Trang chủ » trường học » Hiểu quy trình Explorer

    Hiểu quy trình Explorer

    Bài học này trong loạt Geek School của chúng tôi bao gồm Process Explorer, có lẽ là ứng dụng hữu ích và được sử dụng nhiều nhất trong bộ công cụ SysIternals. Nhưng làm thế nào để bạn thực sự biết tiện ích này?

    CHUYỂN ĐỔI TRƯỜNG
    1. Công cụ SysIternals là gì và bạn sử dụng chúng như thế nào?
    2. Hiểu quy trình Explorer
    3. Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán
    4. Hiểu quy trình giám sát
    5. Sử dụng Trình giám sát quy trình để khắc phục sự cố và Tìm Hacks Registry
    6. Sử dụng Autorun để xử lý các quy trình khởi động và phần mềm độc hại
    7. Sử dụng BgInfo để hiển thị thông tin hệ thống trên máy tính để bàn
    8. Sử dụng PsTools để điều khiển các PC khác từ Dòng lệnh
    9. Phân tích và quản lý tập tin, thư mục và ổ đĩa của bạn
    10. Kết hợp và sử dụng các công cụ với nhau

    Process Explorer, một trình quản lý tác vụ và ứng dụng giám sát hệ thống, đã có từ năm 2001, và mặc dù nó từng hoạt động trên Windows 9x, các phiên bản hiện đại chỉ hỗ trợ XP trở lên và chúng được cập nhật liên tục các tính năng cho các phiên bản hiện đại của Các cửa sổ. Đó là tiêu chuẩn defacto để xử lý các quy trình xử lý sự cố.

    Vậy Explorer có thể làm gì?

    Một số tính năng tốt hơn bao gồm các tính năng sau, mặc dù đây không phải là danh sách đầy đủ. Ứng dụng này có nhiều tính năng và nhiều tính năng được chôn sâu trong giao diện. Thật đáng ngạc nhiên đó cũng là một tập tin rất nhỏ.

    • Chế độ xem dạng cây mặc định hiển thị mối quan hệ cha mẹ phân cấp giữa các quy trình và hiển thị bằng màu sắc để dễ dàng hiểu các quy trình trong nháy mắt.
    • Theo dõi sử dụng CPU rất chính xác cho các quy trình.
    • Có thể được sử dụng để thay thế Trình quản lý tác vụ, đặc biệt hữu ích trên XP, Vista và Windows 7.
    • Có thể thêm nhiều biểu tượng khay để theo dõi CPU, Đĩa, GPU, Mạng và hơn thế nữa.
    • Chỉ ra quá trình nào đã tải một tập tin DLL.
    • Chỉ ra quá trình nào đang chạy một cửa sổ mở.
    • Chỉ ra quá trình nào có tệp và thư mục mở và khóa.
    • Xem dữ liệu đầy đủ về bất kỳ quy trình nào, bao gồm các luồng, sử dụng bộ nhớ, tay cầm, đối tượng và khá nhiều thứ khác cần biết.
    • Có thể Giết toàn bộ cây quy trình, bao gồm mọi quy trình được bắt đầu bởi cây bạn chọn để giết.
    • Có thể đình chỉ một quá trình, đóng băng tất cả các chủ đề của nó để họ không làm gì.
    • Có thể thấy luồng nào trong một tiến trình thực sự tối đa hóa CPU.
    • Phiên bản mới nhất (v16) tích hợp VirusTotal vào giao diện để bạn có thể kiểm tra quy trình phát hiện vi-rút mà không cần rời Process Explorer.

    Bất cứ khi nào bạn gặp sự cố với ứng dụng hoặc thứ gì đó bị đóng băng trên máy tính của bạn hoặc có thể bạn đang cố gắng tìm ra một tệp DLL cụ thể được sử dụng để làm gì, Process Explorer là công cụ cho công việc.

    Hiểu biết về cây

    Khi bạn khởi chạy Process Explorer lần đầu tiên, bạn sẽ thấy rất nhiều dữ liệu trực quan - có chế độ xem dạng cây phân cấp của các quy trình đang chạy trên máy tính của bạn, bao gồm cả việc sử dụng CPU và RAM bằng các giá trị số cho mỗi quy trình. Có một số biểu đồ hoạt động nhỏ chạy ở đầu trên thanh công cụ, hiển thị cho bạn mức sử dụng CPU, có thể nhấp vào để hiển thị trong một cửa sổ riêng biệt.

