Process Explorer je utilita ze sady Sysinternals, kterou bychom mohli definovat jako druh Správce úloh, ale vybavená pokročilými funkcemi pro zobrazení identifikátorů, DLL, výkonu a dokonce i integrované analýzy pomocí VirusTotal. Jeho cílem je umožnit uživateli pochopit, co každý proces v počítači dělá, a to s pohledem, který standardní správce nedokáže.
Kromě toho, že je Process Explorer bezplatný, lehký a přenosný, byl nedávno aktualizován a veřejně vydán v květnu 2024, což dokazuje, že je stále aktivní a Microsoft se o něj stará.
Co je Process Explorer a čím se vyznačuje?
Process Explorer je součástí kolekce Sysinternals a je navržen pro monitorování, analýzu a správu procesů a služeb ve Windows s hloubkovým diagnostickým přístupem. Jeho rozhraní je rozděleno do dvou oblastí: v horní oblasti se vždy zobrazuje seznam aktivních procesů s klíčovými informacemi, jako je jejich název a vlastník účtu, zatímco v dolní oblasti můžete přepínat mezi režimy, které poskytují podrobný přehled o vybraném procesu.
Tento dvojí pohled vám umožňuje vidět celkový obraz a zároveň se ponořit do detailů programu, abyste zjistili, co přesně dělá s vašimi systémovými prostředky a s čím... jaké komponenty spolu interagují.
V režimu popisovačů zobrazuje spodní panel všechny popisovače, které má proces otevřené: soubory, klíče registru, synchronizační objekty a další zdroje jádra. Tato perspektiva se stává nezbytnou, když nemůžete soubor smazat, protože jej používá jiný program (obnovit zamrzlý počítač) nebo když hledáte úniky identifikátorů, které snižují výkon.
Jednou z jeho klíčových funkcí je vyhledávací funkce. Můžete okamžitě najít, který proces je otevřen pro konkrétní název souboru, fragment cesty, klíč registru nebo DLL.
Stažení, kompatibilita a instalace
Balíček Process Explorer je na svou nabídku maličký, má přibližně 3,3 MB a běží jako přenosný. Není třeba nic instalovat: stačí soubor rozbalit a spustit procexp.exe na příslušné 32bitové nebo 64bitové architektuře. Pokud si raději nepřejete stahovat, můžete jej také spustit přímo ze Sysinternals Live, což vám umožní používat nástroj za chodu, když jste v kontrolovaném prostředí nebo se nechcete připojovat.
chcete se kotouče dotknout. To vše snižuje tření a usnadňuje jeho začlenění do sady nářadí, aniž by na systému zanechalo trvalou stopu. okamžité spuštění.
Co se týče požadavků, funguje na moderních verzích operačního systému Microsoft: klienti se systémem Windows 10 a novějším a servery se systémem Windows Server 2016 a novějším. To znamená, že více než jen pokrývá současná domácí i firemní prostředí. Balíček obsahuje soubor nápovědy, který podrobně vysvětluje, jak jej používat. Máte-li jakékoli konkrétní dotazy, můžete navštívit sekci Otázky a odpovědi společnosti Microsoft věnovanou Process Exploreru, kde najdete další řešení. reálné případy s přesnými doporučeními.
Rozhraní: horní panel, spodní panel a režimy
Rozvržení rozhraní je přímočaré a velmi praktické. V horní části Průzkumník procesů zobrazuje aktivní procesy s hierarchickým stromem, který zobrazuje vztahy mezi nadřazenými procesy a názvy účtů, které je spouští. To vám pomůže rozlišit mezi systémovými službami, uživatelskými procesy a aplikacemi třetích stran. Barevné schéma na první pohled usnadňuje identifikaci typů procesů a pokud chcete, můžete tuto paletu upravit v nabídce Možnosti > Konfigurovat barvy tak, aby odpovídala vašemu vizuálnímu stylu nebo preferencím. konvence interní analýzy.
Spodní panel přepíná mezi dvěma režimy. V části Popisovače uvidíte popisovače otevřené vybraným procesem: cesty k souborům, klíče registru a systémové objekty. Toto je ideální zobrazení pro vyhledávání zámků a blokovaných zdrojů. V části Knihovny se seznam změní na DLL a soubory mapované do paměti, kde můžete vidět cesty, verze a dodavatele jednotlivých modulů. To je ideální pro vyhledávání problémů s verzemi nebo detekci podezřelých načtení knihoven, které by neměly být přítomny a které prozrazují chování. potenciálně nebezpečné.
Panel nástrojů obsahuje velmi užitečné zkratky. Najdete zde tlačítko pro uložení informací o vybraném procesu, tlačítko pro obnovení seznamu, přepínač pro zobrazení nebo skrytí spodního panelu, konzoli Systémové informace s globální grafikou pro CPU, paměť, I/O a GPU, přístup k vlastnostem procesu s podrobnými záložkami, tlačítko pro kontrolované ukončení úlohy a vyhledávací lupu. Ty zahrnují vše od rychlého skenování až po ovládání operací, jako je ukončení, pozastavení nebo stanovení priority procesů, pomocí několika kliknutí. plná viditelnost dopadu.
Odstraňování problémů a diagnostika
Snadné sledování toho, kdo používá který zdroj, je to, v čem Process Explorer vyniká. Funkce vyhledávání umožňuje zadat část cesty, název DLL nebo identifikátor a rychle najít související proces. To je mimořádně užitečné v každodenních situacích, jako je mazání adresářů, které hlásí chybu, protože jsou používány, nebo zjištění, která aplikace je zablokovaná a blokuje kameru, mikrofon, GPU nebo systémový soubor. Úspora času je značná, protože se od hádání dostanete k přesné identifikaci zodpovědného procesu a můžete podniknout kroky. rychle a s jistotou.
Další typickou situací je hledání úniků handleů nebo paměti. V procesech, které běží mnoho hodin nebo dnů, uvidíte počítadla handleů, a pokud vidíte neustálý nárůst, můžete prozkoumat, jaký typ handleů je ztracen a za jakých okolností. Podobně zobrazení knihovny pomáhá, když aplikace padá kvůli konfliktům DLL, což je velmi běžné při smíchání verzí komponent. Zobrazení kompletního seznamu načtených modulů s jejich cestou a dodavatelem usnadňuje izolaci problematického modulu a rozhodnutí, zda aktualizovat, vrátit zpět nebo izolovat závislost, čímž se vyhnete slepému testování a umožní vám aplikovat... opravy s kritérii.
Integrace s VirusTotal: zabezpečení za chodu
Process Explorer již léta integruje přímou kontrolu s VirusTotal aby vám pomohla odhalit škodlivý nebo podezřelý software mezi spuštěnými procesy. Aktivace funkce je jednoduchá: přejděte do nabídky Možnosti, sekce VirusTotal a zaškrtněte políčko. Do seznamu procesů se automaticky přidá nový sloupec s výsledkem vráceným službou. Jedná se o velmi cennou kontrolu, když se něco chová podivně a chcete druhý pár nezávislých a znalých očí. masivní základna podpisů.
Důležité pro ochranu soukromí a výkon: Process Explorer nemusí odesílat celý spustitelný soubor k ověření. Obvykle odešle hash souboru do VirusTotal, který jej porovná se svou databází známých vzorků. Pokud již existuje, výsledek získáte okamžitě. V určitých situacích může být nutné soubor nahrát, ale standardním přístupem je porovnávání otisků prstů. Mezi výhody patří rychlá detekce aktivních hrozeb a možnost provést hloubkovější skenování z VirusTotal, pokud chcete rozšířit informace o konkrétním nálezu a jeho výsledku. chování na jiných počítačích (detekovat a odstranit malware).
Na druhou stranu je třeba zvážit dvě omezení:
- Na jedné straně, Spoléháte na kvalitu databáze VirusTotal. Pokud je hrozba velmi nová, je možné, že ji dosud neidentifikoval žádný nebo jen velmi málo vyhledávačů.
- Pro další, Povolení této kontroly zvyšuje spotřebu zdrojů a síťový provoz. při správě hashů a odpovědí. Proto je nejlepší jej záměrně používat na počítačích se špatným připojením nebo když hledáte maximální výkon.
I s těmito výhradami se jedná o další vrstvu, která hodně přidává, pokud jde o kontrolu pochybných procesů bez instalace dalších bezpečnostních sad a s... minimalistická integrace.
Praktické operace, které dělají rozdíl
Průzkumník procesů nejen sleduje, ale také umožňuje provádět akce. Můžete ukončit nebo restartovat problematické procesy, když se zaseknou (ukončit procesy a služby), generovat výpisy paměti pro forenzní vyšetřování chyb nebo okamžitě otevřít složku se spustitelným souborem a zkontrolovat její zdroj. Zobrazuje také vlastnosti zabezpečení, digitální podpisy a podrobnosti o obrázku. Pokud potřebujete jít ještě o krok dál, rozhraní nabízí úpravy priority a afinity CPU.
Pro ty, kteří dávají přednost rychlým akcím, je panel ikon velmi praktický. Nezapomeňte na tyto běžné zkratky:
- Uložte data z vybraného procesu pro dokumentaci nebo audit.
- V případě potřeby seznam obnovte ručně.
- Otevřete nebo zavřete spodní panel.
- Přístup k panelu Systémové informace, který funguje jako řídicí panel výkonu.
