Comprendre Process Explorer

Table des matières:

Comprendre Process Explorer
Comprendre Process Explorer

Vidéo: Comprendre Process Explorer

Vidéo: Comprendre Process Explorer
Vidéo: Nouveautés windows 8.1 (2eme Partie) - YouTube 2024, Novembre
Anonim
Cette leçon de notre série Geek School couvre Process Explorer, peut-être l'application la plus utilisée et la plus utile de la boîte à outils SysInternals. Mais connaissez-vous vraiment cet utilitaire?
Cette leçon de notre série Geek School couvre Process Explorer, peut-être l'application la plus utilisée et la plus utile de la boîte à outils SysInternals. Mais connaissez-vous vraiment cet utilitaire?

NAVIGATION SCOLAIRE

  1. Quels sont les outils SysInternals et comment les utilisez-vous?
  2. Comprendre Process Explorer
  3. Utilisation de Process Explorer pour résoudre et diagnostiquer
  4. Comprendre le moniteur de processus
  5. Utilisation de Process Monitor pour résoudre des problèmes et trouver des traces de registre
  6. Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants
  7. Utilisation de BgInfo pour afficher des informations système sur le bureau
  8. Utiliser PsTools pour contrôler d'autres PC à partir de la ligne de commande
  9. Analyse et gestion de vos fichiers, dossiers et lecteurs
  10. Récapitulation et utilisation des outils ensemble

Process Explorer, un gestionnaire de tâches et une application de surveillance du système, existe depuis 2001 et, alors qu'il fonctionnait même sous Windows 9x, les versions modernes ne prennent en charge que XP et les versions ultérieures. Elles ont été continuellement mises à jour avec les fonctionnalités des versions modernes de Les fenêtres. C’est la norme de facto pour traiter les processus de dépannage.

Alors, que peut faire Process Explorer?

Certaines des meilleures caractéristiques comprennent les suivantes, bien qu’il ne s’agisse nullement d’une liste exhaustive. Cette application possède de nombreuses fonctionnalités, dont beaucoup sont enfouies profondément dans l'interface. Étonnamment, c’est aussi un très petit fichier.

  • L'arborescence par défaut indique la relation parentale hiérarchique entre les processus et s'affiche à l'aide de couleurs afin de comprendre facilement les processus en un coup d'œil.
  • Suivi très précis de l'utilisation du processeur pour les processus.
  • Peut être utilisé pour remplacer le gestionnaire de tâches, particulièrement utile sous XP, Vista et Windows 7.
  • Peut ajouter plusieurs icônes de bac pour surveiller le processeur, le disque, le processeur graphique, le réseau, etc.
  • Déterminez quel processus a chargé un fichier DLL.
  • Déterminez quel processus exécute une fenêtre ouverte.
  • Déterminez quel processus a un fichier ou un dossier ouvert et verrouillé.
  • Affichez des données complètes sur tous les processus, y compris les threads, l'utilisation de la mémoire, les descripteurs, les objets et à peu près tout ce qu'il y a à savoir.
  • Peut tuer tout un arbre de processus, y compris tous les processus lancés par celui que vous avez choisi de tuer.
  • Peut suspendre un processus en gelant tous ses threads afin qu'ils ne fassent rien.
  • Peut voir quel thread dans un processus est en train de maximiser le CPU.
  • La dernière version (v16) intègre VirusTotal dans l'interface, ce qui vous permet de détecter la présence de virus dans un processus sans quitter Process Explorer.

Chaque fois que vous rencontrez un problème avec une application, que quelque chose ne gèle pas sur votre ordinateur ou que vous essayez de savoir à quoi sert un fichier DLL particulier, Process Explorer est l'outil idéal pour ce travail.

