Pagina inicial » escola » Entendendo o Process Explorer

    Entendendo o Process Explorer

    Esta lição na nossa série Geek School abrange o Process Explorer, talvez o aplicativo mais usado e útil no kit de ferramentas SysInternals. Mas quão bem você realmente conhece esse utilitário??

    NAVEGAÇÃO ESCOLAR
    1. Quais são as ferramentas SysInternals e como você as usa?
    2. Entendendo o Process Explorer
    3. Usando o Process Explorer para solucionar problemas e diagnosticar
    4. Entendendo o Process Monitor
    5. Usando o Process Monitor para solucionar problemas e localizar os Hacks do Registro
    6. Usando o Autoruns para lidar com processos de inicialização e malware
    7. Usando o BgInfo para exibir informações do sistema na área de trabalho
    8. Usando o PsTools para controlar outros PCs a partir da linha de comando
    9. Analisando e gerenciando seus arquivos, pastas e unidades
    10. Encerrando e usando as ferramentas juntas

    O Process Explorer, um gerenciador de tarefas e aplicativo de monitoramento do sistema, existe desde 2001 e, embora até mesmo funcionasse no Windows 9x, as versões modernas suportam XP e acima, e elas são continuamente atualizadas com recursos para versões modernas de Janelas. É o padrão de fato para lidar com processos de solução de problemas.

    Então, o que o Process Explorer pode fazer?

    Alguns dos melhores recursos incluem o seguinte, embora isso não seja uma lista exaustiva. Este aplicativo tem muitos recursos, e muitos deles estão enterrados na interface. Surpreendentemente é também um arquivo muito pequeno.

    • A visualização em árvore padrão mostra o relacionamento pai hierárquico entre os processos e exibe usando cores para compreender facilmente os processos de relance.
    • Rastreamento de uso de CPU muito preciso para processos.
    • Pode ser usado para substituir o Gerenciador de Tarefas, o que é especialmente útil no XP, Vista e Windows 7.
    • Pode adicionar vários ícones de bandeja para monitorar CPU, disco, GPU, rede e muito mais.
    • Descobrir qual processo carregou um arquivo DLL.
    • Descobrir qual processo está executando uma janela aberta.
    • Descobrir qual processo tem um arquivo ou pasta aberto e bloqueado.
    • Veja dados completos sobre qualquer processo, incluindo tópicos, uso de memória, manipuladores, objetos e praticamente qualquer outra coisa que você precisa saber.
    • Pode Matar uma árvore de processo inteira, incluindo quaisquer processos iniciados pelo que você escolher para matar.
    • Pode suspender um processo, congelando todos os seus threads para que eles não façam nada.
    • Pode ver qual encadeamento em um processo está maximizando a CPU.
    • A versão mais recente (v16) integra o VirusTotal à interface para que você possa verificar se há vírus em um processo sem sair do Process Explorer.

    Sempre que você tiver um problema com um aplicativo, ou algo continuar congelando no seu computador, ou talvez você esteja tentando descobrir para que um arquivo DLL específico é usado, o Process Explorer é a ferramenta para o trabalho.

    Entendendo a visão da árvore

    Quando você inicia o Process Explorer pela primeira vez, é apresentado imediatamente vários dados visuais - há uma exibição em árvore hierárquica dos processos em execução no computador, incluindo o uso da CPU e da RAM usando valores numéricos para cada processo. Existem alguns pequenos gráficos de mini-atividades em execução na parte superior da barra de ferramentas, mostrando o uso da CPU, que pode ser clicada para exibir em uma janela separada.

    Definitivamente, há muita coisa acontecendo, e seria fácil ser sobrecarregado por tudo na tela.

    A exibição inicial fornece um conjunto de colunas que incluem:

    • Processo - o nome do arquivo do executável, juntamente com o ícone, se existir.
    • CPU - a porcentagem de tempo de CPU no último segundo (ou qualquer que seja a velocidade de atualização definida)
    • Bytes privados - a quantidade de memória alocada apenas para este programa.
    • Conjunto de trabalho - a quantidade de RAM real alocada para este programa pelo Windows.
    • PID  - o identificador do processo.
    • Descrição - a descrição, se o aplicativo tiver um.
    • Nome da empresa - este é mais útil do que você pensa. Se algo não estiver certo, comece procurando processos que não são da Microsoft..

