Homepage » scuola » Capire Process Explorer

    Capire Process Explorer

    Questa lezione della nostra serie Geek School comprende Process Explorer, forse l'applicazione più utile e utile nel toolkit SysInternals. Ma quanto bene conosci davvero questa utilità?

    NAVIGAZIONE SCOLASTICA
    1. Quali sono gli strumenti di SysInternals e come li usi?
    2. Capire Process Explorer
    3. Utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi
    4. Comprensione del monitor di processo
    5. Utilizzo di Process Monitor per la risoluzione dei problemi e la ricerca di blocchi di registro
    6. Utilizzare Autoruns per gestire i processi di avvio e il malware
    7. Utilizzo di BgInfo per visualizzare le informazioni di sistema sul desktop
    8. Usare PsTools per controllare altri PC dalla riga di comando
    9. Analisi e gestione di file, cartelle e unità
    10. Avvolgimento e utilizzo degli strumenti insieme

    Process Explorer, un task manager e un'applicazione di monitoraggio del sistema, è in circolazione dal 2001 e, sebbene funzionasse anche su Windows 9x, le versioni moderne supportano solo XP e versioni successive, e sono state continuamente aggiornate con funzionalità per le versioni moderne di Finestre. È lo standard de facto per gestire i processi di risoluzione dei problemi.

    Quindi cosa può fare Process Explorer?

    Alcune delle caratteristiche migliori includono quanto segue, anche se questo non è affatto un elenco esaustivo. Questa applicazione ha molte funzionalità e molte di queste sono nascoste in profondità nell'interfaccia. Sorprendentemente è anche un file molto piccolo.

    • La vista ad albero predefinita mostra la relazione gerarchica tra i processi, e visualizza usando i colori per comprendere facilmente i processi a colpo d'occhio.
    • Monitoraggio dell'utilizzo della CPU molto accurato per i processi.
    • Può essere utilizzato per sostituire Task Manager, che è particolarmente utile su XP, Vista e Windows 7.
    • Può aggiungere più icone del vassoio per monitorare CPU, disco, GPU, rete e altro.
    • Scopri quale processo ha caricato un file DLL.
    • Scopri quale processo sta eseguendo una finestra aperta.
    • Scopri quale processo ha un file o una cartella aperta e bloccata.
    • Visualizza i dati completi su qualsiasi processo, inclusi i thread, l'utilizzo della memoria, le maniglie, gli oggetti e praticamente tutto ciò che c'è da sapere.
    • Può uccidere un intero albero del processo, inclusi tutti i processi avviati da quello che si sceglie di uccidere.
    • Può sospendere un processo, bloccando tutti i suoi fili in modo che non facciano nulla.
    • Può vedere quale thread in un processo sta effettivamente aumentando la CPU.
    • L'ultima versione (v16) integra VirusTotal nell'interfaccia in modo da poter controllare un processo per virus senza uscire da Process Explorer.

    Ogni volta che si verifica un problema con un'applicazione o qualcosa si blocca nel computer o si sta cercando di capire a cosa serve un determinato file DLL, Process Explorer è lo strumento per il lavoro.

    Capire la vista ad albero

    Quando si avvia Process Explorer per la prima volta, vengono visualizzati immediatamente molti dati visivi: è disponibile una visualizzazione gerarchica ad albero dei processi in esecuzione sul computer, compreso l'utilizzo della CPU e della RAM utilizzando valori numerici per ciascun processo. Ci sono alcuni piccoli grafici di attività in esecuzione nella parte superiore della barra degli strumenti, che mostrano l'utilizzo della CPU, che può essere cliccato per essere visualizzato in una finestra separata.

    C'è sicuramente molto da fare, e sarebbe facile essere sopraffatti da tutto sullo schermo.