Comprendre la vue de l'arbre

Lorsque vous lancez Process Explorer pour la première fois, de nombreuses données visuelles vous sont immédiatement présentées. Il existe une arborescence hiérarchique des processus en cours d'exécution sur votre ordinateur, y compris l'utilisation du processeur et de la RAM en utilisant des valeurs numériques pour chaque processus. Il y a quelques mini-graphiques d'activité en haut dans la barre d'outils, vous montrant l'utilisation du processeur, sur lesquels vous pouvez cliquer pour les afficher dans une fenêtre séparée.
Lorsque vous lancez Process Explorer pour la première fois, de nombreuses données visuelles vous sont immédiatement présentées. Il existe une arborescence hiérarchique des processus en cours d'exécution sur votre ordinateur, y compris l'utilisation du processeur et de la RAM en utilisant des valeurs numériques pour chaque processus. Il y a quelques mini-graphiques d'activité en haut dans la barre d'outils, vous montrant l'utilisation du processeur, sur lesquels vous pouvez cliquer pour les afficher dans une fenêtre séparée.

Il se passe certainement beaucoup de choses et il serait facile d’être submergé par tout ce qui est à l’écran.

L’affichage initial vous donne un ensemble de colonnes comprenant:

  • Processus - le nom de fichier de l'exécutable avec l'icône, le cas échéant.
  • CPU - le pourcentage de temps CPU dans la dernière seconde (ou quelle que soit la vitesse de mise à jour définie)
  • Octets privés - la quantité de mémoire allouée à ce programme uniquement.
  • Set de travail - la quantité de RAM réelle allouée à ce programme par Windows.
  • PID - l'identifiant du processus.
  • La description - la description, si l'application en a une.
  • Nom de la compagnie - Celui-ci est plus utile que vous ne le pensez. Si quelque chose ne va pas, commencez par rechercher des processus qui ne sont pas conçus par Microsoft.

Vous pouvez personnaliser ces colonnes et ajouter de nombreuses autres options, ou vous pouvez simplement cliquer sur l'une des colonnes pour trier par ce champ. Si vous avez déjà utilisé le Gestionnaire des tâches auparavant, vous avez probablement effectué un tri par mémoire ou par processeur et vous pouvez également le faire ici.

En cliquant sur Process, vous basculez entre le tri par nom de processus ou le retour à l'arborescence par défaut, ce qui est très utile une fois que vous vous y êtes habitué.

La vue est mise à jour une fois par seconde, mais vous pouvez accéder à Affichage -> Vitesse de la mise à jour et personnaliser la fréquence de mise à jour, la plus basse étant de 0,5 seconde et le niveau supérieur de 10 secondes. Si vous l'utilisez pour résoudre les problèmes, la valeur par défaut convient probablement, mais si vous souhaitez l'utiliser comme moniteur d'UC situé dans la barre d'état système, 5 à 10 secondes peuvent utiliser moins d'UC pendant son exécution en arrière-plan.

Vous pouvez également mettre la vue en pause dans le même sous-menu ou simplement en appuyant sur la barre d'espace. Cela gèlera la vue sous forme d'instantané dans le temps, ce qui peut être utile si vous essayez d'identifier un processus qui démarre et s'interrompt rapidement, ou si vous avez décidé de trier par utilisation de la CPU et que toutes les lignes continuent de défiler.

Cependant, dans le cas d’un processus de fermeture rapide, vous voudriez ajouter des colonnes supplémentaires à la vue par défaut pour tout ce que vous pourriez avoir besoin de savoir, car cliquer sur un processus périmé dans la liste n’affiche pas grand chose dans la vue Détails si le processus ne fonctionne pas, même si vous avez tout mis en pause.

Comprendre toutes ces couleurs

Il y a certainement beaucoup de couleurs dans une liste Process Explorer typique, ce qui peut être un peu déroutant pour le geek débutant. C’est vraiment important d’apprendre ce que toutes ces couleurs signifient, car elles ne sont pas là juste pour le spectacle, elles ont chacune une signification.

Chaque fois que vous ne vous souvenez pas de la signification d'une des couleurs, vous pouvez accéder à Options -> Configurer les couleurs dans le menu pour afficher la boîte de dialogue Sélection des couleurs. Ceci est fondamentalement un aide-mémoire rapide sur ce que tout signifie. Continuez à lire, car nous allons expliquer ici aussi.

