Вредоносное ПО (malware) - это назойливые или опасные программы,...
Диспетчер задач является одной из немногих штатных утилит Windows, которая существует в идеальном завершённом формате — и в плане интерфейса, и в плане функционала. Но только, если говорить об уровне обывателя. Последнему знать более, чем та информация, что может предложить диспетчер задач Windows, ни к чему. А вот профессионалам часто нужен инструмент похлеще существующего формата диспетчера задач – с большим функционалом и с более информативным представлением данных.
1. О программе Process Explorer
Бесплатная, минималистичная, с простым и понятным интерфейсом – программа Process Explorer от авторов веб-проекта Sysinternals.Com и есть эта самая более продвинутая альтернатива системному диспетчеру задач.
Process Explorer выдает подробнейшую справку обо всех запущенных процессах – загрузка процессора, использование памяти, идентификатор процесса, его описание, компания-разработчик. В довесок к отслеживанию запущенных процессов и их активности программа позволяет наблюдать и контролировать работу дескрипторов и загруженных процессом DLL-библиотек.
2. Скачивание и запуск программы Process Explorer
Программу Process Explorer с англоязычным интерфейсом можно скачать бесплатно на сайте Microsoft Technet .
Русифицированная версия программы для бесплатного скачивания доступна на .
Process Explorer не требует инсталляции, это портативная утилита, которая может быть настроена на сворачивание в трей при закрытии окна программы.
3. Отображение данных
Не открывая окно программы, прямо в системном трее наведением курсора мыши на значок Process Explorer можно вызвать всплывающую информацию о проценте загрузки процессора и о наиболее нагружаемом последний процессе.
Предустановленный параметр отображения данных о загрузке процессора в системном трее можно сменить и настроить отображение других системных ресурсов.
Рабочая область программы настраиваемая: окно программы может быть полностью отдано для отображения процессов в древовидной структуре.
А можно сделать активным отображение нижнего окна, где на выбор могут быть представлены либо списки DLL-библиотек, либо дескрипторы.
В отдельных случаях для удобства работы окно Process Explorer можно закрепить поверх всех остальных окон и настроить полупрозрачный вид программы.
4. Основные возможности программы
Двойной щелчок левой клавишей мыши на названии процесса запустит окно его свойств.
Контролировать запущенные процессы можно как с помощью контекстного меню, вызванном на каждом из процессов, так и с помощью меню вверху окна «Процесс ».
Process Explorer позволяет завершать процессы, перезапускать их, изменять их приоритет с целью высвобождения системных ресурсов для выполнения более важных задач, осуществлять поиск информации касательного того или иного процесса в Интернете и т.д. Одним из преимуществ программы является возможность приостановки на время процессов (вместо их завершения, как это происходит в штатном диспетчере задач Windows) с последующим запуском этих процессов.
Возможность приостановки процессов может быть использована для их исследования. Приостановив на время тот или иной процесс, можно на время высвободить ресурсы компьютера для решения более важных задач, а затем возобновить этот процесс. Приостановка известных сетевых процессов поможет определить, какие другие процессы могут быть виновниками чрезмерной сетевой активности. При очевидных признаках торможения компьютера это один из способов выявления вирусного, шпионского или рекламного ПО. Приостановку процессов можно использовать, прежде чем безапелляционно приступать к решению проблемы с загрузкой жёсткого диска на 100% путём отключения тех или иных системных служб.
Process Explorer обустроена функцией определения процесса путём перетаскивания на окна запущенных приложений специальной кнопки, находящейся на панели инструментов программы. После того, как эта кнопка определит процесс приложения, он, уже будучи идентифицированным, выделится в окне Process Explorer.
В разделе меню «Вид » доступна информация о системе – это аналог вкладки «Производительность » штатного диспетчера задач Windows.
Process Explorer позволяет оперативно из своего интерфейса выключать, перезагружать компьютер, менять пользователя, а также запускать программы и службы с помощью встроенной в меню «Файл » команды «Выполнить », причём как с правами администратора, так и с правами обычного пользователя.
Программа обстроена поиском, позволяющим оперативно выявить процессы с определёнными открытыми дескрипторами или определёнными загруженными DLL-библиотеками.
Process Explorer умеет сохранять текущее состояние процессов в TXT-файл. Список всех запущенных процессов может быть выгружен в текстовый формат со всеми данными, отображающимися в окне программы.
При необходимости программа может стать частью системы Windows. Штатный диспетчер задач заменяется на Process Explorer с помощью специальной функции в самой программе, и именно окно Process Explorer впоследствии будет появляться при нажатии горячих клавиш Ctrl+Shift+Esc.
Помогла ли Вам данная статья?
Internet Explorer – это популярный и простой в использовании веб-браузер . Он доступен для пользователей операционной системы Windows. Его обслуживание не создает много проблем, даже для людей, которые обладают малым опытом работы за компьютером.
Ниже вы найдете несколько советов, как пользоваться браузером Internet Explorer .
Internet Explorer можно запустить , выбрав Пуск → Все программы → Internet Explorer (для операционных систем до Windows 10). Чтобы избежать такой запутанной процедуры вы можете нажать на значок утилиты в папке правой кнопкой мыши и выбрав Копировать , а затем, на рабочем столе, пункт Вставить . В итоге будет создан ярлык программы, благодаря которому не придется искать программу через «Пуск ». Просто дважды щелкните левой кнопкой мыши на соответствующую иконку на рабочем столе.
Просматривая веб-сайты с помощью этого браузера, мы можем сохранять веб-страницы, которые нам больше всего понравились. Мы можем это сделать, выбрав Избранное → Добавить в избранное . Благодаря этому в следующий раз, выбрав пункт Избранное вы будете иметь доступ на сайты, которые Вам нравятся.
Если Вы заботитесь о частной жизни и конфиденциальности, вы можете удалить историю веб-поиска с помощью меню Инструменты → Удалить историю просмотра (или с помощью комбинации клавиш Ctrl + Shift + Delete ). Благодаря этому никто не узнает, на какие сайты вы заглядывали.
Если у вас есть проблемы со зрением, и вы не можете прочитать текст, который находится на странице веб-сайта, вы всегда можете увеличить эту страницу . Вы можете сделать это, выбрав Вид → Масштаб , а затем масштаб в процентах, который Вас устраивает. Размер текста мы также можем увеличить выбрав Вид → Размер шрифта , а затем оптимальный масштаб в процентах. Если во время чтения статьи на странице сайта Вас отвлекает панель задач, вы можете выбрать режим полного окна, нажав Вид → Во весь экран (или с помощью клавиш F11 ).
Ещё одной полезной возможностью Internet Explorer является установка домашней страницы. Это страница, которая будет включен сразу же после запуска браузера. Домашний адрес можно настроить, выбрав Сервис → Свойства обозревателя → Общие . В поле Домашняя страница введите адрес, который хотите, чтобы отображался при запуске браузера. Для подтверждения нажмите кнопку OK .
Если вы хотите просматривать несколько страниц одновременно, вы можете открыть так называемые новую вкладку. Эта опция доступна при выборе Файл → Новая вкладка (или сочетание клавиш Ctrl + T ). Благодаря этому вам не придется отказываться от просмотра одной страницы в пользу другой. Это очень полезная опция для людей, которые любят делать много дел в сети одновременно.
Explorer.exe, если вы еще не знаете, то это очень важный процесс. Я конечно не могу его назвать критическим важным, так как без него система вполне нормально работает, просто вы ничего при этом не видите Но раньше, еще когда была популярна Windows XP, то при отключении explorer.exe оставалась заставка, а теперь в Windows 10 — черный экран, может в других версиях также. Это говорит о кардинальных изменениях в работе оболочки Windows, а именно за нее и отвечает данный процесс.
В любом случае, чтобы не случилось, вы должны знать как запустить процесс explorer.exe. В Windows 10 правда уже реализована возможность его перезапуска прямо из диспетчера, при этом не нужно его как раньше отключать, а потом запускать.
Что-то совсем не написал, что такое explorer.exe простыми словами. Это оболочка Windows, и она отвечает за отображение всего — и папок и файлов в них, другими словами проводник, без которого вы просто не сможете работать за компьютером.
Если у вас глючит меню Пуск или же долго открывается, то вам может помочь перезапуск проводника, то есть процесса explorer.exe. Откройте диспетчер задач, можно правой кнопкой мышки нажать по пустому месту на панели задач (внизу) и там в меню выбрать диспетчер.
В нем будут отображены запущенные программы, в общем если что — там текущее состояние системы, вы можете просмотреть что и насколько загружает ваш процессор. Так вот, в открытом диспетчере вам нужно найти Проводник — нажать по нему правой кнопкой и выбрать Перезапустить:
После этого оболочка завершит свою работу и сразу запустится, то есть это то, что раньше (в старых версиях ОС) нужно было делать вручную.
