文章目錄
一、關於Process Explorer
Process Explorer讓使用者能瞭解看不到的在後臺執行的處理程序,能顯示目前已經載入哪些模塊,分別是正在被哪些程序使用着,還可顯示這些程序所調用的DLL進程,以及他們所打開的句柄。Process Explorer最大的特色就是可以中終任何進程,甚至包括系統的關鍵進程!
二、下載地址
https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
三、如何使用
1、Process Explorer主界面
樹形結構,準確的顯示的進程的父子關係。
通過顏色可以判斷此進程處於的狀態和類型,是掛起還是正在退出,是服務進程還是普通進程。
2、顯示進程的系統信息
右鍵Process標題欄-選擇Select Columns項,選擇你要觀察進程的某種特定的信息,這裏有幾個選項,常用的有Process Image和Process Memory這兩個選項卡
1.顯示進程當前的權限,是系統用戶權限還是網絡管理員權限還是普通管理員權限(User Name)
2.顯示進程的文件路徑(Image Path)
3.顯示進程是64位進程還是32位的(Image Type)
4.顯示進程當前所在的Session ID(session)
5.顯示進程命令行參數(Command Line)
…
顯示當前進程的GDI對象個數,內核對象個數,線程個數。
GDI是Graphics Device Interface的縮寫,含義是圖形設備接口,它的主要任務是負責系統與繪圖程序之間的信息交換,處理所有Windows程序的圖形輸出。
在Windows操作系統下,絕大多數具備圖形界面的應用程序都離不開GDI,我們利用GDI所提供的衆多函數就可以方便的在屏幕、打印機及其它輸出設備上輸出圖形,文本等操作。
3、顯示當前進程所加載的DLL
選擇View - Lower Pane View - DLLs
通過這種方式可以觀察,我們的進程是否被其他程序注入DLL,瞭解當前進程使用了那些編程技術。
我們可以修改DLL的選項卡讓其顯示更多的內容,比如DLL基地址,DLL內存相關信息等
4、顯示當前進程所佔用的系統資源句柄
選擇View - Lower Pane View - Handles
我們查看當前進程所佔用的資源句柄表,分析進程的邏輯:如圖下圖SunloginClient.exe進程創建了一個Event事件,並且佔用一個Log文件,可以檢查自己的程序是否有內核句柄泄露。
5、操控進程以及顯示進程的內部信息
操控進程,殺掉進程、重啓進程、掛起進程等
顯示進程的內部信息
查看線程信息
查看當前進程的環境變量
6、搜索功能(Ctrl+F)
有時候我們刪除某個文件或文件夾的時候,會提示被某個服務佔用,無法刪除,這個時候,就可以使用搜索功能知道它被誰佔用了,比如shell.20200608-082337.log文件被SunloginClient.exe佔用了
