Startseite » Schule » Prozess-Explorer verstehen

    Prozess-Explorer verstehen

    Diese Lektion in unserer Geek School-Serie behandelt Process Explorer, die vielleicht am häufigsten verwendete und nützlichste Anwendung im SysInternals-Toolkit. Aber wie gut kennen Sie dieses Dienstprogramm wirklich??

    SCHULNAVIGATION
    1. Was sind die SysInternals-Tools und wie verwenden Sie sie??
    2. Prozess-Explorer verstehen
    3. Verwenden von Process Explorer zur Fehlerbehebung und Diagnose
    4. Prozessmonitor verstehen
    5. Verwenden von Process Monitor zur Problembehandlung und zum Suchen von Registrierungs-Hacks
    6. Verwenden von Autoruns zur Behandlung von Startvorgängen und Malware
    7. Verwenden von BgInfo zum Anzeigen von Systeminformationen auf dem Desktop
    8. Verwenden von PsTools zur Steuerung anderer PCs über die Befehlszeile
    9. Analysieren und Verwalten von Dateien, Ordnern und Laufwerken
    10. Zusammenfassen und Verwenden der Tools

    Process Explorer, eine Task-Manager- und Systemüberwachungsanwendung, gibt es seit 2001, und obwohl es früher sogar mit Windows 9x funktionierte, unterstützen die modernen Versionen nur XP und höher und wurden ständig mit Funktionen für moderne Versionen von aktualisiert Windows. Dies ist der defacto-Standard für den Umgang mit Fehlerbehebungsprozessen.

    Was kann der Process Explorer??

    Einige der besseren Funktionen umfassen die folgenden, obwohl dies keinesfalls eine erschöpfende Liste ist. Diese Anwendung hat viele Funktionen, und viele davon sind tief in die Benutzeroberfläche eingebettet. Erstaunlicherweise ist es auch eine sehr kleine Datei.

    • Die Standardstrukturansicht zeigt die hierarchische übergeordnete Beziehung zwischen Prozessen und Anzeigen mit Farben, um Prozesse auf einen Blick zu verstehen.
    • Sehr genaue Überwachung der CPU-Nutzung für Prozesse.
    • Kann verwendet werden, um den Task-Manager zu ersetzen, der besonders unter XP, Vista und Windows 7 nützlich ist.
    • Kann mehrere Taskleistensymbole hinzufügen, um CPU, Festplatte, GPU, Netzwerk usw. zu überwachen.
    • Finden Sie heraus, welcher Prozess eine DLL-Datei geladen hat.
    • Stellen Sie fest, welcher Prozess ein offenes Fenster ausführt.
    • Stellen Sie fest, welcher Prozess eine Datei oder einen Ordner geöffnet und gesperrt hat.
    • Sie können vollständige Daten zu allen Prozessen anzeigen, einschließlich Threads, Speichernutzung, Handles, Objekten und so ziemlich alles, was es sonst noch zu wissen gibt.
    • Kann einen gesamten Prozessbaum beenden, einschließlich aller Prozesse, die von dem Prozess gestartet werden, den Sie für den Abbruch auswählen.
    • Kann einen Prozess unterbrechen und alle seine Threads einfrieren, damit sie nichts tun.
    • Kann sehen, welcher Thread in einem Prozess die CPU tatsächlich ausschöpft.
    • Die neueste Version (v16) integriert VirusTotal in die Benutzeroberfläche, sodass Sie einen Prozess auf Viren überprüfen können, ohne Process Explorer verlassen zu müssen.

    Jedes Mal, wenn Sie ein Problem mit einer Anwendung haben oder etwas auf Ihrem Computer einfriert oder Sie versuchen, herauszufinden, wofür eine bestimmte DLL-Datei verwendet wird, ist Process Explorer das Werkzeug für den Job.

