[ 应急响应基础篇 ] 使用 Process Explorer 进程分析工具分析系统进程(附Process Explorer安装教程)

最新推荐文章于 2024-05-12 05:19:31 发布
最新推荐文章于 2024-05-12 05:19:31 发布
阅读量2.7k 收藏 12
点赞数 5
分类专栏: 应急响应入门到精通 文章标签: 应急响应基础篇 ProcessExplorer 进程分析工具 分析系统进程 Explorer安装教程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51577576/article/details/129973805
版权

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

一、环境介绍

在应急响应过程中,进程分析是至关重要的。
这里简单介绍一下windows官方提供的进程分析工具Process Explorer,包含他的简单介绍,下载及其简单使用。

二、Process Explorer介绍

Process Explorer可以看成是一个加强版的任务管理器。
在较早的Windows版本中,任务管理器提供的功能是非常简单的(比如查看CPU、内存的使用情况,强制结束进程等),很难满足我们高级一些的需求。在这种情况下,Process Exploere就应运而生了,大大的方便了我们工作中监测进程和排除故障的工作。
这里我会从实际应用的角度对Process Explorer的一些功能点进行简单的介绍。

三、Process Explorer下载

Process Explorer是微软官方提供的,直接在官网下载就可以了
官网下载:

https://learn.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

四、Process Explorer使用

1、替换任务管理器

Process Explorer提供了相对与任务管理器更加强大实用的功能,所以有的时候就会想着直接把任务管理器给替换掉得了。
Process Explorer提供了这样一个功能,可以在用户触发打开任务管理器的操作的时候直接打开Process Explorer。

1.操作步骤

选项(Options) --> 替换任务管理器(Replace Task Manager)

在这里插入图片描述

2.替换成功

之后在我们运行任务管理器打开的就是Process Explorer了。

3.taskmgr打开

taskmgr

在这里插入图片描述

4.Ctrl+Shift+Del打开

Ctrl+Shift+Del的时候打开任务管理器

在这里插入图片描述

2、查看当前系统中运行的进程

1.树形图展示进程

Process Explorer对进程以树形图的形式进行展示,这样方便我们观察父子进程之间的关系。从这里我们可以看出来,绝大部分的窗体应用程序都是wininit.exe的子进程

在这里插入图片描述

2.颜色标示不同状态的进程

Process Explorer会以不同的颜色标示不同状态的进程

在这里插入图片描述

这里我弄了一个中英文对照,因为我有汉化版,汉化版下载链接在文末给出

在这里插入图片描述

3.选择显示不同字段

我们还可以通过右键点击右侧列头选择显示我们感兴趣的属性

在这里插入图片描述

这里我弄了一个中英文对照,因为我有汉化版,汉化版下载链接在文末给出

在这里插入图片描述

3、查看进程的详细信息

如果我们对某个进程的感兴趣,我们可以双击这个进程查看它的详细信息Command line和Current directory这两个属性比较重要。

Command line: 
启动进程的时候调用的命令。从这里我们可以了解怎么样去调用这个进程,和有关当前进程启动的详细信息。
Current directory: 
当前进程活动所在的文件夹。

在这里插入图片描述

4、查看文件正在被什么进程占用

我们在操作文件(删除、重命名等)的时候遇到错误提示,说文件正在被其他进程占用,无法执行操作。这个时候可以打开Process Explorer对文件进行查找:

Ctrl + f

输入要查找的文件名就可以看到有那些进程正在使用这个文件了,双击搜到的进程Process Explorer会在下面高亮显示出对应的文件句柄。
从这里我们可以强制关闭对应的句柄以达到不让文件被继续占用的目的。

在这里插入图片描述

5、实时监控系统的性能

通过视图(View) --> 系统信息(System Info)我们可以打开Performance窗口查看过去一段时间内系统的性能数据

在这里插入图片描述

我们也可以通过设置把感兴趣的性能数据固定在任务栏里显示

在这里插入图片描述

6、获取Dump文件

Dump文件是进程的内存镜像,通常在进程没有反应或者崩溃的时候我们需要借助Dump文件来分析进程里面发生了什么,Process Explorer提供了一个快捷的方式来获取Dump文件。
直接右键,创建就可以了Create Dump
我们可以根据需要选择获取最小的dump还是完整的dump文件。