    Chắc chắn có rất nhiều điều đang diễn ra, và sẽ rất dễ bị choáng ngợp bởi mọi thứ trên màn hình.

    Màn hình ban đầu cung cấp cho bạn một tập hợp các cột bao gồm:

    • Quá trình - tên tệp của tệp thực thi cùng với biểu tượng nếu có.
    • CPU - phần trăm thời gian của CPU trong giây cuối cùng (hoặc bất cứ tốc độ cập nhật nào được đặt thành)
    • Byte riêng - số lượng bộ nhớ được phân bổ cho chương trình này một mình.
    • Bộ làm việc - dung lượng RAM thực tế được phân bổ cho chương trình này bởi Windows.
    • PID  - định danh quy trình.
    • Sự miêu tả - Mô tả, nếu ứng dụng có một.
    • Tên công ty - cái này hữu ích hơn bạn nghĩ Nếu điều gì đó không hoàn toàn đúng, hãy bắt đầu bằng cách tìm kiếm các quy trình không phải của Microsoft.

    Bạn có thể tùy chỉnh các cột này và thêm nhiều tùy chọn khác hoặc bạn chỉ cần nhấp vào bất kỳ cột nào để sắp xếp theo trường đó. Nếu bạn đã từng sử dụng Trình quản lý tác vụ trước đây, có lẽ bạn đã sắp xếp theo Bộ nhớ hoặc CPU và bạn cũng có thể làm điều đó tại đây.

    Nhấp vào Quá trình sẽ chuyển giữa sắp xếp theo tên quy trình hoặc quay lại chế độ xem dạng cây mặc định, rất hữu ích khi bạn đã quen với nó.

    Chế độ xem được cập nhật một lần mỗi giây, nhưng bạn có thể truy cập Xem -> Tốc độ cập nhật và tùy chỉnh tần suất cập nhật, mức thấp nhất là 0,5 giây và mức cao nhất là 10 giây. Nếu bạn đang sử dụng nó để khắc phục sự cố, giá trị mặc định có thể tốt, nhưng nếu bạn muốn sử dụng nó làm màn hình CPU trong khay hệ thống, 5 hoặc 10 giây có thể sử dụng ít CPU hơn trong khi chạy ở chế độ nền.

    Bạn cũng có thể tạm dừng chế độ xem trong cùng menu phụ hoặc chỉ cần nhấn vào thanh Space. Điều này sẽ đóng băng chế độ xem dưới dạng ảnh chụp nhanh, có thể hữu ích nếu bạn đang cố xác định một quy trình bắt đầu và nhanh chóng chết hoặc nếu bạn đã quyết định sắp xếp theo mức độ sử dụng CPU và tất cả các hàng tiếp tục nhảy xung quanh.

    Tuy nhiên, trong trường hợp quy trình đóng nhanh, bạn sẽ muốn thêm các cột bổ sung vào chế độ xem mặc định cho bất kỳ điều gì bạn có thể cần biết, vì nhấp vào quy trình không còn tồn tại trong danh sách sẽ không hiển thị nhiều trong chế độ xem chi tiết nếu Quá trình không chạy, ngay cả khi bạn tạm dừng mọi thứ.

    Hiểu tất cả những màu sắc đó

    Chắc chắn có rất nhiều màu sắc trong danh sách Process Explorer điển hình, có thể gây nhầm lẫn cho người mới bắt đầu. Điều thực sự quan trọng là tìm hiểu ý nghĩa của tất cả các màu này, bởi vì chúng không chỉ ở đó để trưng bày - mỗi màu đều có ý nghĩa quan trọng.

    Bất cứ khi nào bạn không thể nhớ một trong những màu có nghĩa là gì, bạn có thể đi tới Tùy chọn -> Định cấu hình Màu trên menu để kéo hộp thoại Chọn màu. Đây về cơ bản là một bảng cheat nhanh chóng cho tất cả mọi thứ có nghĩa là gì. Hãy tiếp tục đọc, vì chúng ta sẽ giải thích nó ở đây là tốt.

    Dựa trên các màu trong hình trên, đây là ý nghĩa của từng mục được chọn (những mục khác không thực sự quan trọng).