    Die Strukturansicht verstehen

    Wenn Sie Process Explorer zum ersten Mal starten, werden Ihnen sofort zahlreiche visuelle Daten angezeigt. Es gibt eine hierarchische Strukturansicht der auf Ihrem Computer ausgeführten Prozesse, einschließlich der CPU- und RAM-Nutzung, wobei für jeden Prozess numerische Werte verwendet werden. Oben in der Symbolleiste werden einige kleine Mini-Aktivitätsdiagramme angezeigt, die die CPU-Auslastung anzeigen. Sie können auf diese klicken, um sie in einem separaten Fenster anzuzeigen.

    Es ist definitiv viel los und es ist leicht, von allem auf dem Bildschirm überwältigt zu werden.

    In der ersten Anzeige sehen Sie eine Reihe von Spalten, die Folgendes enthalten:

    • Verarbeiten - der Dateiname der ausführbaren Datei zusammen mit dem Symbol, falls vorhanden.
    • Zentralprozessor - der Prozentsatz der CPU-Zeit in der letzten Sekunde (oder wie auch immer die Aktualisierungsgeschwindigkeit eingestellt ist)
    • Private Bytes - die Menge an Speicher, die diesem Programm alleine zugewiesen wird.
    • Workingset - die Menge an tatsächlichem RAM, die diesem Programm von Windows zugewiesen wurde.
    • PID  - die Prozesskennung.
    • Beschreibung - die Beschreibung, wenn die Anwendung eine hat.
    • Name der Firma - dieses ist nützlicher als Sie denken. Wenn etwas nicht stimmt, suchen Sie zunächst nach Prozessen, die nicht von Microsoft stammen.

    Sie können diese Spalten anpassen und viele andere Optionen hinzufügen. Sie können auch einfach auf eine der Spalten klicken, um nach diesem Feld zu sortieren. Wenn Sie den Task-Manager schon einmal verwendet haben, haben Sie wahrscheinlich nach Arbeitsspeicher oder CPU sortiert. Dies können Sie auch hier tun.

    Wenn Sie auf Process klicken, wird zwischen dem Sortieren nach dem Prozessnamen oder dem Zurückkehren zur Standardstrukturansicht gewechselt. Dies ist sehr nützlich, wenn Sie sich daran gewöhnt haben.

    Die Ansicht wird einmal pro Sekunde aktualisiert. Sie können jedoch auf Ansicht -> Aktualisierungsgeschwindigkeit gehen und die Häufigkeit der Aktualisierungen anpassen. Die niedrigste Zeit beträgt 0,5 Sekunden und die oberste Ebene 10 Sekunden. Wenn Sie es zur Fehlerbehebung verwenden, ist der Standardwert wahrscheinlich in Ordnung. Wenn Sie ihn jedoch als CPU-Monitor in der Taskleiste verwenden möchten, verbrauchen 5 oder 10 Sekunden weniger CPU, während er im Hintergrund ausgeführt wird.

    Sie können die Ansicht auch unter demselben Untermenü anhalten oder einfach die Leertaste drücken. Dadurch wird die Ansicht als Momentaufnahme eingefroren. Dies kann nützlich sein, wenn Sie versuchen, einen Prozess zu identifizieren, der gestartet wird und schnell stirbt, oder wenn Sie sich dazu entschieden haben, nach CPU-Auslastung zu sortieren und alle Zeilen ständig springen.

    Im Falle eines schnell abschließenden Vorgangs möchten Sie der Standardansicht jedoch zusätzliche Spalten hinzufügen, die Sie möglicherweise wissen müssen, da das Klicken auf einen nicht mehr vorhandenen Prozess in der Liste in der Detailansicht nicht viel anzeigt Prozess läuft nicht, auch wenn Sie alles angehalten haben.

    All diese Farben verstehen

    Es gibt definitiv viele Farben in einer typischen Prozess-Explorer-Liste, was für den Anfänger-Geek etwas verwirrend sein kann. Es ist wirklich wichtig zu lernen, was all diese Farben bedeuten, denn sie sind nicht nur für die Show da - sie bedeuten jeweils etwas Wichtiges.