Чтобы завершить explorer.exe, перейдите на вкладку Процессы и там найдите его, нажмите правой кнопкой и в меню выберите Снять задачу:
После этого наступит тьма! Будет черный экран — не будет ни меню Пуск, ни папок, ничего не будет. Но при этом все программы продолжат работать, и даже вы в открытых программах сможете работать, например браузером Мозилла можно спокойно пользоваться и без оболочки, то есть без проводника.
Вот что вы будете видеть, если отключите explorer.exe (внизу это свернутые программы):
И последнее — как запустить процесс explorer.exe? Раньше, чтобы это сделать, нужно было открывать папку Windows и оттуда запускать этот процесс, в принципе и сейчас так можно, но теперь все намного проще — в диспетчере откройте меню Файл и там выберите Запустить новую задачу:
В поле напишите explorer и нажмите ОК или энтер (галочку ставить не нужно):
После этого весь ваш рабочий стол и открытые окна восстановятся, но вот открытые папки будут уже закрыты. Кстати, раньше в Windows (не помню иди это в предыдущих версиях или в первом билде Windows 10) с этим перезапуском explorer.exe был интересный трюк — после перезапуска пропадало сообщение о активации Windows, но потом это быстро исправили.
Process Explorer и Process Monitor - два из трёх очень полезных инструментов для тонкой настройки операционных систем Windows.
Если вы хотите знать, что прямо сейчас происходит на вашем компьютере, попробуйте Process Explorer. В своей основе Process Explorer - более сложная версия диспетчера задач Windows 10.
В нем, в реальном времени, отображается информация о запущенных процессах, включая какая учётная запись является владельцем определённого процесса. Какие файлы, ключи реестра и другие объекты этот процесс открыли. И какие библиотеки DLL этим процессом были загружены. А также, программа Process Explorer, обеспечивает моментальный снимок производительности системы и использования её ресурсов.
Вы предпочитаете загруженный, но информативный дисплей Process Explorer, более чистому, но почти пустому диспетчеру задач? Пожалуйста, для этого имеется свой параметр. А именно, в программе Process Explorer, выберите меню "Параметры" и затем "Заменить диспетчер задач" (для внесения этого изменения вам потребуются учётные данные администратора). После этого, нажатие клавиш Ctrl+Shift+Esc, вместо , откроет инструмент Sysinternals.
На примере ниже чётко видно, что Process Explorer очень активен. Для идентификации каждого процесса по типу, он использует цветовое кодирование, а для привлечения внимания к начинающимся и заканчивающимся процессам - анимацию.
Вид группировки по умолчанию в Process Explorer обрабатывает процессы родитель-потомок и использует цветовое кодирование для выявления различных типов процессов.
Цветовое кодирование, вы можете настроить самостоятельно. Для этого, нажмите "Опции" и выберите "Настройка цветов".
Параметры по умолчанию следующие:
Зелёный цвет указывает на новые объекты, а насыщенный красный - момент удаления объектов. Оба этих цвета появляются на короткое время, в момент начала и окончания процесса.
Светло-голубой - определяет «собственные процессы», те, что работают под той же учётной записью, что и Process Explorer. Обратите внимание, что эти процессы могут выполняться в другом контексте безопасности чем учётная запись пользователя, под которой они были запущены.
Розовый цвет - выделяет процессы, которые содержат одну или более служб Windows. Когда вы наводите курсор на одну из этих строк, появляется подсказка, отображающая имена работающих в этом процессе отдельных служб. Что может быть полезным для определения какой экземпляр Svchost.exe за это отвечает.
Фиолетовый (или тёмно-фиолетовый) - означает «Упакованные» (зашифрованные или сжатые) исполняемые программы. Это может означать потенциально вредоносные программы, особенно, если они связаны с неизвестным процессом.
Бирюзовый - показывает иммерсивные процессы, которые связаны с приложениями Магазина Windows.
Тёмно-серый - идентифицирует приостановленный процесс. Обычно это приложения Windows Store, которые вы ранее открыли, но уже не используете. Некоторые приложения Магазина Windows специально написаны так, что могут продолжать выполняться в фоновом режиме. Например, Groove Music будет продолжать проигрывать мелодии даже при переключении фокуса в другую программу.
Вы можете идентифицировать работу Windows и.NET процессов по их цветовому кодированию, хотя эти атрибуты, по умолчанию, параметры не отображают.
