超强任务管理器Process Explorer的使用

一、关于Process Explorer

Process Explorer让使用者能了解看不到的在后台执行的处理程序,能显示目前已经载入哪些模块,分别是正在被哪些程序使用着,还可显示这些程序所调用的DLL进程,以及他们所打开的句柄。Process Explorer最大的特色就是可以中终任何进程,甚至包括系统的关键进程!

二、下载地址

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

三、如何使用

1、Process Explorer主界面

树形结构,准确的显示的进程的父子关系。
通过颜色可以判断此进程处于的状态和类型,是挂起还是正在退出,是服务进程还是普通进程。
在这里插入图片描述

2、显示进程的系统信息

右键Process标题栏-选择Select Columns项,选择你要观察进程的某种特定的信息,这里有几个选项,常用的有Process ImageProcess Memory这两个选项卡
在这里插入图片描述
在这里插入图片描述
1.显示进程当前的权限,是系统用户权限还是网络管理员权限还是普通管理员权限(User Name
2.显示进程的文件路径(Image Path
3.显示进程是64位进程还是32位的(Image Type
4.显示进程当前所在的Session IDsession
5.显示进程命令行参数(Command Line)

在这里插入图片描述
显示当前进程的GDI对象个数,内核对象个数,线程个数。

GDI是Graphics Device Interface的缩写,含义是图形设备接口,它的主要任务是负责系统与绘图程序之间的信息交换,处理所有Windows程序的图形输出。
在Windows操作系统下,绝大多数具备图形界面的应用程序都离不开GDI,我们利用GDI所提供的众多函数就可以方便的在屏幕、打印机及其它输出设备上输出图形,文本等操作。

3、显示当前进程所加载的DLL

选择View - Lower Pane View - DLLs
在这里插入图片描述
通过这种方式可以观察,我们的进程是否被其他程序注入DLL,了解当前进程使用了那些编程技术。
在这里插入图片描述
我们可以修改DLL的选项卡让其显示更多的内容,比如DLL基地址,DLL内存相关信息等
在这里插入图片描述

4、显示当前进程所占用的系统资源句柄

选择View - Lower Pane View - Handles
在这里插入图片描述
我们查看当前进程所占用的资源句柄表,分析进程的逻辑:如图下图SunloginClient.exe进程创建了一个Event事件,并且占用一个Log文件,可以检查自己的程序是否有内核句柄泄露。
在这里插入图片描述

5、操控进程以及显示进程的内部信息

操控进程,杀掉进程、重启进程、挂起进程等
在这里插入图片描述
显示进程的内部信息
在这里插入图片描述
查看线程信息
在这里插入图片描述
查看当前进程的环境变量
在这里插入图片描述

6、搜索功能(Ctrl+F)

有时候我们删除某个文件或文件夹的时候,会提示被某个服务占用,无法删除,这个时候,就可以使用搜索功能知道它被谁占用了,比如shell.20200608-082337.log文件被SunloginClient.exe占用了
在这里插入图片描述

  • 22
    点赞
  • 36
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
基本简介   Process Explorer使用者能了解看不到的在后台执行的处理程序,能显示目前已经载入哪些模块,分别是正在被哪些程序使用着,还可显示这些程序所调用的 DLL进程,以及他们所打开的句柄。Process Explorer最大的特色就是可以中终任何进程,甚至包括系统的关键进程!   Process Explorer 的显示有两个子窗口所组成,窗口上方会显示出当前活跃的程序进程,包括它们的详细描述,窗口下方则会显示出通过资源管理器模式运行的应用程序的相关信息,以及它们所调用的DLL和打开的句柄,该版本可以运行在windows NT/2K/XP/2003系统平台 [编辑本段]Process Explorer的独特之处   1.显示被执行的映像文件的完整路径   2.显示进程安全令牌   3.加亮显示进程和线程列表中的变化   4.显示作业中的进程,以及作业的细节   5.显示运行。NET/WinFX应用的进程,以及与.NET相关的细节   6.显示进程和线程的启动时间   7.显示内存映射文件的完整列表   8.能够挂起一个进程   9.能够杀死一个线程 [编辑本段]Process Explorer的现状   由Sysinternals开发的一个高级的Windows系统和应用程序监视工具,目前已并入微软旗下。此版本的Process Explorer 不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框(增加了进程存活时间图表)、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像(DLL和内核模式驱动程序)加载、系统引导时记录所有操作等。   现在Process Explorer 11.21已并入Windows成为Microsoft Process Monitor 1.37。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

林新发

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值