Как использовать Process Monitor и Process Explorer

Часто ли вы используете Диспетчер задач на своем ПК с Windows 10 для отслеживания различных процессов в вашей системе и того, сколько ЦП или памяти они используют? Если это так, вы можете обнаружить, что предпочитаете два альтернативных варианта — Process Monitor или Process Explorer.

Оба являются бесплатными инструментами, которые можно установить на ПК с Windows 10. Они включают ту же информацию, которую вы можете увидеть в диспетчере задач Windows, а также многое другое.

Что такое Process Monitor?

Process Monitor — это бесплатный расширенный инструмент мониторинга, включенный в набор утилит Windows Sysinternals. Он позволяет просматривать подробную информацию обо всех процессах, запущенных в вашей системе.

В частности, это подробности о событиях, запускаемых конкретными процессами.

Следующие поля информации о процессе выбираются по умолчанию при первом запуске приложения.

• Имя процесса
• Дорожка
• Деталь
• Результат
• Операция
• Время суток
• Идентификатор процесса (PID)

Есть 20 дополнительных полей, которые вы можете выбрать, чтобы увидеть еще больше информации о каждом процессе.

Вы не ограничены только просмотром информации о процессе с помощью этого инструмента. Вы также можете установить фильтры для любого поля, чтобы ограничить отображаемые данные, регистрировать события процесса для устранения неполадок и создать дерево процессов, которое позволяет увидеть взаимосвязь между родительскими и дочерними процессами.

Что такое Process Explorer?

Process Explorer — лучший инструмент для понимания того, как различные приложения работают в вашей системе. Благодаря инновационной древовидной структуре он покажет вам, какие файлы, каталоги и другие процессы контролирует каждый родительский процесс.

Вы можете использовать Process Explorer в «режиме дескриптора», который помогает вам увидеть, какое окно обрабатывает каждый процесс, или в «режиме DLL», который показывает вам библиотеки DLL и отображенные в память файлы, открытые каждым процессом.

Это делает Process Explorer чрезвычайно полезным при устранении неполадок или отладке приложений, запущенных на вашем компьютере.

Теперь, когда вы знаете, для чего используется каждая из этих бесплатных утилит SysInternals, давайте подробнее рассмотрим, как вы можете использовать каждую из них на своем ПК с Windows 10.

Как использовать Process Monitor

После извлечения файлов Process Monitor вы увидите разные файлы для запуска утилиты. Если вы используете 64-разрядную систему Windows, выберите файл с именем Procmon64.exe. Если нет, выберите файл Procmon.exe.

Из главного окна монитора процессов вы можете запустить представление, подобное приложению Process Explorer. Это представление в виде дерева процессов. Чтобы просмотреть это, просто выберите небольшой значок документа с изображением древовидной диаграммы на нем.

Некоторая информация, которую вы можете увидеть в этом представлении, включает родительский процесс и все запущенные им процессы. Вы можете увидеть его команду запуска, разработчика приложения (если доступно), как долго оно работает и дату его запуска.

Он не так информативен, как Process Explorer, но позволяет быстро увидеть большую часть той же информации.

Создать фильтр монитора процессов

Вернувшись на главный экран (окно событий процессов), щелкните правой кнопкой мыши любой из процессов и выберите «Изменить фильтр», чтобы обновить фильтр процесса.

В этом окне показано, как работает фильтрация в Process Monitor. Первое раскрывающееся меню позволяет выбрать объект для фильтра. В данном случае это имя процесса. В следующем раскрывающемся списке указан оператор, например, есть, нет, меньше и т. Д. В этом поле вы можете ввести или выбрать фильтр, а также указать, хотите ли вы включить или исключить эти записи.

Когда вы выбираете «Добавить», он добавит этот новый фильтр в ваш список и соответствующим образом изменит общий вид процессов.

Чтобы создать новый фильтр, выберите меню «Фильтр» и выберите «Фильтр».

Откроется то же окно, но с пустым фильтром. Просто выберите каждое раскрывающееся меню, введите элемент фильтра, который вы хотите исключить или включить, и добавьте его в свой список фильтров.

После того, как вы нажмете ОК, он обновит ваше основное представление, чтобы включить новый фильтр.

Самая полезная функция Process Monitor — это регистрация системных событий во время некоторых действий. Вы можете регистрировать системные события следующим образом:

1. Нажмите значок лупы «Захват», чтобы остановить запись.
2. Выберите ластик на бумаге Значок «Очистить», чтобы очистить журнал.
3. Снова нажмите значок захвата, чтобы начать запись.
4. Выберите Фильтр и Включить расширенный вывод.
5. Воссоздайте проблему.
6. Еще раз щелкните значок «Захват», чтобы остановить запись.
7. Выберите значок «Сохранить на диске», чтобы сохранить журнал на свой компьютер.