    • Đối tượng mới (Màu xanh lá cây tươi sáng) - Khi một quy trình mới xuất hiện trong Process Explorer, nó bắt đầu có màu xanh sáng.
    • Đối tượng đã xóa (Đỏ) - Khi một quá trình bị giết hoặc đóng, nó thường sẽ nhấp nháy màu đỏ ngay trước khi xóa.
    • Quy trình riêng (Light Blueish) - Các quy trình chạy cùng một tài khoản người dùng như Process Explorer.
    • Dịch vụ (Hồng nhạt) - Các quy trình của Windows Service, mặc dù đáng lưu ý rằng chúng có thể có các quy trình con được khởi chạy với tư cách là một người dùng khác và chúng có thể có màu khác.
    • Quá trình treo (Xám đậm) - Khi một quá trình bị đình chỉ, nó không thể làm bất cứ điều gì. Bạn có thể dễ dàng sử dụng Process Explorer để tạm dừng một ứng dụng. Đôi khi, các ứng dụng bị lỗi sẽ hiển thị nhanh màu xám trong khi Windows đang xử lý sự cố.
    • Quá trình nhập vai (Màu xanh tươi sáng) - Đây chỉ là một cách thú vị để nói rằng quy trình này là một ứng dụng Windows 8 sử dụng các API mới. Trong ảnh chụp màn hình trước đó, bạn có thể nhận thấy WShost.exe, đây là một quá trình lưu trữ trên máy chủ lưu trữ Windows của Windows, chạy các ứng dụng Metro. Vì một số lý do, Explorer.exe và Trình quản lý tác vụ cũng sẽ hiển thị dưới dạng nhập vai.
    • Hình ảnh được đóng gói (Màu tím) - các quy trình này có thể chứa mã nén được ẩn bên trong chúng hoặc ít nhất Process Explorer nghĩ rằng chúng thực hiện bằng cách sử dụng phương pháp phỏng đoán. Nếu bạn thấy quy trình màu tím, hãy đảm bảo quét phần mềm độc hại!

    Vì rõ ràng có sự chồng chéo giữa các kịch bản khác nhau, màu sắc sẽ được áp dụng theo thứ tự ưu tiên. Nếu một quy trình là một dịch vụ và bị đình chỉ, nó sẽ hiển thị màu xám đậm vì màu đó quan trọng hơn.

    Từ những gì chúng tôi đã học được trong khi nghiên cứu, đơn hàng bị treo> Đóng gói> Nhập vai> Dịch vụ -> Quy trình riêng.

    Xác minh danh tính ứng dụng

    Một tùy chọn thực sự hữu ích mà chúng tôi ngạc nhiên không được bật theo mặc định được tìm thấy tại Tùy chọn -> Xác minh chữ ký hình ảnh.

    Tùy chọn này sẽ kiểm tra chữ ký số cho từng tệp thực thi trong danh sách, đây là công cụ khắc phục sự cố vô giá khi bạn đang xem một số ứng dụng đáng ngờ đang chạy trong danh sách.

    Phần lớn các phần mềm có uy tín nên được ký điện tử tại thời điểm này. Nếu có gì đó không ổn, bạn nên xem xét kỹ xem bạn có nên sử dụng nó không.

    Thực hiện hành động trên một quy trình

    Bạn có thể nhanh chóng thực hiện hành động trên bất kỳ quy trình nào bằng cách nhấp chuột phải vào nó và chọn một trong các tùy chọn hoặc bằng cách sử dụng các phím tắt nếu bạn muốn. Những lựa chọn bao gồm:

    • Cửa sổ - có các tùy chọn bao gồm Đưa ra Mặt trận, có thể hữu ích để giúp xác định cửa sổ được liên kết với một quy trình. Nếu không có cửa sổ cho quá trình đó, nó sẽ chuyển sang màu xám.
    • Đặt mức độ ưu tiên - bạn có thể sử dụng điều này để cấu hình mức độ ưu tiên của một quá trình. Điều này chủ yếu hữu ích để thuần hóa một quy trình chạy trốn mà bạn không muốn giết.
    • Quá trình tiêu diệt - đúng như bạn tưởng tượng, điều này nhanh chóng giết chết quá trình đó.
    • Giết cây quy trình - Điều này giết chết không chỉ các mục trong danh sách, mà cả con cái của quá trình cha mẹ đó.
    • Khởi động lại - cực kỳ hữu ích trong khi thử nghiệm, điều này chỉ giết chết quá trình và sau đó khởi động lại nó. Điều đáng chú ý là các quá trình tiêu diệt có thể dẫn đến mất dữ liệu.
    • Đình chỉ - tùy chọn tiện dụng này rất tốt để khắc phục sự cố khi một quá trình nằm ngoài tầm kiểm soát. Bạn chỉ có thể tạm dừng quá trình chứ không phải giết nó và kiểm tra xem có gì hết.
    • Kiểm tra VirusTotal - đây là một lựa chọn mới mà chúng tôi sẽ giải thích thêm. Nó thực sự khá tiện dụng, vì nó kiểm tra quá trình tìm virus.
    • Tìm kiếm trực tuyến - điều này sẽ chỉ tìm kiếm trên web tên của quá trình.

    Và rõ ràng nếu bạn mở ra các Thuộc tính sẽ đưa bạn đến thông tin hữu ích hơn nữa về quy trình, phần lớn chúng ta sẽ có trong bài học tiếp theo.

    Chú thích: chúng tôi đã thử nghiệm tùy chọn Temp nhưng không biết nó làm gì.

    Chạy với tư cách quản trị viên

    Mặc dù bạn hoàn toàn không phải chạy Process Explorer với tư cách Quản trị viên, nhưng không thực hiện quá nhiều tính năng hữu ích sẽ không hoạt động và bạn sẽ không thể xem nhiều thông tin về mỗi quy trình.

    Nếu bạn đang chạy trên Windows XP hoặc 2003, bạn sẽ cần phải chạy như một tài khoản có đầy đủ quyền Quản trị viên để sử dụng hầu hết các tính năng. Đây có lẽ không phải là vấn đề đối với hầu hết mọi người, vì dù sao XP cũng cấp cho tài khoản mặc định đầy đủ các đặc quyền, nhưng nếu bạn đang cố gắng sử dụng điều này tại nơi làm việc mà không có quyền truy cập của quản trị viên, thì nó cũng sẽ không hoạt động tốt.

    Vì hầu hết độc giả của chúng tôi đang sử dụng Windows 7, 8.x hoặc thậm chí Vista, có lẽ bạn sẽ quen với việc chạy một ứng dụng với tư cách Quản trị viên. Thật dễ dàng, chỉ cần nhấp chuột phải và chọn tùy chọn từ menu.

    Sự thật thú vị: Process Explorer thực sự sử dụng đặc quyền Chương trình gỡ lỗi, đi một chặng đường dài để giải thích lý do tại sao nó lại mạnh mẽ như vậy.

    Buộc Process Explorer luôn mở với tư cách quản trị viên

    Nếu bạn muốn đảm bảo rằng Process Explorer luôn mở với tư cách Quản trị viên mà không cần phải nhấp chuột phải vào nó, bạn có thể buộc nó bằng cách tạo một phím tắt đặc biệt yêu cầu chế độ Quản trị viên hoặc bằng cách mở Thuộc tính cho procexp.exe, đi tới Khả năng tương thích, sau đó chọn tùy chọn cho chương trình này Chạy chương trình này với tư cách quản trị viên.

    Dù bằng cách nào cũng sẽ hoạt động tốt hoặc bạn cũng có thể vô hiệu hóa UAC nếu bạn thích, điều này làm cho mọi thứ luôn luôn chạy với tư cách quản trị viên. Chúng tôi không khuyến nghị điều đó, nhưng bạn có thể làm được.

    Sử dụng Process Explorer để thay thế Trình quản lý tác vụ

    Process Explorer từ lâu đã được sử dụng như một sự thay thế mạnh mẽ cho ứng dụng Trình quản lý tác vụ thiếu máu trước đây trong mọi phiên bản Windows trước Windows 8 và giả sử bạn muốn có một sức mạnh thực sự trong tay, nó cũng hoạt động tốt như một sự thay thế trong phiên bản đó..

    Chú thích: Trình quản lý tác vụ của Windows 8 được cải tiến rất nhiều so với các phiên bản trước. Nó vẫn không mạnh bằng Process Explorer, nhưng những người bình thường có thể sử dụng dễ dàng hơn. Vì vậy, đừng thay đổi máy tính của mẹ thành mặc định thành Process Explorer.