D'après les couleurs de l'image ci-dessus, voici ce que chacun des éléments sélectionnés signifie (les autres ne sont pas vraiment importants).
D'après les couleurs de l'image ci-dessus, voici ce que chacun des éléments sélectionnés signifie (les autres ne sont pas vraiment importants).
  • Nouveaux objets (vert clair) - Lorsqu'un nouveau processus apparaît dans Process Explorer, il commence en vert clair.
  • Objets supprimés (rouge) - Lorsqu'un processus est arrêté ou se ferme, il clignotera généralement en rouge juste avant la suppression.
  • Processus propres (bleuâtre clair) - Les processus s'exécutant sous le même compte d'utilisateur que Process Explorer.
  • Services (rose clair) - Les processus de service Windows, même s’il est intéressant de noter qu’ils peuvent avoir des processus enfants lancés en tant qu’utilisateur différent et que leur couleur peut être différente.
  • Processus suspendus (gris foncé) - Lorsqu'un processus est suspendu, il ne peut rien faire. Vous pouvez facilement utiliser Process Explorer pour suspendre une application. Parfois, les applications bloquées apparaissent brièvement en gris pendant que Windows gère le crash.
  • Processus immersif (bleu vif) - Ceci est juste une manière élégante de dire que le processus est une application Windows 8 utilisant les nouvelles API. Dans la capture d'écran précédente, vous avez peut-être remarqué WSHost.exe, un processus «Windows Store Host» qui exécute des applications Metro. Pour une raison quelconque, Explorer.exe et le Gestionnaire des tâches apparaîtront également comme immersifs.
  • Images emballées (violet) - ces processus peuvent contenir du code compressé caché à l'intérieur d'eux, ou du moins Process Explorer pense qu'ils le font en utilisant des méthodes heuristiques. Si vous voyez un processus violet, assurez-vous de rechercher des logiciels malveillants!

Comme il existe manifestement un certain chevauchement entre ces différents scénarios, les couleurs seront appliquées par ordre de priorité. Si un processus est un service suspendu, il sera affiché en gris foncé car cette couleur est plus importante.

D'après ce que nous avons appris lors de nos recherches, la commande est suspendue> emballée> immersive> services -> processus propres.

Vérification de l'identité de l'application

Une option vraiment utile qui, à notre avis, n’est pas activée par défaut se trouve dans Options -> Vérifier les signatures d’image.

Cette option vérifie la signature numérique de chaque fichier exécutable de la liste, ce qui est un outil de dépannage précieux lorsque vous examinez une application suspecte en cours d'exécution dans la liste.
Cette option vérifie la signature numérique de chaque fichier exécutable de la liste, ce qui est un outil de dépannage précieux lorsque vous examinez une application suspecte en cours d'exécution dans la liste.
La grande majorité des logiciels réputés doivent être signés numériquement à ce stade. Si quelque chose ne va pas, vous devriez regarder très attentivement si vous devriez l’utiliser.
La grande majorité des logiciels réputés doivent être signés numériquement à ce stade. Si quelque chose ne va pas, vous devriez regarder très attentivement si vous devriez l’utiliser.

Prendre des mesures sur un processus

Vous pouvez agir rapidement sur n'importe quel processus en cliquant dessus avec le bouton droit de la souris et en choisissant l'une des options, ou en utilisant les touches de raccourci si vous préférez. Ces options comprennent:

  • La fenêtre - possède des options, y compris Bring to Front, qui peuvent être utiles pour aider à identifier la fenêtre associée à un processus. S'il n'y a pas de fenêtre pour ce processus, il sera grisé.
  • Définir la priorité - vous pouvez l'utiliser pour configurer la priorité d'un processus. Ceci est surtout utile pour apprivoiser un processus qui ne vous tente pas de tuer.
  • Processus de tuer - comme vous l’imaginez, cela tue rapidement ce processus.
  • Kill Process Tree - Cela tue non seulement l'élément de la liste, mais également les enfants de ce processus parent.
  • Redémarrer - spectaculairement utile lors des tests, cela tue le processus puis le redémarre. Il convient de noter que la suppression des processus peut entraîner la perte de données.
  • Suspendre - Cette option pratique est idéale pour le dépannage lorsqu'un processus est hors de contrôle. Vous pouvez simplement suspendre le processus plutôt que de le tuer et vérifier si quelque chose ne va pas.
  • Vérifier VirusTotal - C’est une nouvelle option que nous expliquerons plus loin. C’est très pratique, car il vérifie le processus pour détecter les virus.
  • Recherche en ligne - cela va juste chercher sur le web pour le nom du processus.