Маленькие графики, в верхней части окна Process Explorer, отображают системную информацию в режиме реального времени. Чтобы увидеть все графики в одном окне, нажмите Ctrl+I (как в информации) или, в строке меню, щёлкните "Вид" и выберите пункт "Сведения о системе". Ниже этот дисплей в действии.
Окно сведений о системе показывает графики производительности для текущей системы в режиме реального времени. А также, при наведении курсора на определённое место, детальные подсказки.
Внимание . Если вы не видите все графики, перезапустите Process Explorer от имени администратора.
Каждая из отдельных вкладок - CPU, Memory, I/O и GPU - содержит дополнительные сведения об этой конкретной группе ресурсов. В частности, на вкладке GPU, добавлены детали, которые вы не найдёте на вкладке "Производительность" диспетчера задач.
Реальная сила Process Explorer становится очевидной, когда вы, чтобы раскрыть меню доступных параметров, щёлкните правой кнопкой мыши на отдельном процессе.
Первое место, где стоит смотреть, особенно, если вы хотите выяснить, что это за процесс - диалоговое окно "Свойства", которое отображает значительно больше информации, чем его коллега .
Детали для запущенного процесса включают информацию о версии и запускается ли он автоматически.
Из этого диалогового окна "Свойства" или из списка процессов, вы можете отправить хэш-код этого файла в службу VirusTotal. Где на любом из отслеживаемых VirusTotal 50 с лишним антивирусов выяснить, не является ли он возможной вредоносной программой.
Нижняя панель окна Process Explorer обычно скрыта. С помощью сочетания клавиш Ctrl+L, вы можете сделать её видимой (или, в меню "Вид" выберите "Показать нижнюю панель"). Эта панель показывает одно из двух представлений для текущего процесса: или дескрипторы. Вы можете переключаться между двумя представлениями с помощью сочетаний клавиш Ctrl+D и соответственно Ctrl+H На рисунке ниже нижняя панель в представлении библиотеки DLL.
Нижняя панель может отображать связанный с выбранным процессом список библиотек DLL или список дескрипторов.
Process Monitor
Последний из трёх суперзвезд Sysinternals это монитор процессов, также известный как Procmon. При запуске, он в режиме реального времени отслеживает все, связанные с файловой системой, реестром, сетью, процессами, потоками и библиотеками DLL, действия.
Procmon, в считанные секунды, трассирует миллионы различных операций. Которые, для устранения помех, затем можно отфильтровать и сосредоточиться на потенциальной причине проблемы. Вы можете сравнительно легко захватить следы повышенной активности системы и сохранить их в файлах журнала Procmon. А затем проанализировать захваченные данные на другой системе.
Чтобы получить представление о степени захваченной Procmon детализации, смотрите листинг на рисунке ниже, который представляет активность системы за период, измеряемый в небольших долях секунды.
Во время трассировки, Process Monitor записывает все события каждого процесса, что, как показано в строке состояния, может привести к миллионам дискретных событий.
Хотя Procmon собирает все, что он отслеживает, параметры по умолчанию включают фильтр, который скрывает необработанные детали из файловой системы и самого Procmon. Можно настроить фильтр на лету. Просто щёлкните правой кнопкой на конкретной записи в определённом столбце, а затем в контекстном меню, выберите один из вариантов.
К примеру, на рисунке показан щелчок правой кнопкой мыши на строке Runtimebroker.exe в столбце имя процесса. Теперь можно выбрать, включить этот процесс в текущий фильтр, эффективно отображающий записи из этого процесса или исключить его, так чтобы скрыть результаты сопоставления. А также можно выбрать для выделения совпадающие записи, не скрывая те, которые не совпадают.
Щёлкните правой кнопкой мыши на элементе любого столбца, чтобы увидеть, содержащее совпадающие записи, меню опций для фильтрации событий.
Посмотрите на строку состояния в нижней части окна Procmon, чтобы увидеть был ли к записанным данным применён фильтр и, если да, какое влияние он имел. Например на рисунке, отфильтрованный список показывает меньше, чем 1 из 1000 событий, что позволяет прокрутку данных или дальнейшее фильтрование в поисках паттернов или .
Посмотрите в строке состояния, нижней части окна Process Monitor насколько эффективен ваш фильтр.
А также можно создать или изменить фильтр, используя диалоговое окно Process Monitor "Фильтр", которое предлагает удобное его использование. Для доступа к диалоговому окну "Фильтр", на панели меню монитора процессов, нажмите соответствующую кнопку. Вы можете задать условия, которые определяют какие события будут включены или исключены. Потом нажмите кнопку "Добавить" или выберите существующий фильтр и нажмите кнопку "Удалить". Чтобы немедленно увидеть эффект от нового фильтра, нажмите кнопку "Применить".
