Как отследить работу программы. Process Explorer — бесплатная утилита для контроля за системными процессами

Для Symbian 05.11.2018
Для Symbian

Непонятные файлы на диске мы обнаруживаем двумя путями. Либо они явно видны в проводнике или файловом менеджере, либо к ним приводят поиски причины исчезновения свободного места на диске. Хорошо, если после удаления файлов, они больше не появляются. Но так бывает не всегда, и в этом случае приходится определять приложение, которое их создает.

Однажды на форум обратился человек, у которого какое-то приложение записывало в корень системного диска файлы, в имени которых содержится tmp _out .


Конечно, не исключено, что эта система заражена, и требуется тщательная проверка всевозможными антивирусными средствами. Но далеко не всегда проблема связана с вредоносным кодом, и тогда понадобится другой подход. Проще всего вычислить виновника появления таких файлов с помощью утилиты . И через четыре минуты вы узнаете, как это сделать.

Отслеживание активности

При запуске утилита отслеживает несколько типов системной активности:

  • реестр
  • файловую систему
  • процессы и потоки

Поскольку мы ищем причину записи файлов на диск, нужно сосредоточиться на активности в файловой системе. Для этого на панели инструментов оставьте включенной только одну кнопку, отвечающую за активность на диске.


Кроме того, убедитесь, что утилита отслеживает активность. Если у вас перечеркнута кнопка, которая на рисунке обведена красным, нажмите CTRL+E .

На рисунке выше активность отслеживается, причем только в файловой системе.

Основной фильтр

Теперь нужно применить фильтр, чтобы исключить не относящуюся к делу активность. Нажмите сочетание клавиш CTRL+L , и вы увидите возможности фильтрации. В Process Monitor сразу активны некоторые фильтры, исключающие отслеживание деятельности самой программы, а также некоторых системных компонентов (файла подкачки, таблицы MFT и т.д.). Это сделано для того, чтобы исключить мониторинг стандартной активности системы. В большинстве случаев удалять эти фильтры не нужно, и достаточно просто добавить свой.


На рисунке выше показан фильтр, который будет отслеживать создание и изменение всех файлов, в путях к которым содержится tmp _out . Давайте разберем фильтр подробнее слева направо:

  • Path . Путь в файловой системе. Также можно указывать разделы реестра, когда отслеживается активность в нем.
  • contains . Условие, по которому определяется поиск ключевого слова. В переводе с английского это слово означает «содержит». В зависимости от задачи можно конкретизировать условие, выбрав вариант begins with (начинается с) или ends with (заканчивается на).
  • tmp _out . Ключевое слово, которое в данном случае должно содержаться в пути. Имя файла и его расширение являются частью полного пути к файлу.
  • Include . Включение заданного условия в список отслеживаемых.

Не забудьте нажать кнопку Add , чтобы добавить фильтр в список. Впрочем, если вы забудете, Process Monitor напомнит об этом, прежде чем закрыть окно фильтров.

В данном случае я использовал часть имени файла в качестве ключевого слова, поскольку все непонятные файлы содержат в имени tmp_out. Если файлы создаются с разными именами, но зато в определенной папке, используйте путь к этой папке в качестве ключевого слова.

Поскольку задано жесткое условие фильтрации файловой активности, в окне программы, скорее всего, теперь не будет отображаться никаких процессов. Но Process Monitor уже начал их отслеживать.

Проверить работу фильтра очень просто. Достаточно создать в текстовом редакторе файл с искомым именем или в наблюдаемой папке, и Process Monitor моментально отреагирует на это.

Дополнительные фильтры

Обратите внимание, что утилита зафиксировала не только активность блокнота, но также проводника и поиска Windows. Не относящиеся к делу процессы можно исключить из результатов, создав дополнительные фильтры. Достаточно щелкнуть по процессу правой кнопкой мыши и выбрать из контекстного меню пункт Exclude <имя процесса> . Это самый простой способ создания фильтра, но можно сделать это из окна фильтрации, как показано выше. В этом случае условие будет: Process Name – Is — <имя процесса> — Exclude .

Запись и открытие лога

Учтите, что при длительном отслеживании размер лога может измеряться гигабайтами. По умолчанию Process Monitor записывает лог в файл подкачки. Если у вас маленький системный раздел, имеет смысл сохранять лог в файл на другом разделе диска.

Для сохранения лога в файл нажмите сочетание клавиш CTRL+B и укажите имя и желаемое расположение файла.


Изменения вступают в силу после перезапуска захвата активности. Теперь можно смело оставить Process Monitor включенным на длительное время, не опасаясь за лимит дискового пространства.

Остановить отслеживание активности можно сочетанием клавиш CTRL+E .

Впоследствии вы всегда сможете загрузить в утилиту лог из сохраненного файла. Закройте Process Monitor и дважды щелкните файл лога с расширением PML. Содержимое лога отобразится в окне Process Explorer.

Человек, обратившийся на форум с проблемой, так и не вернулся сообщить, помог ли ему мой совет. Но он был с таким вопросом не первый и, наверняка, не последний. Если вопрос возникнет у вас, вы сможете ответить на него с помощью Process Monitor.

О видео

Читатели блога выразили поддержку моей идее дополнять статьи видеоматериалами. Я подумал, что этот случай очень хорошо подходит, и записал ролик длиной менее 4 минут.

Если честно, создание такого видео занимает намного больше времени, чем написание статьи. Поэтому я в любом случае не готов заменять печатный текст видеоматериалами. Но мне кажется, что в данном случае видео интереснее и понятнее. А что вы думаете по этому поводу?

Видео длится около четырех минут, и я старался сделать его быстрым и емким. Ведь в реальности подготовка к поимке приложения занимает буквально одну минуту. Вас устраивает скорость изложения?

Более подробный рассказ о Process Monitor и другие примеры его практического использования вы можете посмотреть в видео моего коллеги Василия Гусева , если у вас есть свободные 40 минут:)

Любая программа при выполнении использует различные ресурсы компьютера и операционной системы. Изменения на компьютере происходят постоянно, миллионы событий происходят прямо сейчас одновременно в различных его периферийных составляющих. Приложения обращаются к файлам на жестком диске, адресам оперативной памяти, системным переменным, пишут и читают ветки реестра, работают в рамках процессов и потоков, подключаются к внешним библиотекам DLL и драйверам устройств, извлекают из конфигурационных файлов значения и сохраняют в них программные переменные. Если нужно отследить в режиме реального времени все действия, которые совершает та или иная программа, или отдельный процесс, или все программы, процессы и потоки сразу, воспользуйтесь замечательным инструментом для отслеживания всех происходящих в системе событий бесплатной программой Process Monitor.

Как отследить все события на компьютере

Process Monitor подробно расскажет пользователю, что в режиме реального времени происходит когда запускается и работает та или иная программа, какие файлы она открывает и что пишет в реестр. Вся сетевая активность отражается Process Monitor в разрезе приложения, использующего сетевую карту с драйвером, профиля процесса, номера порта, длины пакета и состояния стека в момент времени. Все действия сохраняются в журнале, пополняющимся записями, разделенными на миллионные доли секунды. Система фильтрации, реализованная в Process Monitor, позволяет более гибко и конкретно отследить то или иное событие. Утилита поддерживает запуск и работу из командной строки. Process Monitor это всевидящее око, пишущее историю каждого импульса в мире электронов и переключателей, фиксирующего любое действие и событие на компьютере.

Скриншоты программы Process Monitor




Cообщить об ошибке


  • Битая ссылка на скачивание Файл не соответствует описанию Прочее
    • Отправить сообщение

    – это мощная бесплатная утилита, которая предназначена для контроля в режиме реального времени всех подгруженных в операционной системе различных процессов. Изначально она была создана компанией Sysinternals, однако позже была приобретена Microsoft Corporation. Программа показывает самую подробную техническую информацию обо всех работающих процессах, в том числе использование всей системной памяти, подгруженных библиотеках и многую остальную техническую информацию.


    Активная область программы состоит из двух отдельных окон. В первом из них отображается список всех загруженных на текущий момент в системе процессах, в том числе имена пользователей и учетных записей, от которых запущены эти процессы. В зависимости от конкретного выбранного режима, нижнее окно может отображать разную дополнительную информацию. Так, в первом случае (в режиме обработки) можно увидеть все открытые дескрипторы, которые относятся к процессу, который был выбран в самом верхнем окне. В режиме работы библиотек DLL в этом окне отображаются все занятые процессом динамические библиотеки, а также отображенные в памяти файлы.






    Кроме этого, Process Explorer имеет мощные возможности интеллектуального поиска, благодаря которому с легкостью можно достоверно узнать, у какого процесса какой открыт дескриптор или какая из библиотек DLL загружена.

    Приложение очень полезно для решения различных проблем, связанных с версиями DLL библиотек, а также обнаружения утечек в памяти.

    Примечательно, что выводимая приложением информация намного подробнее той, которую предоставляет стандартный Диспетчер задач от Windows. Среди наиболее примечательных свойств этой утилиты – возможность уточнить, какому именно процессу принадлежит то или иное окно на рабочем столе.

    Процесс Эксплорер — работает на операционных системах Микрософт Виндовс ХР и выше, в том числе и 64-битные версии. Самая свежая редакция программы поддерживает 64-битный режим систем Vista, Windows 7 — Windows 10. Для этих версий операционных систем выпускается самораспаковывающийся архив программы, с запускающимся затем процессом procexp64.exe.

    Возможности программы:

    • Древовидное отображение процессов.
    • Возможность распознавания системных процессов (является тот или иной процесс системным или сторонним).
    • Отображение иконки, а также названия компании-изготовителя для каждого процесса.
    • Графические наглядные индикаторы, а также изменяемый диапазон загрузки центрального процессора.
    • Функция заморозки любого процесса.
    • Удобная возможность управления (пауза, запуск и остановка) отдельными нитями (потоками) процесса.
    • Функция вывода окна, которое принадлежит тому или другому процессу поверх всех остальных.
    • Возможность закрытия сразу всего дерева процессов.
    • Функция в реальном стандартном режиме времени изменять приоритет и также ядро, которое будет выполнять тот или прочий процесс.
    • Возможность анализа сертификата файла того или иного сист. процесса.
    • Функция замены стандартного Диспетчера задач по все тем же самым горячим клавишам.
    • Для всех объектов, которые имеют ACL, имеется вкладка «Безопасность» (начиная с версии 12-04).

    Итак, перед вами мощный инструмент, который позволяет отслеживать состояние и все процессы, которые запущены ы вашей операционной системе. Небольшие размеры, понятный интерфейс, большой функционал – все эти стороны выгодно выделяют приложение Process Explorer перед остальными аналогами стандартного Диспетчера задач.



    Рекомендуем почитать