ProcessExplorer工具使用（24）

实验目的
1、了解Process Explorer的使用方法

预备知识
Process Explorer（可执行文件名为procexp.exe）是一款由Sysinternals开发的Windows系统和应用程序监视工具，目前Sysinternals已经被微软收购，此款不仅结合了文件监视和注册表监视两个工具的功能，还增加了多项重要的增强功能，此工具支持64位Windows系统，是很多windows开发工程师极力推荐的一款编码和调试中使用的工具。

实验环境
Windows 7-32实验台。

实验内容和步骤
任务描述：使用Process Explorer查看Windows系统和应用程序信息

1、桌面打开“ProcessExplorer工具使用实验”文件夹，启动Process Explorer，查看其树形结构界面，如下图所示。


2、标记进程颜色

通过 Options->Configure colors 可以选择进程的颜色标记，通过颜色可以判断次进程处于的状态和类型，是挂起还是正在退出，是服务进程还是普通进程。

3、调整字体

Process Explorer的默认字体较小，一般需要先调整一下字体，在Options->Fonts 里面修改字体为11号。

4、显示进程的系统信息

右键点击View->Select Columns，选择要观察进程的某种特定信息，这里在默认的基础上勾选“Image Path”

点击确定，在主界面上看到新增的Image Path，如图

一些常用的系统信息有：

Image Path：显示进程的文件路径

Command Line：显示进程命令行参数

Image Type：显示进程是64位进程还是32位的（64位系统运行时可选）

session ID：显示进程当前所在的Session ID

User Name：显示进程当前的权限，是系统用户权限还是网络管理员权限还是普通管理员权限

5、显示当前进程所加载的DLL

选择View->lower Pane View->Dlls

此时在面板下方会显示加载的dll

6、显示当前进程所占用的系统资源句柄

1）可用来查看当前进程所占用的资源句柄表

2）可以检查自己的程序是否有内核句柄泄露

7、操控进程以及显示进程的内部信息（这类信息是属于当前进程的）

选定一个进程，右键

1）可以结束当前进程，或者当前进程树

2）可以挂起、重启、从挂起中恢复一个进程

3）查看进程信息（选择Properties）

8、查看进程信息

选定一个进程，右键->Properties

1）可以看到当前进程的用户组信息

2）可以看到当前进程申请了哪些特权

3）选择Environment选项卡，可以看到当前进程的环境变量，如果自动化编译或者使用一些开源软件，查看其环境变量是很重要的一环。

9、搜索功能（Ctrl+F）

搜索功能在很多地方都可以用到，编码的时候可以查看哪个事件被谁占用了，直接搜事件名称就可以了，如果像删除一个目录怎么也删除不掉，就是说某某文件被占用，则搜索一下需要删除的目录路径。

比如c盘根目录新建一个目录1，里面新建一个2.txt，用记事本打开2.txt，此时目录1无法删除，在搜索栏中输入c:\1即可发现占用此目录句柄的资源，如图。


Process Explorer还有很多其他的功能，可以在学习中慢慢尝试。