在这里插入图片描述

7、官方文档

Process Explorer是很强大的,还有很多的功能这里就不详细介绍了,有需要的可以看官方文档,链接如下

https://windowsexplored.com/2012/01/31/resolve-symbols-in-process-explorer-monitor-without-installing-the-debugging-tools/

五、相关资料

1、Process Explorer英文版
2、Process Explorer中文版
3、Process Explorer官方文档

_PowerShell
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
电脑技巧:进程管理工具Process Explorer介绍
IT技术分享社区
11-02 5988
Process Explorer本来是Sysinternals的产品,已经被微软收购,成为了微软旗下进程管理的神兵利器,可以把它当作微软任务管理器的增强工具。大家可以到微软的官方网站去下载Process Explorer。它属于免安装软件,解压后直接运行即可。
Process Explorer】超强任务管理器Process Explorer使用
qq_43331089的博客
06-21 2091
使用者能了解看不到的在后台执行的处理程序,能显示目前已经载入哪些模块,分别是正在被哪些程序使用着,还可显示这些程序所调用的DLL进程,以及他们所打开的句柄。最大的特色就是可以中终任何进程,甚至包括系统的关键进程
2024年网络安全最新Process Explorer下载安装使用教程(图文教程)超详细(1),2024年最新网络安全开发基础课程
最新发布
2401_84520332的博客
05-12 860
点击左上角的「树形图标」,会以「树形结构」展示进程间的「父子」关系。
Process Explorer简易图文教程
qq_23350817的博客
04-01 2542
process explorer进程浏览器,用来查看计算机上运行的进程的状态(CPU、内存、句柄、加载dll、线程及堆栈等)。 查看进程CPU、内存 打开工具主界面就能看到PID、CPU、内存使用等情况,页面布局和资源管理器类似。 查看进程加载的DLL文件、句柄 在上方菜单栏或者工具栏打开show lower pane。如下: 点击View Handles,显示该进程的句柄信息。 3. 查看进程线程及堆栈 在主界面上,双击某进程,可以打开该进程的属性页,如下: 这里可以看到该进程的模块信息
工具推荐系列:Windows系统查看各个进程/网速/CPU的软件(查看系统资源工具)
热门推荐
$firecat利白的代码足迹$
02-03 1万+
★Windows自带工具:资源监视器,C:\Windows\System32\perfmon.exe 如果是Win10/Win7系统 1、 打开 Ctrl+Alt+Del【任务管理器】 2、换到【性能】标签页,点击底部文字【打开资源监视器】,即可打开资源监视器工具 如果是WinXP系统 按Win + R打开运行,输入perfmon.exe,可打开资源监视器工具 资源监视器网络查看方法:.....................
Process Explorer下载安装使用教程(图文教程)超详细
xwnxwn的专栏
04-04 225
这样会被进程替换技术绕过。选中可疑进程,双击或右键 - Properties,检查Image标签,点 Verify 验证签名,(红框圈中的地方)显示verified,说明签名合法,(大概率)不是可疑文件。随便打开一个文件(这里用文本文档),长按上方的靶标,拖拽到程序窗口上,Process Explorer 会自动选中程序对应的进程并高亮显示。遇到无法确认的进程时,比如想知道广告弹窗是哪个进程,可以点左上角的「靶标图标」,摁住靶标「拖动」到目标窗口上,即可跳转到对应的进程。杀软也会从这里提取病毒特征码。
ProcessMonitor实现进程文件和注册表监控
weixin_38526093的博客
05-14 6611
对于文件、网络等监控亦是如此,进程的启动和执行离不开对于文件的读写,,相信很多人都碰到DLL文件找不到但是却又不知道DLL放在哪个路径的问题,而这个工具能捕获进程的所有文件读写信息,正好解决了这种问题。一般我们监控指定进程可以使用processName和PID,以谷歌浏览器为例,它的进程名是chrome.exe,那么就可以根据 "processName is chrome.exe"来监控所有的chrome.exe进程了,因为chrome.exe一般是多进程模式,如果定位单个进程,那么就需要指定PID了。