    Il display iniziale ti fornisce un insieme di colonne che includono:

    • Processi - il nome del file dell'eseguibile insieme all'icona se ne esiste uno.
    • processore - la percentuale di tempo della CPU nell'ultimo secondo (o qualunque sia la velocità di aggiornamento impostata)
    • Byte privati - la quantità di memoria allocata a questo programma da solo.
    • Set di lavoro - la quantità di RAM effettiva assegnata a questo programma da Windows.
    • PID  - l'identificativo del processo.
    • Descrizione - la descrizione, se l'applicazione ne ha uno.
    • Nome della ditta - questo è più utile di quanto pensi. Se qualcosa non va bene, inizia cercando i processi che non sono di Microsoft.

    Puoi personalizzare queste colonne e aggiungere molte altre opzioni oppure puoi semplicemente fare clic su una delle colonne per ordinare in base a quel campo. Se hai mai usato Task Manager in precedenza, probabilmente hai ordinato per memoria o CPU, e puoi farlo anche qui.

    Facendo clic su Processo si passa da un ordinamento all'altro per nome del processo o si torna alla vista ad albero predefinita, che è molto utile una volta che ci si abitua ad esso.

    La vista viene aggiornata una volta al secondo, ma puoi andare su Visualizza -> Velocità di aggiornamento e personalizzare la frequenza con cui aggiorna, la più bassa da 0,5 secondi e il livello superiore a 10 secondi. Se lo si utilizza per la risoluzione dei problemi, il valore predefinito è probabilmente corretto, ma se si desidera utilizzarlo come monitor CPU nella barra delle applicazioni, 5 o 10 secondi potrebbero utilizzare meno CPU mentre viene eseguito in background.

    Puoi anche mettere in pausa la vista sotto lo stesso sottomenu o semplicemente premendo la barra spaziatrice. Questo congelerà la vista come un'istantanea nel tempo, che può essere utile se stai cercando di identificare un processo che inizia e muore rapidamente, o se hai deciso di ordinare per l'utilizzo della CPU e tutte le file continuano a saltare.

    Nel caso di una procedura di chiusura rapida, tuttavia, si vorrebbe aggiungere colonne aggiuntive alla vista predefinita per qualsiasi cosa tu possa aver bisogno di sapere, perché facendo clic su un processo defunto nell'elenco non comparirà molto nella vista dettagli se il il processo non è in esecuzione, anche se hai messo in pausa tutto.

    Capire tutti quei colori

    Ci sono sicuramente un sacco di colori in un tipico elenco Process Explorer, che può essere un po 'di confusione per il geek principiante. È molto importante imparare cosa significano tutti questi colori, perché non sono lì solo per lo spettacolo - significano entrambi qualcosa di importante.

    Ogni volta che non riesci a ricordare cosa significhi uno dei colori, puoi andare su Opzioni -> Configura colori nel menu per aprire la finestra di dialogo Selezione colore. Questo è fondamentalmente un veloce trucchetto su cosa significa tutto. Continua a leggere, dato che lo spiegheremo anche qui.

    In base ai colori dell'immagine qui sopra, ecco cosa significano ciascuno degli elementi selezionati (gli altri non sono molto importanti).

    • Nuovi oggetti (verde brillante) - Quando un nuovo processo appare in Process Explorer, inizia come verde brillante.
    • Oggetti cancellati (rosso) - Quando un processo viene ucciso o chiuso, di solito lampeggia prima dell'eliminazione.
    • Processi propri (luce bluastra) - Processi in esecuzione come lo stesso account utente di Process Explorer.
    • Servizi (rosa chiaro) - Processi di Servizio Windows, anche se vale la pena notare che potrebbero avere processi figlio avviati come utenti diversi, e quelli potrebbero essere di colore diverso.
    • Processi sospesi (grigio scuro) - Quando un processo è sospeso, non può fare nulla. È possibile utilizzare facilmente Process Explorer per sospendere un'applicazione. A volte le app bloccate vengono visualizzate brevemente in grigio mentre Windows sta gestendo l'arresto anomalo.
    • Processo immersivo (blu brillante) - Questo è solo un modo elegante per dire che il processo è un'applicazione Windows 8 che utilizza le nuove API. Nello screenshot precedente potresti aver notato WSHost.exe, che è un processo di "Host di Windows Store" che esegue le app Metro. Per qualche ragione Explorer.exe e Task Manager verranno visualizzati anche come immersivi.
    • Immagini confezionate (viola) - questi processi potrebbero contenere codice compresso nascosto all'interno di essi, o almeno Process Explorer pensa che lo facciano usando l'euristica. Se vedi un processo viola, assicurati di cercare malware!

