Process Explorer 进程管理及排错利器(上)

最新推荐文章于 2025-04-28 10:05:19 发布
最新推荐文章于 2025-04-28 10:05:19 发布
阅读量2.6k 收藏 3
点赞数 3
分类专栏: 工具软件 文章标签: ProcessExplorer
原文链接:https://www.sysgeek.cn/process-explorer-1/
版权
ProcessExplorer是一款强大的系统监控工具,类似于任务管理器和资源监视器。它提供进程树视图、精确的CPU占用显示、DLL和文件查看、进程挂起等功能。还具备集成VirusTotal快速检查可疑进程的能力。了解不同颜色标识有助于理解进程状态。学会使用ProcessExplorer能有效提升故障排查效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Windows 10

本次的 Sysinternals 系列我将向大家介绍 SysInternals 工具集中最最常用的一个工具 — Process Explorer。相信有很多朋友都知道这个工具,但你知道如何将它用好吗?现在我们就来介绍。

Process Explorer 是一个类似于任务管理器和资源监视器的应用,它自 2001 年首次发布以来历经了 Windows 9x 至支持 Windows 10 的各种 Windows 版本,目前微软还在不断的更新和改进,是我们日常处理故障和排错的必备利器。

Process Explorer可以用来干嘛?

下面我们列举了 Process Explorer 一些常用功能及特性清单,有许多非常有用的功能都掩藏在其不起眼的界面之下,很多时候一个很小的功能和特性就能够帮我们在排错时少走弯路和节约时间,大家一定要用心去发觉。

  • 它默认以进程树的方式显示进程及子进程之间的关系(可开关)且以颜色进行区分让人一目了然
  • 非常精确的 CPU 占用显示
  • 提供替代任务管理器的选项,在 Windows XP/7/Vista/8/10 中都非常有用
  • 可以任务栏托盘图标的方式监视 CPU、磁盘、GPU 和 网络等的使用情况
  • 查看进程加载了哪些 DLL
  • 查看进程打开或锁定了哪些文件或文件夹
  • 查看任何进程的完整信息,包括:线程、内存占用、句柄、对象和其它几乎任何你想知道的内容
  • 可以直接 Kill 掉整个进程树
  • 可以将进程挂起(暂停),冻结其所有线程
  • 强大到可以查看线程的CPU使用率
  • 从 v16 版本开始集成了VirusTotal,可以快速验证是否是病毒

看到 Process Explorer 如此强大的功能,是不是感觉为任务管理器找了一个强有力的超级替身!下面我们就来介绍主界面。

树状视图

如果你是首次使用 Process Explorer,执行之后便可以看到一个满是 CPU、内存使用情况的进程树状视图展示在你眼前。在整个界面的右上方会有 5 个小窗格子分别显示了 CPUSystem Commit(已提交内存)、Physical Memory(物理内存)、I/OGPU 的小方块,用鼠标点击会以弹出窗口的方式显示详细信息。

Process Explorer

大家看到的主界面专业名词解释如下:

  • Process – 可执行文件的进程名称
  • CPU – 过去 1 秒该进程的 CPU 时间
  • Private Bytes – 分配给该进程的内存大小
  • Working Set – Windows 实际分配给该进程的内存大小
  • PID – 进程标识符(重启程序有可能会变)
  • Description – 应用的描述信息
  • Company Name – 应用的发行商名称(通过该信息进行排序用于帮助我们快速查找非知名厂商的应用程序进程)

关于术语:其实以上都是 Windows 专业术语中的一部分,如果你对 Windows 的内部原理或术语有兴趣,我推荐研读《Windows Internals》,目前出到第 6 版。

相信大家通过查看主界面都有一个很简单的认识了,其实平常对于任务管理器的常用操作在 Process Explorer 中都适用。我们可以根据不同的列(例如 CPU 或内存占用)进行排序,也可使用右键来选择需要的信息扩充出更多的列。

