы, особенно, если они связаны с неизвестным процессом.
Выявляем кражу паролей методом анализа сетевой активности утилитой Process Monitor
Бирюзовый — показывает иммерсивные процессы, которые связаны с приложениями Магазина Windows.
Тёмно-серый — идентифицирует приостановленный процесс. Обычно это приложения Windows Store, которые вы ранее открыли, но уже не используете. Некоторые приложения Магазина Windows специально написаны так, что могут продолжать выполняться в фоновом режиме. Например, Groove Music будет продолжать проигрывать мелодии даже при переключении фокуса в другую программу.
Вы можете идентифицировать работу Windows и .NET процессов по их цветовому кодированию, хотя эти атрибуты, по умолчанию, параметры не отображают.
Маленькие графики, в верхней части окна Process Explorer, отображают системную информацию в режиме реального времени. Чтобы увидеть все графики производительности в одном окне, нажмите Ctrl+I (как в информации) или, в строке меню, щёлкните «Вид» и выберите пункт «Сведения о системе». Ниже этот дисплей в действии.
Окно сведений о системе показывает графики производительности для текущей системы в режиме реального времени. А также, при наведении курсора на определённое место, детальные подсказки.
Внимание. Если вы не видите все графики, перезапустите Process Explorer от имени администратора.
Каждая из отдельных вкладок — CPU, Memory, I/O и GPU — содержит дополнительные сведения об этой конкретной группе ресурсов. В частности, на вкладке GPU, добавлены детали, которые вы не найдёте на вкладке «Производительность» диспетчера задач.
Реальная сила Process Explorer становится очевидной, когда вы, чтобы раскрыть меню доступных параметров, щёлкните правой кнопкой мыши на отдельном процессе.
Первое место, где стоит смотреть, особенно, если вы хотите выяснить, что это за процесс — диалоговое окно «Свойства», которое отображает значительно больше информации, чем его коллега File Explorer.
Детали для запущенного процесса включают информацию о версии и запускается ли он автоматически.
Из этого диалогового окна «Свойства» или из списка процессов, вы можете отправить хэш-код этого файла в службу VirusTotal. Где на любом из отслеживаемых VirusTotal 50 с лишним антивирусов выяснить, не является ли он возможной вредоносной программой.
Нижняя панель окна Process Explorer обычно скрыта. С помощью сочетания клавиш Ctrl+L, вы можете сделать её видимой (или, в меню «Вид» выберите «Показать нижнюю панель»). Эта панель показывает одно из двух представлений для текущего процесса: библиотеки DLL или дескрипторы. Вы можете переключаться между двумя представлениями с помощью сочетаний клавиш Ctrl+D и соответственно Ctrl+H На рисунке ниже нижняя панель в представлении библиотеки DLL.
Нижняя панель может отображать связанный с выбранным процессом список библиотек DLL или список дескрипторов.
Process Monitor
Последний из трёх суперзвезд Sysinternals это монитор процессов, также известный как Procmon. При запуске, он в режиме реального времени отслеживает все, связанные с файловой системой, реестром, сетью, процессами, потоками и библиотеками DLL, действия.
Procmon, в считанные секунды, трассирует миллионы различных операций. Которые, для устранения помех, затем можно отфильтровать и сосредоточиться на потенциальной причине проблемы. Вы можете сравнительно легко захватить следы повышенной активности системы и сохранить их в файлах журнала Procmon. А затем проанализировать захваченные данные на другой системе.
Чтобы получить представление о степени захваченной Procmon детализации, смотрите листинг на рисунке ниже, который представляет активность системы за период, измеряемый в небольших долях секунды.
Во время трассировки, Process Monitor записывает все события каждого процесса, что, как показано в строке состояния, может привести к миллионам дискретных событий.
Хотя Procmon собирает все, что он отслеживает, параметры по умолчанию включают фильтр, который скрывает необработанные детали из файловой системы и самого Procmon. Можно настроить фильтр на лету. Просто щёлкните правой кнопкой на конкретной записи в определённом столбце, а затем в контекстном меню, выберите один из вариантов.
К примеру, на рисунке показан щелчок правой кнопкой мыши на строке Runtimebroker.exe в столбце имя процесса. Теперь можно выбрать, включить этот процесс в текущий фильтр, эффективно отображающий записи из этого процесса или исключить его, так чтобы скрыть результаты сопоставления. А также можно выбрать для выделения совпадающие записи, не скрывая те, которые не совпадают.
Щёлкните правой кнопкой мыши на элементе любого столбца, чтобы увидеть, содержащее совпадающие записи, меню опций для фильтрации событий.
Посмотрите на строку состояния в нижней части окна Procmon, чтобы увидеть был ли к записанным данным применён фильтр и, если да, какое влияние он имел. Например на рисунке, отфильтрованный список показывает меньше, чем 1 из 1000 событий, что позволяет прокрутку данных или дальнейшее фильтрование в поисках паттернов или ключей.
Посмотрите в строке состояния, нижней части окна Process Monitor насколько эффективен ваш фильтр.