    Để làm cho Process Explorer thay thế Trình quản lý tác vụ, tất cả những gì bạn phải làm là chọn Tùy chọn -> Thay thế Trình quản lý tác vụ từ menu. Đó là nó.

    Khi bạn đã thực hiện điều đó, sử dụng CTRL + SHIFT + ESC hoặc nhấp chuột phải vào Thanh tác vụ sẽ khởi chạy Process Explorer thay vì Trình quản lý tác vụ. Dễ thôi?

    Cảnh báo: nếu bạn thay thế Trình quản lý tác vụ, hãy chắc chắn rằng bạn đã đặt Process Explorer ở một nơi mà bạn sẽ không vô tình di chuyển hoặc xóa tệp. Nếu không, bạn sẽ bị mắc kẹt với một hệ thống không thể khởi chạy bất kỳ Trình quản lý tác vụ.

    Sử dụng Process Explorer làm Trình giám sát biểu tượng khay tuyệt vời

    Một trong những tính năng tốt nhất của Process Explorer là khả năng thu nhỏ nó vào khay hệ thống, nhưng thay vì chỉ một biểu tượng duy nhất, nó có thể thu nhỏ thành một bộ biểu tượng đầy đủ có thể giám sát CPU, I / O, Đĩa, Mạng, GPU và RAM, hoặc bất kỳ sự kết hợp nào của chúng. Bạn có thể định cấu hình chúng để hiển thị riêng biệt hoặc hoàn toàn không, nếu bạn thích.

    Để thiết lập tính năng này, hãy mở menu Tùy chọn, đi tới phần Biểu tượng Khay và sau đó nhấp để bật từng biểu tượng khay mà bạn muốn xem.

    Bạn chỉ có thể chạy Process Explorer mỗi khi bạn bắt đầu chạy máy tính của mình, sau đó thu nhỏ nó vào khay hệ thống để nó luôn ở đó cho bạn. Và, tất nhiên, nếu bạn đã sử dụng tùy chọn để thay thế Trình quản lý tác vụ, bạn có thể nhanh chóng truy cập nó bất kỳ lúc nào bằng phím tắt - mặc dù bạn có thể muốn sử dụng tùy chọn của Cho phép chỉ một trường hợp để đảm bảo bạn không mở bó cửa sổ riêng biệt.

    Sử dụng Process Explorer để nhanh chóng tìm kiếm VirusTotal

    Nếu bạn đang làm việc trên một PC gặp sự cố và muốn tìm hiểu xem một quy trình có phải là vi-rút không, bạn có thể tiết kiệm thời gian cho mình bằng cách sử dụng Process Explorer phiên bản 16 trở lên, vì họ đã thêm trực tiếp tích hợp VirusTotal vào ứng dụng. Chỉ cần nhấp chuột phải vào bất cứ điều gì trong danh sách để xem tùy chọn.

    Lần đầu tiên bạn chạy nó, bạn sẽ được yêu cầu chấp nhận các điều khoản sử dụng của VirusTotal, nhưng sau khi bạn làm như vậy, bạn sẽ thấy kết quả VirusTotal hiển thị ngay trong danh sách.

    Bạn có thể nhấp vào kết quả để đi đến VirusTotal và xem chi tiết. Đây là một bổ sung mới tuyệt vời cho một trong những tiện ích tốt nhất.

    Bài học tiếp theo: Sử dụng Process Explorer để khắc phục sự cố và chẩn đoán

    Trong bài học tiếp theo trong loạt bài của chúng tôi, chúng tôi sẽ đi sâu hơn về cách sử dụng Process Explorer trong một số tình huống trong thế giới thực để khắc phục các sự cố phổ biến như phần mềm độc hại và crapware. Hãy chắc chắn để theo dõi phần còn lại của loạt bài.

    Hiểu về yếu tố giả trước và sau
    Hiểu về Bộ định tuyến, Chuyển mạch và Phần cứng Mạng
    Hiểu về tốc độ truyền dữ liệu mạng LAN
    Bài viết tiếp theo
    Hiểu quy trình giám sát
    Bài báo trước
    Hiểu các tương tác vi mô trong thiết kế ứng dụng di động