Et bien sûr, si vous ouvrez des propriétés qui vous amèneront à des informations encore plus utiles sur le processus, dont nous parlerons en grande partie dans la leçon suivante.

Image
Image

Remarque: nous avons testé l’option Temp mais n’avions aucune idée de ce qu’elle faisait.

Courir en tant qu'administrateur

Bien que vous ne devez absolument pas exécuter Process Explorer en tant qu’administrateur, sans cela, de nombreuses fonctionnalités utiles ne fonctionneront pas et vous ne pourrez pas afficher autant d’informations sur chaque processus.

Si vous utilisez Windows XP ou 2003, vous devez vous connecter à un compte doté de tous les droits d'administrateur pour utiliser la plupart des fonctionnalités. Ce n’est probablement pas un problème pour la plupart des gens, car XP a quand même accordé au compte par défaut l’ensemble des privilèges, mais si vous essayez de l’utiliser au travail sans accès administrateur, cela ne fonctionnera pas aussi bien.

Étant donné que la plupart de nos lecteurs utilisent Windows 7, 8.x ou même Vista, vous serez probablement familiarisé avec l’exécution d’une application en tant qu’administrateur. C’est vraiment facile… faites un clic droit et choisissez l’option dans le menu.

Image
Image

Fait amusant: Process Explorer utilise en réalité le privilège Debug Programs, ce qui explique en grande partie pourquoi il est si puissant.

Forcer Process Explorer à toujours ouvrir en tant qu'administrateur

Si vous voulez vous assurer que Process Explorer s'ouvre toujours en tant qu'administrateur sans avoir à vous rappeler de cliquer dessus avec le bouton droit de la souris, vous pouvez le forcer en créant un raccourci spécial qui nécessite le mode Administrateur ou en ouvrant les propriétés de procexp.exe. aller à la compatibilité, puis en choisissant l'option "Exécuter ce programme en tant qu'administrateur".

Dans tous les cas, cela fonctionnera parfaitement ou vous pourrez également désactiver le contrôle de compte d'utilisateur si vous préférez, ce qui permet de tout faire fonctionner en tant qu'administrateur tout le temps. Nous ne le recommandons pas, mais vous pouvez le faire.
Dans tous les cas, cela fonctionnera parfaitement ou vous pourrez également désactiver le contrôle de compte d'utilisateur si vous préférez, ce qui permet de tout faire fonctionner en tant qu'administrateur tout le temps. Nous ne le recommandons pas, mais vous pouvez le faire.

Utilisation de Process Explorer pour remplacer le gestionnaire de tâches

Process Explorer est utilisé depuis longtemps comme un puissant substitut de l’application auparavant anemic Task Manager dans toutes les versions de Windows antérieures à Windows 8. En supposant que vous souhaitiez disposer d’une réelle puissance, il fonctionne également très bien comme remplacement dans cette version.

Remarque: Le gestionnaire de tâches de Windows 8 est considérablement amélioré par rapport aux versions précédentes. Il n’est toujours pas aussi puissant que Process Explorer, mais il est probablement plus facile à utiliser pour les gens ordinaires. Par conséquent, ne changez pas l’ordinateur de maman pour utiliser Process Explorer par défaut.

Pour que Process Explorer remplace le gestionnaire de tâches, il vous suffit de choisir l'option Options -> Remplacer le gestionnaire de tâches dans le menu. C'est tout.

Une fois que vous avez terminé, utilisez CTRL + SHIFT + ÉCHAP ou cliquez avec le bouton droit de la souris sur la barre des tâches pour lancer à la fois Process Explorer et non le Gestionnaire des tâches. Facile, non?
Une fois que vous avez terminé, utilisez CTRL + SHIFT + ÉCHAP ou cliquez avec le bouton droit de la souris sur la barre des tâches pour lancer à la fois Process Explorer et non le Gestionnaire des tâches. Facile, non?