Нажатие кнопки «Фильтр» открывает диалоговое окно фильтра Process Monitor, где, с помощью раскрывающихся списков, вы можете добавить критерии. Перед выходом не забудьте нажать кнопку "Применить".
Потоки процесса, их активность, стек потока с загрузкой символов
В свойствах процесса в закладке threads видны все его потоки и загрузка CPU по потокам. Допустим хочется рассмотреть стек потока, который интенсивно что-то делает или висит. Для этого сперва надо его распознать, допустим по загрузке CPU, потом полезно приостановить процесс, чтобы спокойно рассмотреть его состояние - это можно сделать прямо в этом окне по кнопке “suspend”. Далее выделяем поток и нажимаем “stack”. В большинстве случаев стек будет начинаться в недрах системы и обрываться не совсем понятным образом. Дело в том, что не имея отладочной информации по системным библиотекам не удастся корректно развернуть стек и разобраться в нем. Есть решение – нужно сконфигурировать доступ с символьной информации с сайта Microsoft. Надо проделать несколько шагов:- Установить Debugging Tools . Из приведенной ссылки надо пойти по ссылке “Debugging Tools for Windows 32-bit Versions” или “Debugging Tools for Windows 64-bit Versions”. Далее выбрать для скачивания последнюю версию не интегрированную в SDK, иначе это выльется в скачивание огромного объема SDK, а так всего несколько Mb.
- Настроить доступ к символам в Process Explorer. Options –> Configure Symbols. В одном поле задаем путь к dbghelp.dll, которая находится внутри установленного продукта из шага 1. Во втором настраиваем такую хитрую строку: “srv*C:\Symbols*http://msdl.microsoft.com/download/symbols”. Часть строки указывает на локальный кэш для PDB файлов, вторая часть на путь к серверу для скачивания.
- Теперь список потоков и стек будут более информативны. При открытии этих окон может происходить задержка на время подкачки PDB файлов с сервера Microsoft, но делается это один раз для каждой версии модуля, результат кэшируется в выбранной папке.
Информация по использованию памяти в системе
В окне «system information» закладка «memory». Здесь есть два графика – commit и physical. Physical – использование физической памяти без учета файлового кэша, под который уходит все что остается. Commit – сколько памяти выделено для процессов включая используемую виртуальную память. Под графиками в разделе «Commit Charge» есть поля Limit и Peak. Limit определяется суммой физической и виртуальной памяти, т.е. это максимальный суммарный объем памяти, который может выделить система. Peak – это максимум графика Commit за время работы утилиты. Процентные соотношения Current/Limit и Peak/Limit удобны для быстрой оценки насколько состояние системы приближалось к критическому лимиту по доступной памяти.
Handles и DLL процесса
В главном окне можно включить разделитель и снизу отображать DLL или handles выделенного процесса. При борьбе с вирусами и отладке программ это бывает очень полезно. На картинке - список handles для opera, первый handle файловой системы – это flash ролик в временном каталоге.
Для DLL можно добавить колонку с полным путем к образу, отсортировав по нему, проанализировать нет ли каких подозрительных модулей. На картинке видно, что подключен модуль от Logitech, есть подозрение что это что-то типа хука внедряющегося во все процессы. Следующим пунктом посмотрим где он еще встречается.
Поиск handles и DLL
Поиск по имени handle или DLL во всех процессах. Вводим имя DLL от Logitech из предыдущего пункта и убеждаемся что подключается он почти везде.
Другой пример – надо понять, кто блокирует файл или работает с папкой. Вводим часть пути и находим все процессы, которые открыли подобные объекты системы. Можно щелкнуть на элементе из списка и перейти к процессу, при этом будет подсвечен соответствующий handle или DLL.
PS Для отображения некоторых полей (например сетевая статистика) требуются административные привилегии. Повысить привилегии в уже запущенном Process Explorer можно с помощью команды в меню File. Только при наличии таких привилегий есть возможность добавить такие колонки. Я считаю такое поведение неверным, т.к. скрывает потенциальные возможности приложения от пользователя. Если поля добавлены и при следующем запуске нет административных прав, то они будут пустыми. Можно задать ключ "/e" в командной строке, чтобы форсировать поднятие привилегий при старте Process Explorer.