    Poiché c'è ovviamente una sovrapposizione tra questi diversi scenari, i colori saranno applicati in un ordine di precedenza. Se un processo è un servizio ed è sospeso, verrà visualizzato in grigio scuro perché quel colore è più importante.

    Da quanto appreso durante la ricerca, l'ordine è Sospeso> Confezionato> Immersivo> Servizi -> Propri processi.

    Verifica dell'identità dell'applicazione

    Un'opzione davvero utile che ci sorprende non è abilitata per impostazione predefinita si trova in Opzioni -> Verifica firme immagine.

    Questa opzione controllerà la firma digitale per ogni file eseguibile nell'elenco, che è uno strumento di risoluzione dei problemi inestimabile quando si guarda ad alcune applicazioni sospette in esecuzione nell'elenco.

    La stragrande maggioranza del software affidabile dovrebbe essere firmata digitalmente a questo punto. Se qualcosa non va, dovresti guardare con molta attenzione se dovresti usarlo.

    Agire in un processo

    Puoi agire rapidamente su qualsiasi processo facendo clic destro su di esso e scegliendo da una delle opzioni, o usando i tasti di scelta rapida, se preferisci. Queste opzioni includono:

    • Finestra - ha opzioni che includono Porta in primo piano, che può essere utile per aiutare a identificare la finestra associata a un processo. Se non ci sono finestre per quel processo, sarà disattivato.
    • Imposta priorità - puoi usare questo per configurare la priorità di un processo. Questo è utile soprattutto per domare un processo in fuga che non vuoi uccidere.
    • Termina il processo - proprio come si immagina, questo rapidamente uccide quel processo.
    • Uccidi l'albero dei processi - Questo uccide non solo l'elemento nell'elenco, ma anche i figli di quel processo padre.
    • Ricomincia - estremamente utile durante il test, questo semplicemente uccide il processo e poi lo riavvia. Vale la pena notare che i processi di uccisione potrebbero causare la perdita di dati.
    • Sospendere - questa comoda opzione è ideale per la risoluzione dei problemi quando un processo è fuori controllo. Puoi semplicemente sospendere il processo piuttosto che ucciderlo e verificare se qualcosa è fuori combattimento.
    • Controlla VirusTotal - questa è una nuova opzione che spiegheremo ulteriormente. È abbastanza utile in realtà, poiché controlla il processo alla ricerca di virus.
    • Cerca online - questo cercherà solo nel web il nome del processo.

    E ovviamente se apri le Proprietà che ti porteranno a informazioni ancora più utili sul processo, molte delle quali entreremo nella prossima lezione.

    Nota: abbiamo testato l'opzione Temp ma non avevamo idea di cosa faccia.

    Esecuzione come amministratore

    Sebbene non sia assolutamente necessario eseguire Process Explorer come Amministratore, senza utilizzare molte delle utili funzionalità non funzionerà e non sarà possibile visualizzare tutte le informazioni relative a ciascun processo.

    Se si utilizza Windows XP o 2003, è necessario essere in esecuzione come account con diritti di amministratore completi per utilizzare la maggior parte delle funzionalità. Questo probabilmente non è un problema per la maggior parte delle persone, perché XP ha comunque fornito i privilegi completi dell'account predefinito, ma se si sta tentando di utilizzarlo al lavoro senza l'accesso come amministratore, non funzionerà altrettanto bene.

    Poiché la maggior parte dei nostri lettori utilizza Windows 7, 8.x, o anche Vista, probabilmente avrai familiarità con l'esecuzione di un'applicazione come amministratore. È davvero facile ... basta fare clic con il pulsante destro del mouse e scegliere l'opzione dal menu.

    Fatto divertente: Process Explorer utilizza effettivamente il privilegio di debug dei programmi, che spiega in modo molto approfondito il motivo per cui è così potente.