Process Explorer

默认情况下,界面中的信息的数据会每秒刷新一次,你可以在 View(查看)— Update Speed(刷新速度)中去定义数据的刷新速度,最快为 0.5 秒,最慢为每 10 秒刷新一次。

建议:如果你正在使用 Process Explorer 进行排错,默认刷新值就非常合适,如果你准备长期将其驻留后台运行,5 秒或 10 秒的刷新率可以减少 CPU 占用。

如果你当前的系统中不断有进程在创建和退出,可能就会出现主页面里面看到内容不断在闪动,这样非常不利于我们查看和查找相关信息。此时,我们可以直接按下空格键,Process Explorer 便会将当前信息“快照”并暂停,以方便我们查看。

Process Explorer

了解不同的颜色区分

Process Explorer 的主界面中对不同进程五花八门的颜色标识,最容易让初学用户感觉眼花缭乱。其实不同的颜色标识是有其各自意义的,了解不同的颜色分类也非常有必要。

点击 Options(选项)— Configure Colors(配置颜色)会弹出一个颜色选项的对话框,里面标识了不同颜色分类所表示的意义,我们可以根据自己的喜好进行自定义。

Process Explorer

  • New Objects – Windows 新创建的进程默认以亮绿色进行显示
  • Deleted Objects – 当一个进程被 K 掉或退出之前默认会闪红色
  • Own Processes – (Windows是多用户操作系统)同一用户打开的进程默认以这紫色进行显示
  • Services – Windows 服务进程默认以亮粉色进行显示
  • Suspended Processes – 被暂停或挂起的进程默认以深灰色进行显示
  • Packed Images – 当 Process Explorer 认为当前进程有压缩代码或隐藏代码时默认会以紫色显示,遇到这种程序一定要进行恶意软件扫描。(大家从截图可以看到我系统中的TaobaoProtect.exe被标识了,相信还是有朋友懂的)
  • Immersive Process – 以 Windows 8 开始的新 API 作为调用接口的应用程序默认会以亮颜色进行显示。

当然,还有几种颜色分类,我在这里就不一一给大家解释了,其实一看都明白的。认清楚了 Process Explorer 这些颜色后是不是感觉界面容易区分多了?