Вы можете просмотреть журнал, чтобы увидеть все события процесса, которые произошли, когда вы воссоздали проблему или ошибку, которую вы пытаетесь устранить.

Изучение глубже с помощью событий

Когда вы выбираете определенные события в Process Monitor, вы можете изучить более подробную информацию через меню Event.

Выберите событие, которое хотите изучить. Затем выберите меню «Событие» и выберите «Свойства».

Это показывает все свойства для события. Вкладка «Событие» показывает в основном то, что было в главном окне Process Monitor. На вкладке «Процесс» отображаются такие вещи, как путь к приложению и командная строка запуска, а также модули, используемые процессом. На вкладке «Стек» представлены модули, хранящиеся в памяти процессом, и их детали.

Вы можете получить доступ только к вкладке «Стек», выбрав вместо этого «Стек» в меню «События».

Если вы хотите внимательно следить за одним событием, выберите его, а затем выберите меню «Событие» и выберите «Переключить закладку».

Это выделит событие, чтобы его было легче отслеживать.

Вы также можете увидеть записи реестра для любого процесса, выбрав меню «Событие» и выбрав «Перейти к».

Это быстрый способ увидеть любые записи реестра, которые вы можете переключить для настройки этого приложения.

В правой части панели инструментов вы увидите пять значков, которые можно использовать для точной настройки фильтров по умолчанию.

Вы можете использовать их для включения или выключения каждого из следующих фильтров:

• Регистрационная деятельность
• Активность файловой системы
• Сетевая активность
• Активность процессов и потоков
• Профилирование событий

Как использовать Process Explorer

Используйте тот же подход для 32-разрядной или 64-разрядной версии при запуске Process Explorer.

В меню «Просмотр» вы можете настроить отображение информации о процессе на каждой панели.

Используйте представление нижней панели, чтобы изменить отображаемые там данные с дескрипторов на библиотеки DLL.

Самое главное меню здесь — Процесс. Ниже приводится то, что показывает каждый пункт меню и позволяет вам управлять.

Set Affinity показывает, на каких процессорах может выполняться выбранный процесс. Вы можете включить или отключить любой из процессоров, если хотите.

Set Priority позволяет вам увеличивать или дискретизировать приоритет, который CPU дает этому процессу. Это хороший способ устранить проблемы с запаздывающими или медленно работающими приложениями, чтобы убедиться, что это проблема слишком большого количества запущенных других процессов.

Следующие четыре параметра позволяют управлять каждым процессом.

Они включают:

• Kill Process: принудительная остановка отдельного процесса
• Убить дерево процессов: принудительно остановить процесс и все дочерние процессы
• Перезагрузить: остановить и запустить выбранный процесс.
• Приостановить: подозревать выбранный процесс

Вы можете создать файлы дампа или мини-дампа, связанные с выбранным процессом, выбрав меню «Процесс» и выбрав «Создать дамп». Затем выберите, хотите ли вы минидамп или полный дамп.

Если вы выберете Проверить VirusTotal в меню Процесс, Process Explorer отправит хэши для файлов, связанных с процессом, и DLL на VirusTotal.com. VirusTotal просканирует и проанализирует их на предмет вирусной активности. Вам нужно будет согласиться с условиями обслуживания VirusTotal, прежде чем вы сможете использовать эту функцию.

Наконец, если вы выберете «Свойства» в меню «Процесс», вы сможете просмотреть широкий спектр свойств выбранного процесса.

Сюда входит информация, касающаяся производительности, использования графического процессора, общего количества потоков, сетевой активности и многого другого.

Что следует использовать: Process Monitor или Process Explorer?

Хотя эти две утилиты похожи, они не совпадают. Process Monitor лучше использовать, если вам нужно отслеживать, как ваши процессы взаимодействуют с вашей системой. Он позволяет отслеживать и регистрировать события, запускаемые каждым процессом.

Это может помочь вам увидеть, вызывает ли взаимодействие между вашими процессами и вашей системой ошибки или ведет себя ненормально.

Process Explorer, с другой стороны, сильно ориентирован на процессы. Это помогает вам увидеть отношения между родительскими и дочерними процессами. Он также позволяет вам глубже разбираться в параметрах и свойствах каждого процесса, гораздо больше, чем любая другая доступная утилита Windows.

Выберите нужную утилиту в зависимости от того, что конкретно вы устраняете.