    Forzare Process Explorer a Sempre aperto come amministratore

    Se vuoi assicurarti che Process Explorer si apra sempre come amministratore senza doverti fare clic con il tasto destro del mouse, puoi forzarlo creando uno speciale collegamento che richiede la modalità amministratore o aprendo le proprietà per procexp.exe, andare a Compatibilità e quindi scegliere l'opzione per "Esegui questo programma come amministratore".

    In entrambi i casi funzionerà bene, o potresti anche solo disabilitare UAC se preferisci, il che rende tutto gestito come amministratore tutto il tempo. Non lo stiamo raccomandando, ma puoi farlo.

    Utilizzando Process Explorer per sostituire Task Manager

    Process Explorer è stato a lungo utilizzato come potente sostituto dell'applicazione Task Manager precedentemente anemica in tutte le versioni di Windows precedenti a Windows 8 e, supponendo che tu voglia un po 'di energia reale nelle tue mani, funziona davvero bene anche come sostituto in quella versione.

    Nota: Il Task Manager di Windows 8 è notevolmente migliorato rispetto alle versioni precedenti. Non è ancora potente come Process Explorer, ma probabilmente è più semplice da usare per le persone normali. Quindi non cambiare il computer di mamma come predefinito in Process Explorer.

    Per fare in modo che Process Explorer sostituisca Task Manager, tutto ciò che devi fare è scegliere l'opzione Opzioni -> Sostituisci Task Manager dal menu. Questo è tutto.

    Una volta fatto ciò, utilizzando CTRL + MAIUSC + ESC o facendo clic con il pulsante destro del mouse sulla barra delle applicazioni verrà avviato sia Process Explorer che Task Manager. Facile, giusto?

    avvertimento: se sostituisci Task Manager, assicurati assolutamente di aver installato Process Explorer in un posto in cui non dovrai spostarlo o eliminarlo accidentalmente. Altrimenti rimarrai bloccato con un sistema che non può avviare Task Manager.

    Utilizzo di Process Explorer come Awesome Tray Icon Monitor

    Una delle migliori caratteristiche di Process Explorer è la possibilità di ridurlo a icona nella barra delle applicazioni, ma anziché una singola icona, può essere ridotto a icona in un set completo di icone in grado di monitorare CPU, I / O, disco, rete, GPU e RAM o qualsiasi combinazione di essi. Puoi configurarli per visualizzarli separatamente, o per niente, se preferisci.

    Per configurarlo, apri il menu Opzioni, vai alla sezione Icone vassoio, quindi fai clic per abilitare ciascuna delle icone del vassoio che vorresti vedere.

    È possibile avviare Process Explorer ogni volta che si avvia il computer e quindi ridurlo a icona nell'area di notifica in modo che sia sempre disponibile per l'utente. E, naturalmente, se hai usato l'opzione per sostituire Task Manager, puoi accedervi rapidamente in qualsiasi momento con un tasto di scelta rapida, anche se potresti voler usare l'opzione "Consenti solo una istanza" per assicurarti di non aprire un mazzo di finestre separate.

    Utilizzo di Process Explorer per la ricerca rapida di VirusTotal

    Se stai lavorando su un problema con il PC e vuoi capire se un processo è un virus, puoi risparmiare tempo usando Process Explorer versione 16 o successiva, perché hanno aggiunto l'integrazione di VirusTotal direttamente nell'applicazione. Basta fare clic destro su qualsiasi cosa nella lista per vedere l'opzione.

    La prima volta che lo esegui, ti verrà chiesto di accettare i termini di utilizzo di VirusTotal, ma dopo averlo fatto, vedrai i risultati di VirusTotal comparire proprio lì nella lista.

    Puoi cliccare sul risultato per andare a VirusTotal e vedere i dettagli. È una grande novità in aggiunta a una delle migliori utility di sempre.

    Prossima lezione: utilizzo di Process Explorer per la risoluzione dei problemi e la diagnosi

    Nella prossima lezione della nostra serie andremo molto più in profondità su come utilizzare Process Explorer in alcuni scenari reali per risolvere problemi comuni come malware e crapware. Assicurati di rimanere sintonizzato per il resto della serie.