Вы когда-нибудь заходили в диспетчер задач Windows и нажимали на вкладку «Процесс» только для того, чтобы увидеть цифру svchost.exe занимает 100% вашего процессора? К сожалению, это не поможет вам понять, какая программа в Windows на самом деле использует всю эту вычислительную мощность.
В Windows существует множество процессов, таких как SVCHOST, которые на самом деле могут запускать несколько различных служб Windows, таких как Центр обновления Windows, DCOM, Удаленный вызов процедур, Удаленный реестр, DNS и многие другие. Или, может быть, вам просто нужно выяснить, какие библиотеки DLL загружены и какие дескрипторы открыты для конкретного процесса. Вам также может понадобиться эта информация, чтобы вы могли отключить программы запуска Windows.
Определенно, если вы работаете в сфере ИТ, наступит момент, когда вам понадобится дополнительная информация о процессе Windows. Есть два действительно полезных инструмента для детального изучения процессов Windows, и я дам краткий обзор обоих.
Обозреватель процессов
Обозреватель процессов — это отличное бесплатное приложение, позволяющее точно определить службу или программу Windows, владеющую определенным процессом. Например, если вы хотите узнать, какая служба запущена для каждого из различных процессов svchost , просто наведите указатель мыши на имя процесса.
Вы также можете использовать Process Explorer, чтобы выяснить, в какой программе открыт определенный файл или каталог, а затем завершить этот процесс. Это удобно, если вы пытаетесь удалить или переместить файлы, но они заблокированы или открыты активным процессом Windows.
Вы также можете узнать, какие библиотеки DLL загрузил процесс и какие файлы обрабатываются процессом, который в данный момент открыт. Это очень полезно для выявления проблем с версией DLL или отслеживания утечек дескрипторов.
Монитор процессов
Итак, Process Explorer отлично подходит для изучения загадочных процессов, таких как svchost и т. д., но вы можете использовать Монитор процессов для получения файлов, реестра и процессов в реальном времени. /активность потока. Мне очень нравится Process Monitor, потому что он представляет собой комбинацию RegMon и FileMon, двух замечательных программ мониторинга от Sysinternals.
Это отличный инструмент для устранения неполадок в вашей системе, а также для искоренения надоедливых вредоносных программ. Поскольку Process Monitor позволяет вам видеть, к каким именно файлам и разделам реестра обращается процесс в режиме реального времени, он отлично подходит для просмотра всех файлов и записей реестра, добавленных при установке новой программы.
Он также собирает более подробную информацию о процессе, такую как путь к изображению, пользователь, идентификатор сеанса и командная строка..
Когда вы впервые открываете Process Monitor, это может быть довольно пугающим, поскольку загружаются тысячи записей и в основном то, что делают системные процессы. Однако вы можете использовать расширенные фильтры, чтобы найти именно то, что ищете.
В диалоговом окне Фильтр вы можете фильтровать по имени процесса, классу событий, PID, сеансу, пользователю, версии, времени суток и многим другим. После загрузки Process Monitor на моей машине было обнаружено 800 000 событий! Однако я могу сократить это число до менее 500, добавив фильтры для уточнения одного процесса.
Он также имеет множество других расширенных функций, таких как мониторинг образа (DLL и драйверы устройств режима ядра), неразрушающая фильтрация, захват стеков потоков, расширенное ведение журнала, ведение журнала во время загрузки и многое другое.
Поэтому, если вы когда-нибудь хотели узнать больше или получить дополнительную информацию об этих процессах Windows в диспетчере задач, ознакомьтесь с Process Monitor и Process Explorer! Наслаждайтесь!.