小结

上部分文章中我们主要简介 Process Explorer 的主界面,让大家有个感性的认识,下篇文章中我将向大家介绍其常用功能。

使用Process Explorer/Process Hacker和Windbg初步定位软件高CPU占用问题
dvlinker的技术专栏
10-30 1万+
详细讲述如何使用Process Explorer/Process Hacker和Windbg排查软件高CPU占用问题。
使用Process Explorer/Process Hacker与Windbg初步定位软件高CPU占用问题
热门推荐
dvlinker的技术专栏
01-09 3万+
本文详细介绍如何使用Process Explorer/Process Hacker与Windbg初步定位软件高CPU占用问题。
超强任务管理器 Process Explorer (xp,win7/32/64)汉化版
07-29
基本简介   Process Explorer让使用者能了解看不到的在后台执行的处理程序,能显示目前已经载入哪些模块,分别是正在被哪些程序使用着,还可显示这些程序所调用的 DLL进程,以及他们所打开的句柄。Process Explorer最大的特色就是可以中终任何进程,甚至包括系统的关键进程!   Process Explorer 的显示有两个子窗口所组成,窗口上方会显示出当前活跃的程序进程,包括它们的详细描述,窗口下方则会显示出通过资源管理器模式运行的应用程序的相关信息,以及它们所调用的DLL和打开的句柄,该版本可以运行在windows NT/2K/XP/2003系统平台 [编辑本段]Process Explorer的独特之处   1.显示被执行的映像文件的完整路径   2.显示进程安全令牌   3.加亮显示进程和线程列表中的变化   4.显示作业中的进程,以及作业的细节   5.显示运行。NET/WinFX应用的进程,以及与.NET相关的细节   6.显示进程和线程的启动时间   7.显示内存映射文件的完整列表   8.能够挂起一个进程   9.能够杀死一个线程 [编辑本段]Process Explorer的现状   由Sysinternals开发的一个高级的Windows系统和应用程序监视工具,目前已并入微软旗下。此版本的Process Explorer 不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框(增加了进程存活时间图表)、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像(DLL和内核模式驱动程序)加载、系统引导时记录所有操作等。   现在Process Explorer 11.21已并入Windows成为Microsoft Process Monitor 1.37。
page fault-页异常流程
SeventhD7
07-21 865
页异常
Process Explorer 性能调优实战:精准定位资源泄漏与高负载进程
心灵的专栏
04-11 402
通过上述操作,可高效管理系统进程、排查异常行为及优化资源分配。
Process Explorer 诊断和排错实例()
xupeng1644的博客
05-26 2028
通过前两次文章对 Process Explorer 的介绍,相信大家都认识了这个非常优秀的进程管理工具。但我们要如何使用它来实际诊断和排除系统使用过程中遇到的故障呢?本文中我们将以一个非常简单的实例向大家进行介绍。 找出被锁定的文件 不知道大家有没遇到过这样的情况:当我们删除某个文件或文件夹时 Windows 弹出该文件或文件夹正在使用或者被另一程序打开的提示,导致我们无法删除文件夹。 出现该情况是因为该文件夹中的文件正在被应用程序读写,而该程序锁定了对文件的操作,所以无法正常删除。如果我们想找...
C语言之总线错误、段错误、页错误、malloc、static
weixin_38360181的博客
08-16 1890
当硬件告诉操作系统一个有问题的内存引用时,就会出现这两种错误。操作系统通过向出错的进程发送一个信号与之交流。进程收到 “bus error” 或 "segmentation fault"信号后将进行信息转储并终止。不过可以认为这些信号设置一个信号处理程序(signal handler),用于修改进程的缺省反应。 bus error (core dumped) 总线错误 CPU对进程引用内存的一些做法不满 事实上,总线错误几乎都是由于未对齐的读或写引起的。之所以称为总线错误,是因为出现未对齐的..
【进程查看器】Process+Explorer
09-30
Process Explorer 是一款免费的增强型任务管理器,是最好的进程管理器. 它能让使用者了解看不到的在后台执行的处理程序,可以使用它方便地管理你的程序进程. 能监视,挂起,重启,强行终止任何程序,包括系统级别的不允许随便终止的关键进程和十分隐蔽的顽固木马. 除此之外,它还详尽地显示计算机信息: CPU,内存,I/O使用情况,可以显示一个程序调用了哪些动态链接库DLL,句柄,模块,系统进程. 以目录树的方式查看进程之间的归属关系,可以对进程进行调试. 可以查看进程的路径,以及公司,版本等详细信息,多色彩显示服务进程,很酷的曲线图. 可以替换系统自带的任务管理器,有了它,系统自带的任务管理器就可以扔进垃圾桶了.
【C++软件实战问题排查经验分享系列 ③】 Process Explorer | Process Monitor | API Monitor | Windbg | IDA 等常用工具的使用总结
最新发布
dvlinker的技术专栏
04-28 2万+