    Wenn Sie sich nicht daran erinnern können, was eine der Farben bedeutet, können Sie im Menü Optionen -> Farben konfigurieren den Dialog Farbauswahl aufrufen. Dies ist im Grunde ein kurzer Spickzettel zu dem, was alles bedeutet. Lesen Sie weiter, da wir es auch hier erklären werden.

    Basierend auf den Farben in der Abbildung oben, bedeutet dies, was jedes der ausgewählten Elemente bedeutet (die anderen sind nicht wirklich wichtig).

    • Neue Objekte (hellgrün) - Wenn ein neuer Prozess in Process Explorer angezeigt wird, beginnt er hellgrün.
    • Gelöschte Objekte (rot) - Wenn ein Prozess beendet oder geschlossen wird, blinkt er normalerweise direkt vor dem Löschen rot.
    • Eigene Prozesse (hellblau) - Prozesse, die unter demselben Benutzerkonto wie Process Explorer ausgeführt werden.
    • Dienstleistungen (hellrosa) - Windows-Dienstprozesse, obwohl es erwähnenswert ist, dass sie untergeordnete Prozesse haben, die als anderer Benutzer gestartet werden, und diese möglicherweise eine andere Farbe haben.
    • Angehaltene Prozesse (dunkelgrau) - Wenn ein Prozess angehalten wird, kann er nichts tun. Sie können Process Explorer ganz einfach zum Anhalten einer Anwendung verwenden. Abgestürzte Apps werden manchmal kurz grau angezeigt, während Windows den Absturz verarbeitet.
    • Immersiver Prozess (hellblau) - Dies ist nur eine fantastische Art zu sagen, dass der Prozess eine Windows 8-Anwendung ist, die die neuen APIs verwendet. In der Abbildung zuvor haben Sie möglicherweise WSHost.exe bemerkt. Hierbei handelt es sich um einen Windows Store Host-Prozess, der Metro-Apps ausführt. Aus irgendeinem Grund werden auch Explorer.exe und Task Manager als immersive angezeigt.
    • Gepackte Bilder (Lila) - Diese Prozesse können komprimierten Code enthalten, der in ihnen verborgen ist, oder zumindest glaubt Process Explorer, dass sie dies mithilfe von Heuristiken tun. Wenn Sie einen violetten Prozess sehen, stellen Sie sicher, dass Sie nach Malware suchen!

    Da es offensichtlich einige Überschneidungen zwischen diesen verschiedenen Szenarien gibt, werden die Farben in einer Rangfolge angewendet. Wenn ein Prozess ein Dienst ist und angehalten wird, wird er dunkelgrau angezeigt, da diese Farbe wichtiger ist.

    Nach dem, was wir bei der Recherche gelernt haben, lautet die Reihenfolge Suspended> Packed> Immersive> Services -> Eigene Prozesse.

    Überprüfen der Anwendungsidentität

    Eine wirklich nützliche Option, von der wir überrascht sind, dass sie standardmäßig nicht aktiviert ist, finden Sie unter Optionen -> Image-Signatur prüfen.

    Mit dieser Option wird die digitale Signatur für jede ausführbare Datei in der Liste geprüft. Dies ist ein unschätzbares Werkzeug zur Fehlerbehebung, wenn Sie sich eine verdächtige Anwendung ansehen, die in der Liste ausgeführt wird.

    Die große Mehrheit der seriösen Software sollte zu diesem Zeitpunkt digital signiert sein. Wenn etwas nicht der Fall ist, sollten Sie sehr sorgfältig prüfen, ob Sie es verwenden sollten.

    Maßnahmen für einen Prozess ergreifen

    Sie können schnell für jeden Prozess Maßnahmen ergreifen, indem Sie mit der rechten Maustaste darauf klicken und eine der Optionen auswählen oder die Tastenkombination verwenden, wenn Sie möchten. Diese Optionen umfassen:

    • Fenster - Zu den Optionen gehören "In den Vordergrund bringen", die hilfreich sein können, um das einem Prozess zugeordnete Fenster zu identifizieren. Wenn für diesen Vorgang keine Fenster vorhanden sind, wird das Fenster ausgegraut.
    • Priorität setzen - Sie können dies verwenden, um die Priorität eines Prozesses zu konfigurieren. Dies ist vor allem nützlich, um einen Runaway-Prozess zu zähmen, den Sie nicht töten möchten.
    • Tötungsprozess - So wie Sie sich das vorstellen, tötet dies diesen Prozess schnell ab.
    • Prozessbaum töten - Dies zerstört nicht nur das Element in der Liste, sondern auch die untergeordneten Elemente dieses übergeordneten Prozesses.
    • Neustart - Das Testen ist spektakulär, das beendet den Prozess und startet ihn neu. Es ist erwähnenswert, dass das Töten von Prozessen dazu führen kann, dass Daten verloren gehen.
    • Aussetzen - Diese praktische Option eignet sich hervorragend für die Fehlerbehebung, wenn ein Prozess außer Kontrolle gerät. Sie können den Prozess einfach anhalten, anstatt ihn zu töten, und prüfen, ob etwas aus dem Ruder läuft.
    • Überprüfen Sie VirusTotal - Dies ist eine neue Option, die wir weiter unten erklären werden. Es ist wirklich praktisch, da es den Prozess auf Viren überprüft.
    • Online suchen - Dadurch wird nur das Web nach dem Namen des Prozesses durchsucht.

    Und wenn Sie Eigenschaften öffnen, werden Sie zu noch mehr nützlichen Informationen über den Prozess gelangen, von denen wir in der nächsten Lektion viel erfahren werden.

    Hinweis: Wir haben die Temp-Option getestet, hatten aber keine Ahnung, was sie macht.

    Als Administrator ausgeführt

    Obwohl Sie Process Explorer nicht unbedingt als Administrator ausführen müssen, funktionieren viele nützliche Funktionen nicht, und Sie können nicht so viele Informationen zu jedem Prozess anzeigen.

    Wenn Sie mit Windows XP oder 2003 arbeiten, müssen Sie als Konto mit vollständigen Administratorrechten ausgeführt werden, um die meisten Funktionen nutzen zu können. Dies ist wahrscheinlich für die meisten Benutzer kein Problem, da XP dem Standardkonto ohnehin alle Berechtigungen erteilt. Wenn Sie jedoch versuchen, dies bei der Arbeit ohne Administratorzugriff zu verwenden, funktioniert es nicht so gut.

    Da die meisten unserer Leser Windows 7, 8.x oder sogar Vista verwenden, sind Sie wahrscheinlich mit dem Ausführen einer Anwendung als Administrator vertraut. Es ist wirklich einfach… einfach mit der rechten Maustaste und wählen Sie die Option aus dem Menü.

    Spaß Fakt: Der Prozess-Explorer verwendet tatsächlich die Berechtigung zum Debuggen von Programmen. Dies erklärt, warum es so mächtig ist.

    Erzwingen, dass Process Explorer immer als Administrator geöffnet wird

    Wenn Sie sicherstellen möchten, dass Process Explorer immer als Administrator geöffnet wird, ohne dass Sie mit der rechten Maustaste darauf klicken müssen, können Sie dies erzwingen, indem Sie eine spezielle Verknüpfung erstellen, die den Administratormodus erfordert, oder indem Sie die Eigenschaften für procexp.exe öffnen. Gehen Sie zu Kompatibilität und wählen Sie dann die Option "Dieses Programm als Administrator ausführen" aus..

    So oder so funktioniert es gut, oder Sie können auch die Benutzerkontensteuerung deaktivieren, wenn Sie möchten. Dadurch wird alles als Administrator ausgeführt. Wir empfehlen das nicht, aber Sie können es tun.

    Verwenden von Process Explorer zum Ersetzen des Task-Managers

    Der Prozess-Explorer wurde lange Zeit als leistungsfähiger Ersatz für die zuvor anämische Task-Manager-Anwendung in jeder Windows-Version vor Windows 8 verwendet. Wenn Sie sich jedoch eine echte Leistung wünschen, ist dies auch in dieser Version ein guter Ersatz.

