Anbefalet, 2024

Redaktørens Valg

Få detaljerede oplysninger om skjulte Windows-processer

Har du nogensinde gået til Task Manager i Windows og klikket på fanen Process kun for at se, at svchost.exe optager 100% af din CPU? Nå, det hjælper desværre ikke dig med at finde ud af, hvilket program i Windows faktisk bruger op på den pågældende processorkraft.

I Windows er der mange processer, som SVCHOST, der rent faktisk kan køre flere forskellige Windows-tjenester, såsom Windows Update, DCOM, Remote Procedure Call, Remote Registry, DNS og meget mere. Eller måske skal du bare finde ud af, hvilke DLL'er der er indlæst, og hvilke håndtag er åbne for en bestemt proces. Du kan også have disse oplysninger, så du kan deaktivere Windows-opstartsprogrammer.

Absolut, hvis du arbejder i IT, vil der være et tidspunkt, hvor du skal få mere information om en Windows-proces. Der er to virkelig nyttige værktøjer til at udforske Windows-processer i detaljer, og jeg vil give et kort overblik over begge.

Process Explorer

Process Explorer er en nifty freeware applikation, som lader dig finde ud af den nøjagtige Windows-tjeneste eller -program, der ejer en bestemt proces. Hvis du f.eks. Vil vide den tjeneste, der kører for hver af de forskellige svchost- processer, skal du bare holde musen over procesnavnet.

Du kan også bruge Process Explorer til at finde ud af, hvilket program der har en bestemt fil eller mappe, og så dræb den processen. Dette er godt, hvis du forsøger at slette eller flytte filer, men de er låst eller åbne ved en aktiv Windows-proces.

Du kan også finde ud af, hvilke DLL'er processen har indlæst, og hvilke filer der håndterer processen, der for øjeblikket er åben. Det er meget nyttigt at finde ud af DLL-version problemer eller spore håndtag lækager.

Process Monitor

Process Explorer er derfor fantastisk til at lære om kryptiske processer som svchost osv., Men du kan bruge Process Monitor til at få realtidsfil, registreringsdatabase og proces / trådaktivitet. Jeg kan godt lide Process Monitor, fordi det er en kombination af RegMon og FileMon, to store overvågningsprogrammer fra Sysinternals.

Det er et godt værktøj til fejlfinding af dit system og også for at udrydde skadelig malware. Da Process Monitor giver dig mulighed for at se præcis, hvilke filer og registreringsnøgler der er adgang til af en proces i realtid, er det godt, at alle filer og registreringsdatabasen er tilføjet, når du installerer et nyt program.

Det fanger også mere detaljerede oplysninger om en proces som billedbane, bruger, session ID og kommandolinje.

Når du først åbner Process Monitor, kan det være ganske skræmmende, fordi det vil indlæse tusindvis af poster og for det meste ting, som systemets processer gør. Du kan dog bruge de avancerede filtre til at finde præcis, hvad du leder efter.

I filterdialogen kan du filtrere efter procesnavn, hændelsesklasse, PID, session, bruger, version, tidspunkt på dagen og meget mere. Efter oploadning af Process Monitor fandt jeg 800.000 begivenheder på min maskine! Men jeg kan bringe det ned til mindre end 500 ved at tilføje filtre for at finpudse på en proces.

Det har også mange andre avancerede funktioner som overvågning af image (DLL og kernel mode enhedsdrivere), ikke-destruktiv filtrering, indfangning af trådstabler, avanceret logning, logging af boot tid og meget mere.

Så hvis du nogensinde ville vide mere eller få mere information om disse Windows-processer i Task Manager, så tjek Process Monitor og Process Explorer! God fornøjelse!

Top