А также можно создать или изменить фильтр, используя диалоговое окно Process Monitor «Фильтр», которое предлагает удобное его использование. Для доступа к диалоговому окну «Фильтр», на панели меню монитора процессов, нажмите соответствующую кнопку. Вы можете задать условия, которые определяют какие события будут включены или исключены. Потом нажмите кнопку «Добавить» или выберите существующий фильтр и нажмите кнопку «Удалить». Чтобы немедленно увидеть эффект от нового фильтра, нажмите кнопку «Применить».
Нажатие кнопки «Фильтр» открывает диалоговое окно фильтра Process Monitor, где, с помощью раскрывающихся списков, вы можете добавить критерии. Перед выходом не забудьте нажать кнопку «Применить».
Related posts:
- Настройка браузера Internet Explorer 11
- Использование Internet Explorer на рабочем столе
- Internet Explorer 11 в Windows 8.1
- Internet Explorer 11 на рабочем столе Windows 8.1
Источник: datbaze.ru
Process monitor что это за программа
Многих интересует вопрос «Как узнать, что делает программа при установке, запуске, закрытии, работе? Как следить за программой?» Ответ: с помощью другой программы, которая называется Process Monitor.
Process Monitor – программа для Windows, которая в режиме реального времени показывает куда записываются или откуда удаляются файлы, какие файлы читаются той или иной программой, какие действия программа делает с реестром, как и когда отслеживаемая программа использует сеть (интернет), а также следит за процессами и потоками. Программа оснащена мощным фильтром для отслеживания нужных процессов или событий. Process Monitor является главным инструментом для устранения неисправностей системы и избавления от вредоносных программ (вирусов).
А теперь рассмотрим подробнее как работать с программой, и разберем ее ключевые функции. Для более подробного ознакомления с программой смотри колонку «видео» справа, так как для полного описание программы потребуется написать книгу ).
Так выглядит главное окно программы при запуске Process Monitor. Сразу после запуска начинается запись процессов Windows это обращение и создание файлов, обращение к реестру, сети и т.д.
Разумеется, сразу записывается очень большое количество информации, и найти в ней нужное не очень легко, но здесь на помощь к нам прейдут фильтры, но о них чуть позже сначала разберемся с интерфейсом программы.
На основной панели программы :
Размещены ее основные функции. Самая правая группа значков
Это значки предварительной (грубой) фильтрации. Слева направо: показывать обращения к реестру, к файловой системе, к сети (интернету), показывать процессы и потоки, профилирование для каждого процесса. Соответственно если выбрать одну иконку, например, обращение к реестру, то и будет показываться только обращение к реестру, если две, то две и т.д. Замечу что даже если вы какие то иконки не выбираете, то запись ее все равно продолжается и если вы ее включите, то будут показаны события до ее включения.
Следующие два пункта это поиск и переход:
Соответственно если нажать поиск то высветится окно где надо будет ввести фразу или параметры, а если нажать переход то откроется проводник, если вы смотрите допустим что за файл создается или редактор реестра, если смотреть какие параметры реестра меняются или читаются.
Следующая группа меню фильтры
Первый пункт это непосредственно сам фильтр при нажатии откроется окно где надо будет выбрать параметры фильтрации.
Второй пункт это выделение определенных строчек, т.е. тоже фильтр, но нужные данные он просто выделяет.
Третий пункт «прицел» он нужен для быстрого добавления процесса, если вы не знаете, как он называется. Например, открылось какое-то окно, но вы не знаете что это за окно, нажимаете на прицел и держите его, перетаскивая на появившееся окно, автоматически создастся фильтр, который будет следить за этим процессом.
Следующая группа меню отвечает за отображение событий в главном окне
Увеличительное стекло это остановка и запуск слежения. Список со стрелочкой это автоматическая прокрутка, когда появляется новая запись. А список с ластиком это очистка списка событий, которые отображаются на кране.
Последние два меню, думаю сильно объяснять не надо это сохранение или загрузка прослеженных процессов
Сохранить можно, например, если хотите разобрать данные на другом компьютере.
А теперь разберем работу программы на примере. Допустим, мы хотим узнать, что делает какое-то приложение у нас в компьютере. Пусть это приложение у нас будет блокнот. В процессах мы заранее знаем, что он называется как notepad.exe. Запускаем Process Monitor, нажимаем кнопку «Filter» (Ctrl+L) и видим следующее окно:
По умолчанию в нем уже включены несколько фильтров, которые исключают из списка разного рода системные процессы, процессы самой программы Process Monitor и другие, которые обычно не нужны для анализа.
Создадим свой фильтр, который будет показывать только процесс notepad.exe. Для этого нажимаем первую стрелочку вниз, где по умолчанию написано “Architecture” и из предложенного списка выбираем “Process Name” Рис.1. Далее из второго списка выбираем пункт “is”, который стоит по умолчанию Рис.2.
В следующем меню мы можем выбрать процесс из уже запущенных или добавить его самим, написав в поле “notepad.exe”т.к. блокнот нами еще не запущен Напишем его сами Рис.3. Последний пункт это то как позиционировать этот процесс “Include” оставить только его, а “Exclude” исключить его из общего потока. Выбираем “Include” Рис.4. Нажимаем ниже кнопочку “Add” добавить фильтр.
Источник: todisplay.ru
Process Monitor. Утилита из пакета Sysinternals
Появление на жестком диске непонятных файлов — вполне оправданный повод для беспокойства. Сами по себе файлы не появляются, их кто-то или что-то создает. Это могут быть временные объекты, создаваемые полезной программой, но так бывает не всегда.
Вирусы тоже «склонны» оставлять подобные следы, а поэтому не помешает лишний раз перестраховаться и определить источник, программу, которая их создает.
Сделать это проще всего при помощи специальной утилиты Process Monitor (мониторинг процессов), разработанной Марком Руссиновичем и входящей в состав диагностического пакета Sysinternals. Эта утилита предназначена для отслеживания активности файловой системы, системного реестра, сетевой активности, процессов и потоков в режиме реального времени.
Скачать англоязычную версию этой утилиту можно с официального сайта или набрав в поисковой строке Google соответствующий запрос, отыскать полностью русифицированную версию.
Process Monitor совершенно бесплатен, относительно прост в обращении и не требует установки. Благодаря Process Monitor можно отслеживать любые процессы, просматривать свойства событий, открывать напрямую директории с интересующим файлом, записывать отчетность в файл, а также выполнять множество других полезных операций.
Приведем простой пример. Допустим, нам необходимо выяснить, какое приложение записывает на диск arcdir.log. Запускаем Process Monitor и поскольку поиск будет производиться в файловой системе, отключаем функции, отвечающие за реестр, сетевую активность и процессы.
Сделать это можно нажав на соответствующие иконки, расположенные на панели управления в верхней правой части рабочего окна. Далее следует убедиться, что кнопка захвата не зачеркнута красно линией.
Сразу после запуска программа начнет активно собирать информацию об активности файловой системы, реестра и т.д. Этот список может включать сотни строк, разобраться с которыми не так-то просто.
Искать файл можно при помощи встроенного поиска, указав его имя, но если нужно отследить появления объекта в режиме реального времени, лучше всего воспользоваться фильтрацией, что намного упростит поставленную задачу.
В действительности фильтры имеют множество параметров. Сортировать данные можно по названию компании производителя, дате, имени процесса, категории, пути, результату и т.д.
Для этого достаточно нажать сочетание клавиш Ctrl+L и в открывшемся окошке задать соответствующие условия. В нашем случае это путь и имя файла. Если в следующий раз какое-нибудь приложение сгенерирует файл с таким именем, Process Monitor тут же отреагирует появлением в рабочем окне списка активностей.
При этом Process Monitor захватит и отобразит также и все процессы, так или иначе связанные с файлом arcdir.log.
Выделив нужный элемент списка, и открыв контекстное меню, можно просмотреть его свойства, перейти в папку с файлом, а если это будет ключ реестра, открыть его во встроенном редакторе.
Приведем другой пример работы с фильтрами Process Monitor. Представим, что нам необходимо получить данные по запущенному приложению, имеющему открытое окно.
Для этого нужно просто перетянуть на окно приложения кнопку в виде прицела и фильтр (PID) создастся автоматически, а в окне Process Monitor появится список активностей проверяемой программы.
Продолжение обзора утилит из пакета Sysinternals Suite буду продолжать, поэтому если интересно рекомендую подписаться на обновления
Источник: chuzhoy007.ru
Microsoft Sysinternals Process Monitor
Для того, чтобы получить полезный инструмент, который позволяет в реальном времени следить за работой ПК, контролировать процессы в оперативной памяти, проводить мониторинг файловой системы и реестра – необходимо скачать Process Monitor. Process Monitor для Windows разработана для 32-битных и 64-разрядных ОС.
Компактное приложение не требует инсталляции, вам нужно только загрузить Process Monitor и запустить скачанный документ. После запуска, программа откроет окно, которое позволит проверить какие процессы утилита отслеживает. Process Monitor предоставит возможность настроить фильтр для исключения лишних показателей мониторинга. Критерии в окне вывода информации – настраиваемые.
В детальных настройках окна собраны параметры, которые программа анализирует, в три группы. В каждой – подпункты, выбрать которые можно, поставив маркер на соответствующей строке. Для того, чтобы не перегружать информационное окно, полный вывод показателей не рекомендуется.
Лучше ограничиться основными, а детальную информацию получить двойным щелчком по соответствующему процессу. Утилита используется и для определения причин аварийного завершения работы программ или для исследования конкретного процесса. После мониторинга, Process Monitor сохраняет журнал событий.
Для того чтобы скачать бесплатно Процесс Монитор для компьютера – нажмите на кнопку «Скачать» в левой части экрана сайта freesoft.ru.
Источник: freesoft.ru