    Hinweis: Der Task-Manager von Windows 8 wurde gegenüber früheren Versionen erheblich verbessert. Es ist immer noch nicht so leistungsfähig wie der Process Explorer, aber für normale Leute ist es wahrscheinlich einfacher zu verwenden. Ändern Sie also nicht den Computer von mom auf Process Explorer.

    Damit Process Explorer den Task-Manager ersetzen kann, müssen Sie nur die Option Optionen -> Task-Manager ersetzen aus dem Menü auswählen. Das ist es.

    Wenn Sie dies getan haben, können Sie mit STRG + UMSCHALT + ESC oder durch Klicken mit der rechten Maustaste auf die Taskleiste sowohl Process Explorer als auch Task-Manager starten. Einfach richtig?

    Warnung: Wenn Sie den Task-Manager ersetzen, stellen Sie absolut sicher, dass Sie Process Explorer an einem Ort platziert haben, an dem Sie die Datei nicht versehentlich verschieben oder löschen. Andernfalls bleiben Sie bei einem System, das keinen Task-Manager starten kann.

    Verwenden des Prozess-Explorers als Awesome Tray-Symbolmonitor

    Eine der besten Funktionen von Process Explorer ist die Möglichkeit, diese in der Taskleiste zu minimieren. Statt nur einem einzelnen Symbol kann jedoch eine Reihe von Symbolen zur Überwachung von CPU, E / A, Festplatte, Netzwerk und GPU verwendet werden und RAM oder eine Kombination davon. Sie können sie so konfigurieren, dass sie separat oder gar nicht angezeigt werden.

    Um dies einzurichten, öffnen Sie das Menü Optionen, wechseln Sie zum Abschnitt Taskleistensymbole und klicken Sie dann auf, um die gewünschten Taskleistensymbole zu aktivieren.

    Sie können Process Explorer bei jedem Start Ihres Computers einfach ausführen und dann in der Taskleiste minimieren, damit er immer für Sie da ist. Wenn Sie die Option zum Ersetzen des Task-Managers verwendet haben, können Sie natürlich jederzeit mit einer Tastenkombination schnell darauf zugreifen. Sie können jedoch auch die Option "Nur eine Instanz zulassen" verwenden, um sicherzustellen, dass Sie keine Option öffnen Bündel von separaten Fenstern.

    Verwenden von Process Explorer zum schnellen Durchsuchen von VirusTotal

    Wenn Sie an einem Problem-PC arbeiten und herausfinden möchten, ob es sich bei einem Prozess um einen Virus handelt, können Sie sich mit Process Explorer Version 16 oder höher etwas Zeit sparen, da er die Integration von VirusTotal direkt in die Anwendung aufgenommen hat. Klicken Sie einfach mit der rechten Maustaste auf etwas in der Liste, um die Option anzuzeigen.

    Wenn Sie es zum ersten Mal ausführen, werden Sie aufgefordert, die Nutzungsbedingungen von VirusTotal zu akzeptieren. Nachdem Sie dies jedoch getan haben, werden die VirusTotal-Ergebnisse direkt in der Liste angezeigt.

    Sie können auf das Ergebnis klicken, um zu VirusTotal zu gelangen und die Details anzuzeigen. Es ist eine großartige Ergänzung zu einem der besten Dienstprogramme, die es je gab.

    Nächste Lektion: Verwenden von Process Explorer zur Fehlerbehebung und Diagnose

    In der nächsten Lektion unserer Serie werden wir uns eingehender mit der Verwendung von Process Explorer in einigen realen Szenarien befassen, um häufig auftretende Probleme wie Malware und Crapware zu beheben. Bleiben Sie für den Rest der Serie auf dem Laufenden.

    Pseudo-Element vorher und nachher verstehen
    Grundlegendes zu Routern, Switches und Netzwerkhardware
    Grundlegendes zu LAN-Netzwerkdatenübertragungsgeschwindigkeiten
    Nächste Artikel
    Prozessmonitor verstehen
    Vorheriger Artikel
    Grundlegendes zu Mikrointeraktionen im Mobile App Design