Ви коли-небудь ходили в диспетчер завдань у Windows і натискали на вкладку Процес, щоб побачити, що svchost.exe займає 100% вашого процесора? Ну, на жаль, це не допоможе вам з'ясувати, яка програма в Windows фактично використовує всю обчислювальну потужність.
У Windows існує багато процесів, таких як SVCHOST, які фактично можуть запускати декілька різних служб Windows, таких як Windows Update, DCOM, віддалений виклик процедур, віддалений реєстр, DNS і багато іншого. Або, можливо, вам просто потрібно з'ясувати, які DLL-файли завантажуються і які ручки відкриті для конкретного процесу. Ці відомості також можуть знадобитися, щоб вимкнути програми запуску Windows.
Безумовно, якщо ви працюєте в ІТ, вам знадобиться час, коли вам потрібно отримати більше інформації про процес Windows. Існують два дійсно корисні інструменти для детального вивчення процесів Windows, і я наведу короткий огляд обох.
Process Explorer
Process Explorer - чудова безкоштовна програма, що дозволяє дізнатися точну службу Windows або програму, яка володіє певним процесом. Наприклад, якщо ви хочете знати службу, яка працює для кожного з різних процесів svchost, просто наведіть курсор миші на назву процесу.
Ви також можете використовувати Process Explorer, щоб з'ясувати, яка програма відкрила певний файл або каталог, а потім убити цей процес. Це чудово, якщо ви намагаєтеся видалити або перемістити файли, але вони заблоковані або відкриті за допомогою активного процесу Windows.
Ви також можете дізнатися, які DLL-файли було завантажено, і які файли обробляють процес, який зараз відкрито. Це дуже корисно для виявлення проблем з DLL-версією або витоків ручки відстеження.
Процес монітора
Отже, Process Explorer відмінно підходить для вивчення загадкових процесів, таких як svchost і т.д., але ви можете використовувати Process Monitor для отримання файлів, реєстру і процесу / потоку в реальному часі. Мені дуже подобається Process Monitor, тому що це комбінація RegMon і FileMon, дві великі програми моніторингу від Sysinternals.
Це чудовий інструмент для усунення несправностей вашої системи, а також для усунення шкідливого програмного забезпечення. Оскільки Process Monitor дозволяє точно бачити, які файли та ключі реєстру доступні в режимі реального часу, це чудово для перегляду всіх файлів і записів реєстру, доданих під час встановлення нової програми.
Він також захоплює більш детальну інформацію про такий процес, як шлях зображення, ідентифікатор користувача, ідентифікатор сеансу та командний рядок.
Коли ви вперше відкриваєте Process Monitor, він може бути досить залякуючим, оскільки він завантажуватиме тисячі записів і в основному речі, які роблять системні процеси. Тим не менш, ви можете використовувати розширені фільтри, щоб знайти саме те, що ви шукаєте.
У діалоговому вікні " Фільтр" можна фільтрувати за назвою процесу, класом подій, PID, сеансом, користувачем, версією, часом дня та багато іншого. Після завантаження Process Monitor, вона виявила 800 000 подій на моїй машині! Тим не менш, я можу довести його до менш ніж 500, додавши фільтри, щоб відточити в одному процесі.
Вона також має багато інших додаткових функцій, таких як моніторинг зображень (DLL і драйверів пристроїв режиму ядра), неруйнівна фільтрація, захоплення стеків потоків, розширене ведення журналу, журнал завантаження і багато іншого.
Так що якщо ви коли-небудь хотіли дізнатися більше або отримати більше інформації про ті процеси Windows в диспетчері завдань, перевірте Process Monitor і Process Explorer! Насолоджуйтесь!