AttentionSi vous remplacez le Gestionnaire des tâches, assurez-vous que vous avez placé Process Explorer à un endroit où vous ne déplacerez ni ne supprimerez accidentellement le fichier. Sinon, vous serez coincé avec un système qui ne peut lancer aucun gestionnaire de tâches.

Utilisation de Process Explorer comme moniteur d’icônes de plateau génial

L'une des meilleures fonctionnalités de Process Explorer est la possibilité de le minimiser dans la barre d'état système, mais au lieu d'une seule icône, il peut également être réduit à un ensemble complet d'icônes pouvant surveiller le processeur, les E / S, le disque, le réseau, le processeur graphique et RAM, ou toute combinaison de ceux-ci. Vous pouvez les configurer pour qu'ils s'affichent séparément, ou pas du tout, si vous préférez.
L'une des meilleures fonctionnalités de Process Explorer est la possibilité de le minimiser dans la barre d'état système, mais au lieu d'une seule icône, il peut également être réduit à un ensemble complet d'icônes pouvant surveiller le processeur, les E / S, le disque, le réseau, le processeur graphique et RAM, ou toute combinaison de ceux-ci. Vous pouvez les configurer pour qu'ils s'affichent séparément, ou pas du tout, si vous préférez.

Pour ce faire, ouvrez le menu Options, accédez à la section Icônes de la barre de tâches, puis cliquez pour activer chacune des icônes de la barre de tâches que vous souhaitez voir.

Vous pouvez simplement exécuter Process Explorer chaque fois que vous démarrez votre ordinateur, puis le minimiser dans la barre d'état système pour qu'il soit toujours là pour vous. Et, bien sûr, si vous avez utilisé l'option pour remplacer le Gestionnaire des tâches, vous pouvez y accéder rapidement à tout moment avec une touche de raccourci - vous pouvez toutefois utiliser l'option «Autoriser une seule instance» pour vous assurer de ne pas ouvrir de dossier. tas de fenêtres séparées.
Vous pouvez simplement exécuter Process Explorer chaque fois que vous démarrez votre ordinateur, puis le minimiser dans la barre d'état système pour qu'il soit toujours là pour vous. Et, bien sûr, si vous avez utilisé l'option pour remplacer le Gestionnaire des tâches, vous pouvez y accéder rapidement à tout moment avec une touche de raccourci - vous pouvez toutefois utiliser l'option «Autoriser une seule instance» pour vous assurer de ne pas ouvrir de dossier. tas de fenêtres séparées.

Utilisation de Process Explorer pour rechercher rapidement VirusTotal

Si vous travaillez sur un PC à problème et souhaitez déterminer si un processus est un virus, vous pouvez gagner du temps en utilisant Process Explorer version 16 ou ultérieure, car ils ont ajouté l’intégration de VirusTotal directement dans l’application. Faites un clic droit sur n'importe quoi dans la liste pour voir l'option.

La première fois que vous l'exécutez, il vous sera demandé d'accepter les conditions d'utilisation de VirusTotal, mais les résultats de VirusTotal s'afficheront ensuite dans la liste.
La première fois que vous l'exécutez, il vous sera demandé d'accepter les conditions d'utilisation de VirusTotal, mais les résultats de VirusTotal s'afficheront ensuite dans la liste.
Vous pouvez cliquer sur le résultat pour aller à VirusTotal et voir les détails. C’est un excellent ajout à l’un des meilleurs utilitaires de tous les temps.
Vous pouvez cliquer sur le résultat pour aller à VirusTotal et voir les détails. C’est un excellent ajout à l’un des meilleurs utilitaires de tous les temps.

Leçon suivante: Utilisation de Process Explorer pour résoudre et diagnostiquer

Dans la prochaine leçon de notre série, nous verrons beaucoup plus en détail comment utiliser Process Explorer dans certains scénarios concrets pour résoudre des problèmes courants tels que les malwares et les crapwares. Assurez-vous de rester à l'écoute pour le reste de la série.

Conseillé: