Били ли сте някога отишли в диспечера на задачите в Windows и кликнете върху раздела Процес само за да видите, че svchost.exe заема 100% от вашия процесор? Е, за съжаление това не ви помага да разберете коя програма в Windows всъщност използва цялата тази процесорна мощ.
В Windows има много процеси, като SVCHOST, които всъщност могат да изпълняват няколко различни услуги на Windows, като Windows Update, DCOM, Remote Procedure Call, Remote Registry, DNS и много други. Или може би просто трябва да разберете кои DLL файлове са заредени и кои дръжки са отворени за определен процес. Може също да искате тази информация, така че да можете да забраните стартиращите програми на Windows.
Определено, ако работите в ИТ, ще е необходимо време, когато трябва да получите повече информация за процеса на Windows. Има два наистина полезни инструмента за подробно проучване на процесите в Windows и ще дам кратък преглед на двете.
Process Explorer
Process Explorer е чудесно безплатно приложение, което ви позволява да разберете точната услуга или програма на Windows, която притежава определен процес. Например, ако искате да знаете услугата, която се изпълнява за всеки от различните процеси на svchost, трябва само да поставите мишката върху името на процеса.
Можете също да използвате Process Explorer, за да разберете коя програма има отворен конкретен файл или директория и след това да убиете този процес. Това е чудесно, ако се опитвате да изтриете или преместите файлове, но те са заключени или отворени чрез активен процес на Windows.
Можете също така да разберете кои DLL файлове е заредена и кои файлове обработват процеса, който в момента е отворен. Това е много полезно за измисляне на проблеми с DLL-версията или пропускане на дръжки.
Монитор на процеса
Така че, Process Explorer е чудесно за изучаване на криптирани процеси като svchost и т.н., но можете да използвате Process Monitor, за да получите в реално време файл, регистър и процес / нишка дейност. Наистина харесвам Process Monitor, защото е комбинация от RegMon и FileMon, две големи програми за наблюдение от Sysinternals.
Това е чудесен инструмент за отстраняване на неизправности в системата ви, както и за изкореняване на досадния зловреден софтуер. Тъй като Process Monitor ви позволява да видите точно кои файлове и ключове в регистъра се осъществява в реално време, това е чудесно за всички файлове и записи в системния регистър, добавени при инсталирането на нова програма.
Той също така улавя по-подробна информация за процес като път на изображение, потребител, идентификатор на сесия и команден ред.
Когато за първи път отворите Process Monitor, това може да бъде доста смущаващо, защото ще зареди хиляди записи и най-вече неща, които системните процеси правят. Можете обаче да използвате разширените филтри, за да намерите точно това, което търсите.
В диалоговия прозорец Филтър можете да филтрирате по Име на процес, Клас на събитията, PID, Сесия, Потребител, Версия, Време на деня и много повече. След зареждането на Process Monitor, намерих 800 000 събития на моята машина! Въпреки това, мога да го намаля на по-малко от 500, като добавя филтри, за да усъвършенствам в един процес.
Той също така има много други разширени функции като наблюдение на изображението (DLL и драйвери на устройствата в ядрото), безразрушително филтриране, улавяне на нишките, усъвършенстваното регистриране, регистрирането на времето за зареждане и много повече.
Така че, ако някога сте искали да знаете повече или да получите повече информация за тези Windows процеси в Task Manager, проверете Process Monitor и Process Explorer! Наслади се!
