Process Explorer 进程管理及排错利器(上)

本次的 Sysinternals 系列我将向大家介绍 SysInternals 工具集中最最常用的一个工具 — Process Explorer。相信有很多朋友都知道这个工具，但你知道如何将它用好吗？现在我们就来介绍。

Process Explorer 是一个类似于任务管理器和资源监视器的应用，它自 2001 年首次发布以来历经了 Windows 9x 至支持 Windows 10 的各种 Windows 版本，目前微软还在不断的更新和改进，是我们日常处理故障和排错的必备利器。

Process Explorer可以用来干嘛？

下面我们列举了 Process Explorer 一些常用功能及特性清单，有许多非常有用的功能都掩藏在其不起眼的界面之下，很多时候一个很小的功能和特性就能够帮我们在排错时少走弯路和节约时间，大家一定要用心去发觉。

• 它默认以进程树的方式显示进程及子进程之间的关系(可开关)且以颜色进行区分让人一目了然
• 非常精确的 CPU 占用显示
• 提供替代任务管理器的选项，在 Windows XP/7/Vista/8/10 中都非常有用
• 可以任务栏托盘图标的方式监视 CPU、磁盘、GPU 和 网络等的使用情况
• 查看进程加载了哪些 DLL
• 查看进程打开或锁定了哪些文件或文件夹
• 查看任何进程的完整信息，包括：线程、内存占用、句柄、对象和其它几乎任何你想知道的内容
• 可以直接 Kill 掉整个进程树
• 可以将进程挂起（暂停），冻结其所有线程
• 强大到可以查看线程的CPU使用率
• 从 v16 版本开始集成了VirusTotal，可以快速验证是否是病毒

看到 Process Explorer 如此强大的功能，是不是感觉为任务管理器找了一个强有力的超级替身！下面我们就来介绍主界面。

树状视图

如果你是首次使用 Process Explorer，执行之后便可以看到一个满是 CPU、内存使用情况的进程树状视图展示在你眼前。在整个界面的右上方会有 5 个小窗格子分别显示了 CPU、System Commit（已提交内存）、Physical Memory（物理内存）、I/O 和 GPU 的小方块，用鼠标点击会以弹出窗口的方式显示详细信息。

大家看到的主界面专业名词解释如下：

• Process – 可执行文件的进程名称
• CPU – 过去 1 秒该进程的 CPU 时间
• Private Bytes – 分配给该进程的内存大小
• Working Set – Windows 实际分配给该进程的内存大小
• PID – 进程标识符（重启程序有可能会变）
• Description – 应用的描述信息
• Company Name – 应用的发行商名称（通过该信息进行排序用于帮助我们快速查找非知名厂商的应用程序进程）

关于术语：其实以上都是 Windows 专业术语中的一部分，如果你对 Windows 的内部原理或术语有兴趣，我推荐研读《Windows Internals》，目前出到第 6 版。

相信大家通过查看主界面都有一个很简单的认识了，其实平常对于任务管理器的常用操作在 Process Explorer 中都适用。我们可以根据不同的列(例如 CPU 或内存占用)进行排序，也可使用右键来选择需要的信息扩充出更多的列。

默认情况下，界面中的信息的数据会每秒刷新一次，你可以在 View（查看）— Update Speed（刷新速度）中去定义数据的刷新速度，最快为 0.5 秒，最慢为每 10 秒刷新一次。

建议：如果你正在使用 Process Explorer 进行排错，默认刷新值就非常合适，如果你准备长期将其驻留后台运行，5 秒或 10 秒的刷新率可以减少 CPU 占用。

如果你当前的系统中不断有进程在创建和退出，可能就会出现主页面里面看到内容不断在闪动，这样非常不利于我们查看和查找相关信息。此时，我们可以直接按下空格键，Process Explorer 便会将当前信息“快照”并暂停，以方便我们查看。

了解不同的颜色区分

Process Explorer 的主界面中对不同进程五花八门的颜色标识，最容易让初学用户感觉眼花缭乱。其实不同的颜色标识是有其各自意义的，了解不同的颜色分类也非常有必要。

点击 Options（选项）— Configure Colors（配置颜色）会弹出一个颜色选项的对话框，里面标识了不同颜色分类所表示的意义，我们可以根据自己的喜好进行自定义。

• New Objects – Windows 新创建的进程默认以亮绿色进行显示
• Deleted Objects – 当一个进程被 K 掉或退出之前默认会闪红色
• Own Processes – （Windows是多用户操作系统）同一用户打开的进程默认以这紫色进行显示
• Services – Windows 服务进程默认以亮粉色进行显示
• Suspended Processes – 被暂停或挂起的进程默认以深灰色进行显示
• Packed Images – 当 Process Explorer 认为当前进程有压缩代码或隐藏代码时默认会以紫色显示，遇到这种程序一定要进行恶意软件扫描。（大家从截图可以看到我系统中的TaobaoProtect.exe被标识了，相信还是有朋友懂的）
• Immersive Process – 以 Windows 8 开始的新 API 作为调用接口的应用程序默认会以亮颜色进行显示。

当然，还有几种颜色分类，我在这里就不一一给大家解释了，其实一看都明白的。认清楚了 Process Explorer 这些颜色后是不是感觉界面容易区分多了？

小结

上部分文章中我们主要简介 Process Explorer 的主界面，让大家有个感性的认识，下篇文章中我将向大家介绍其常用功能。