python进程管理工具supervisor的安装与使用教程
09-21
supervisor是用python写的一个进程管理工具,用来启动,重启,关闭进程。下面这文章主要给大家介绍了关于python实现的进程管理工具supervisor的安装与使用的相关资料,需要的朋友可以参考借鉴,下面来一起看看吧。
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查 第02章:日志分析 第03章:...
Android系统进程间通信(IPC)机制Binder中的Client获得Server远程接口过程源代码分析
01-20
在上一文章中,我们分析了Android系统进程间通信机制Binder中的Server在启动过程使用Service Manager的addService接口把自己添加到Service Manager守护过程中接受管理。在这一文章中,我们将深入到Binder驱动...
linux下通过go语言获得系统进程cpu使用情况的方法
09-15
在Linux环境下,获取系统进程CPU使用情况是监控系统性能的重要环节。Go语言作为一种强大的系统编程语言,提供了丰富的标准库,使得我们可以方便地调用操作系统接口。本文章将详细介绍如何使用Go语言结合Linux的`ps...
超线程软件ProcessTamer2.11.01汉化版
12-24
一个能实现类似超线程功能的软件Process Tamer,电脑防死机专家,能让CPU拥有超线程能力的软件。 超线程技术让Intel处理器获得性能提升,同时让CPU工作效率更快。但是只有部分Intel用户才能享受这一功能,对于AMD以及Intel非超线程CPU而言,超线程技术对他们似乎就无缘了。事实上,超线程技术不仅提升了性能,同时也具有资源分配功能,该功能可以带来更快的程序执行效率。这因为如此我们才有幸借助Process Tamer这款软件,让非超线程CPU摇身一变为超线程CPU。 实现原理 在赛扬D、低端P4以及AMD处理器上,并没有采用超线程技术,这样用户就享受不到超线程技术带来的好处,但Process Tamer软件可以成全这些用户。该软件的工作原理是自动调节进程优先级,并自动判断应用程序对处理器的占用率,再由占用率进而自动调整软件的执行优先权,并将适当的资源分配给其他正在同时执行的应用程序;等到该其他软件执行结束或是不再一直占用CPU资源后,就会自动调回CPU使用率,这样的工作原理正类似超线程技术。 实现方法 运行Process Tamer软件后,软件会以最小化的方式运行在任务栏托盘,当检测到CPU资源占用过高时,会自动降低对应程序的优先级,同时显示如图1所示的弹出消息。当对应程序占用过高的CPU资源被释放后,软件会还原程序运行的优先级,这样就充分利用了CPU的资源,让CPU工作的效率更快。 但有时进行一些更复杂的工作时,比如3D游戏、图形处理软件、视频电影播放以及DVD光盘刻录等,此时我们不希望软件进行自动调整程序优先级,那么可以手动进行设置,用鼠标有键点任务栏右小角的“Process Tamer”图标,然后选择“Configure”进入软件主界面 进入“Process”选项卡,首先可以看到目前正在运行的程序进程,同时显示了各程序所占用CPU资源的情况,如果你不希望某个程序进行自动调整程序优先级,可以鼠标左键点“Priority”旁边的三角箭头,然后在下拉菜单下选择对应程序的优先程度,其中“IGNORE”表示忽略该程序,不调整该程序的优先级;“HIGH”表示高优先级;“IDLE”表示低优先级;“KILL”表示关闭应用程序。 如果你希望预设某个特殊软件,比如你经常用Realplay播放网上电影,希望对Realplay进行特殊性能优化以获得更流畅的播放速度,那么可以进入“Configuration”选项卡,然后点“浏览”图标选择Realplay安装目录下的Realplay.exe执行文件,接着按自己的需要设置好参数,最后点选“Start with Windows”让每次开机时自动运行 Process Tamer,正如其名,“进程驯服手”,大概作者的原意就是把不驯服的进程当野兽一样驯服,所以称 Process Tamer。网络上一直流传 Process Tamer 是(HT)超线程能力的软件,其实这是以讹传讹,Process Tamer 离超线程差得有十万八千里,不知这“超线程”一说从何而来。不过话又说回来,Process Tamer 确实有其独到之处,它独到在哪里呢?独到在它会自动调整进程的优先级,在某些进程狂吃 CPU 的时候把它降低,在不足的时候又把它调高,这样,就把电脑死机的可能性降到了最低,再也不会出现打开一个软件直接让电脑重启的情况了。基于这一点,把 Process Tamer 称为“电脑防死机专家”。有了 Process Tamer,会大大降低你的电脑死机的
ProcessExp
06-01
调试,查看windows平台进程的好工具,可以看到进程调用了那些dll
process explorer ver16.21 中文
06-24
process explorer ver 16.21 中文版 x86 + x64 进程查看搜索神器
Windows Process Analysis Tools (Windows程序分析工具源码)
11-27
主要功能:查看进程,线程,模块,堆内存,窗口,挂起线程,结束线程,卸载模块,CPU使用率,内存使用率,加pe文件解析,支持查看导入表,导出表,重定位表,资源表,TLS表,延迟加载等.. 加功能:dll注入(win32/x64),无模块Pe加载注入,R3 inlineHook实现进程隐藏,内置反汇编引擎实现代码注入 其他功能:分析文件MD5,一键隐藏窗口(alt+win+z),设置进程优先级,托盘管理,增删用户,内存清理,窗口重置,等等无聊的功能都写里面了... 学习了小半年的编程了 写出来还是有点成就感的 涉及的知识【MFC编程,Windows核心编程,C++,注入和hook】
win进程监控工具 Procmon
10-18
Procmon系统进程管理器是一个功能强大的系统检测工具,不但可以监视进程/线程,还可以关注到文件系统,注册表的变化.
HideProcess完结.zip_c++ 进程隐藏_c++隐藏进程_隐藏进程_隐藏驱动_驱动隐藏进程
07-15
本资源"HideProcess完结.zip"聚焦于C++编程实现的进程隐藏及驱动级隐藏技术。这些技术涉及操作系统内部工作原理,特别是Windows系统,是系统安全、恶意软件防御和逆向工程中的重要组成部分。 首先,我们要理解...
windows进程管理器_探究 Process Explorer 进程树选项灰色问题
weixin_39632471的博客
10-28 368
本文为看雪论坛优秀文章看雪论坛作者ID:jishuzhain前言Process Explorer是由SysInternals创建的用于Microsoft Windows的免费任务管理器和系统监视器,SysInternals已被Microsoft收购并重新命名为Windows Sysinternals。Process Explorer可以看成是一个加强版的任务管理器。在较早的Windows...
使用Process Explorer和Clumsy工具定位软件高CPU占用问题
dvlinker的技术专栏
04-09 1万+
详细讲述如何使用Process Explorer和Clumsy去定位软件高CPU占用问题。
python 短进程优先算法_一文章搞懂Python之进程基础
05-28
进程优先算法(Shortest Process Next,简称SPN)是一种进程调度算法,其核心思想是优先调度需要执行时间最短的进程。在SPN算法中,每个进程都有一个预计执行时间,调度器会选择预计执行时间最短的进程先执行。 在Python中,可以使用multiprocessing模块来创建和管理进程。该模块提供了Process类,可以用来创建新进程。下面是一个简单的例子: ```python import multiprocessing def worker(): print('Worker') if __name__ == '__main__': p = multiprocessing.Process(target=worker) p.start() ``` 在上面的例子中,我们定义了一个函数worker,该函数将在新进程中执行。然后,我们创建了一个名为p的新进程,并将该进程的目标设置为worker函数。最后,我们启动了该进程。 除了Process类外,multiprocessing模块还提供了其他有用的功能,如进程池和队列。进程池可以用来管理多个进程,从而更好地利用CPU资源。队列可以用来在不同进程之间传递数据。 总之,Python提供了丰富的进程管理功能,可以轻松地实现短进程优先算法和其他进程调度算法。通过合理地利用这些功能,我们可以编写出高效可靠的多进程应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_PowerShell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值