本文详细讲述SPY++、Dependency Walker、剪切板查看工具Clipbrd、 GDI对象查看工具GDIView、Process ExplorerProcess Monitor、API Monitor、调试分析工具Windbg、交互式反汇编工具IDA等常用软件分析工具的用途(可以帮助我们高效快速地排查软件问题),并给出有实战参考价值的实战分析实例,供大家借鉴或参考。
C++开发值得推荐的十大高效软件分析工具
dvlinker的技术专栏
06-16 1万+
本文详细讲述在Windows C++软件的日常开发和维护的过程中用到的一些常用工具,借助这些工具,可以高效快速地分析和排查软件开发调试过程中遇到的各种问题。
C++软件开发值得推荐的十大高效软件分析工具
dvlinker的技术专栏
10-31 2万+
本文系统地介绍了Dependency Walker、GDIView、Process Explorer/Process Hacker、Process Monitor、API Monitor、Clumsy、Windbg、IDA Pro等常用软件问题分析工具,并给出使用这些工具分析项目问题的实战分析实例。
超强任务管理器ProcessExplorer(XP W7-32-64)
03-13
基本简介   Process Explorer让使用者能了解看不到的在后台执行的处理程序,能显示目前已经载入哪些模块,分别是正在被哪些程序使用着,还可显示这些程序所调用的 DLL进程,以及他们所打开的句柄。Process Explorer最大的特色就是可以中终任何进程,甚至包括系统的关键进程!   Process Explorer 的显示有两个子窗口所组成,窗口上方会显示出当前活跃的程序进程,包括它们的详细描述,窗口下方则会显示出通过资源管理器模式运行的应用程序的相关信息,以及它们所调用的DLL和打开的句柄,该版本可以运行在windows NT/2K/XP/2003系统平台 处理广告助手,包含IE内嵌广告退弹广告,处理隐藏,幕后程序,可以进程跟踪。
缺页异常(Page Faults) 和 Kernel Oops打印调用流程
u014426028的博客
09-05 4445
在Linux中,进程和内核都是通过页表PTE访问一个物理页面的,如果无法访问到正确的地址,将产生page fault(缺页异常)。 常见场景: 地址空间映射关系未建立 1.1:malloc/mmap申请虚拟的地址空间并未分配实际物理页,首次访问触发缺页异常。 地址空间映射关系已建立 2.1:要访问的页面已经被swapping到了磁盘,访问时触发缺页异常。 2.2:fork子进程时,子进程共享父进程的地址空间,写是触发缺页异常(COW技术)。 2.3:要访问的页面被KSM合并,写时触发...
记录几款开发客户端常用的工具(Process Monitor & Process Explorer )
sd2131512的专栏
08-23 2975
Tools such as ProcessExplorer, Spy++/Winspector Spy, Inspect32, and FileMon may be of use when debugging different parts of Chromium.
Process Explorer 进程管理利器常用功能()
xupeng1644的博客
05-26 2155
Process Explorer:Windows进程管理利器常用功能() 继上次我们对 Process Explorer 的主界面进行介绍之后,本文我们一直来看一下 Process Explorer 的常用功能有哪些。 验证应用程序签名 凡大型主流厂商的应用程序在发布时,发行厂商一般都会打上其代码签名,以标识其正规的出厂身份。用户在应用程序的可执行文件属性中可以查看到签名证书及签名时间,当然使用 Process Explorer 也可以查看 Windows 中正在执行的进程是否已具有签名,..
[ 应急响应基础篇 ] 使用 Process Explorer 进程分析工具分析系统进程(附Process Explorer安装教程)
qq_51577576的博客
04-12 4350
[ 应急响应基础篇 ] 使用 Process Explorer 进程分析工具分析系统进程(附Process Explorer安装教程)
process explorer中的visual size vs working set; private bytes vs WS private
贾亮的专栏
05-24 4100
process explorer 中双击某个线程,出现Properties dialog,点击Performance tab就会出现进程的性能统计信息;比如我机器上firefox的虚拟内存和物理内存如下:Virtual Memory:Virtual Size         426,124KPrivate Bytes      153,352K Physical Memo
Process Explorer下载安装使用教程(图文教程)超详细
wangyuxiang946的博客
02-20 2万+
Process Explore 是微软的一款「进程资源管理器」
【内存检测系列】window下windbg内存泄漏检查
walkingMa的专栏
02-20 3891
1使用windbg检查 1.1、 工具下载 下载地址:http://www.technlg.net/windows/windgb-download/ 注意:最好下载x64位的安装包,因为32位的安装包可能会安装不成功。 1.2、环境配置 计算机-》右击-》属性-》高级系统设置-》环境-》系统变量-》Path-》编辑-》变量值 处后加入: c:\Program Files\Debugging ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值