- Zkontrolujte všechny vlastnosti procesu a dokončete úkol.
Díky lupě řeší vyhledávání podle popisovačů a DLL většinu vašich každodenních pochybností a ušetří vám nutnost ručního procházení stromu procesů, když spěcháte a potřebujete odpověď. během několika sekund.
Barvy, spodní panel a jemné nastavení
Vizuální přizpůsobení hodně pomáhá při dlouhých analýzách. V nabídce Možnosti > Konfigurovat barvy můžete definovat barevné kódy pro rozlišení procesů v různých stavech, služeb, 32bitových nebo 64bitových procesů a dalších. Toto kódování spolu se stromem procesů vám pomáhá sledovat řádky provádění. Zapínání a vypínání spodního panelu se provádí pomocí příslušného tlačítka nebo nabídky Zobrazit > Spodní panel, takže můžete upravit pracovní prostor tak, aby se nahoře zobrazovalo více řádků, nebo se zaměřit na podrobnosti o úchytech nebo knihovnách, když se fokus vaší úlohy stane aktivním. technický výzkum.
Vlastnosti procesu přidávají další nepostradatelnou vrstvu: úplné cesty, spouštěcí argumenty, prostředí, sockety, vlákna, paměť, oprávnění, digitální podpis a další. Díky tomu všemu budete schopni zachytit spolehlivé důkazy, když budete potřebovat odůvodnit zásah nebo zdokumentovat incident. A pokud kontrolujete podivné chování, otevření umístění spustitelného souboru vám umožní zkontrolovat, zda je daný binární soubor tam, kde má být, nebo zda se objevuje v podezřelých cestách v uživatelském profilu, což jsou body, které často prozrazují programy. nežádoucí nebo přetrvávající (průvodce detekcí a odstraněním malwaru).
Jak nahradit Správce úloh
Pokud se vám líbí Process Explorer, můžete si ho nastavit jako výchozího správce úloh. V nabídce Možnosti najdete možnost Nahradit Správce úloh, která nahrazuje tradičního Správce úloh. Od té chvíle se Process Explorer otevře po použití klávesové zkratky Ctrl+Shift+Esc nebo při spuštění Správce ze systémové nabídky. Tato konfigurace má smysl, pokud často provádíte diagnostiku a preferujete úroveň detailů, kterou tento nástroj nabízí, protože budete mít okamžitý přístup k jeho výkonu bez jakýchkoli mezikroků a s... stejné pohodlí klasické zkratky.
Pro každodenní použití nabízí zobrazení Systémové informace, které je součástí Průzkumníka úloh, grafy a čítače výkonu srovnatelné s těmi ve Správci úloh. Má však techničtější a podrobnější zaměření. Kombinace tohoto globálního zobrazení se zobrazením na úrovni procesů vám poskytne vynikající přehled o stavu počítače. Umožňuje vám přejít od obecné telemetrie k hlavní příčině během několika kliknutí, což je ideální, pokud podporujete ostatní nebo pokud nechcete ztrácet čas přeskakováním mezi nástroji a nabídkami, když se něco pokazí. najednou se zblázní.
Symboly a ladění: DBGHELP a SYMSRV
Pokud chcete jít hlouběji, zejména v scénářích ladění nebo forenzní analýzy, je vhodné nakonfigurovat symboly. Process Explorer umožňuje zadat cestu k DBGHELP a serveru symbolů. Pokud používáte server symbolů Microsoft, ujistěte se, že je SYMSRV k dispozici spolu s DBGHELP ve verzi kompatibilní s cestami k serverům, které používáte. Tato konfigurace výrazně zvyšuje užitečnost a přesnost zásobníků volání a podrobností souvisejících s moduly. To usnadňuje přiřazení chování konkrétním funkcím a knihovnám, a tím i informované technické rozhodování. větší důvěra a technická podpora.
Správné použití symbolů je klíčové při generování výpisů paměti pro analýzu, ať už v důsledku sporadického selhání nebo opakujících se problémů. Tato vrstva informací snižuje falešně pozitivní výsledky, zabraňuje záměně s generickými moduly a poskytuje vodítka, která by jinak unikla. Pokud nejste zvyklí pracovat se symboly, dokumentace k SymSrv a průvodci Sysinternals vysvětlují, jak jej krok za krokem nakonfigurovat.
Process Explorer je nástroj, který vznikl z potřeby podívat se trochu hlouběji, a zůstane tu, protože řeší problémy, které dříve stály hodiny práce. Je lehký, přenosný a spolehlivý. Tři vlastnosti, díky nimž je pro mnoho profesionálů nezbytností, aby věděli, co se děje v jejich týmu, a mohli se rozhodovat na základě spolehlivých informací. okamžité akce kliknutím na tlačítko.