    Você pode personalizar essas colunas e adicionar muitas outras opções, ou pode clicar em qualquer uma das colunas para classificar por esse campo. Se você já usou o Gerenciador de Tarefas antes, provavelmente já classificou por Memória ou CPU, e pode fazer isso aqui também.

    Clicando em Process irá mudar entre a ordenação pelo nome do processo, ou voltar para a visão em árvore padrão, o que é muito útil quando você se acostumar com isso.

    A visualização é atualizada uma vez por segundo, mas você pode ir para Exibir -> Atualizar Velocidade e personalizar com que frequência ela é atualizada, sendo a mais baixa de 0,5 segundo eo nível superior de 10 segundos. Se você estiver usando para solucionar problemas, o valor padrão provavelmente será bom, mas se você quiser usá-lo como um monitor de CPU na bandeja do sistema, 5 ou 10 segundos podem usar menos CPU enquanto ele é executado em segundo plano.

    Você também pode pausar a visualização no mesmo submenu ou simplesmente pressionando a barra de espaço. Isso congelará a exibição como um instantâneo no tempo, o que pode ser útil se você estiver tentando identificar um processo que inicia e morre rapidamente, ou se você tiver decidido classificar pelo uso da CPU e todas as linhas continuarem pulando.

    No caso de um processo de fechamento rápido, no entanto, você deseja adicionar colunas extras à visualização padrão para qualquer coisa que precise saber, porque clicar em um processo extinto na lista não mostrará muito na visualização de detalhes se o processo não está em execução, mesmo que você tenha pausado tudo.

    Entendendo todas aquelas cores

    Definitivamente, há muitas cores em uma lista típica do Process Explorer, o que pode ser um pouco confuso para o novato. É muito importante aprender o que todas essas cores significam, porque elas não estão lá apenas para mostrar - cada uma delas significa algo importante.

    Sempre que você não consegue lembrar o que uma das cores significa, você pode ir até Opções -> Configurar cores no menu para abrir a caixa de diálogo Seleção de cores. Isto é basicamente uma folha de dicas rápida para o que tudo significa. Continue lendo, já que vamos explicar aqui também.

    Com base nas cores da foto acima, aqui está o significado de cada um dos itens selecionados (os outros não são realmente importantes).

    • Novos Objetos (Verde Brilhante) - Quando um novo processo é exibido no Process Explorer, ele começa como verde brilhante.
    • Objetos Excluídos (Vermelho) - Quando um processo é morto ou fechado, ele geralmente fica vermelho antes de ser deletado.
    • Processos próprios (azul claro) - Processos em execução como a mesma conta de usuário do Process Explorer.
    • Serviços (rosa claro) - Processos de serviço do Windows, embora seja interessante notar que eles podem ter processos filho que são iniciados como um usuário diferente, e esses podem ser uma cor diferente.
    • Processos suspensos (cinza escuro) - Quando um processo é suspenso, não pode fazer nada. Você pode facilmente usar o Process Explorer para suspender um aplicativo. Às vezes, os aplicativos com falhas aparecem brevemente em cinza enquanto o Windows está lidando com o acidente.
    • Processo Imersivo (Azul Brilhante) - Essa é apenas uma maneira sofisticada de dizer que o processo é um aplicativo do Windows 8 que usa as novas APIs. Na captura de tela anterior, você deve ter notado o WSHost.exe, que é um processo do “Windows Store Host” que executa aplicativos do Metro. Por alguma razão, o Explorer.exe e o Gerenciador de Tarefas também aparecerão como imersivos.
    • Imagens embaladas (roxo) - Esses processos podem conter código compactado escondido dentro deles ou, pelo menos, o Process Explorer acha que eles fazem usando heurística. Se você vir um processo roxo, verifique se há malware!

    Como obviamente há alguma sobreposição entre esses diferentes cenários, as cores serão aplicadas em uma ordem de precedência. Se um processo for um serviço e for suspenso, ele será exibido em cinza escuro porque essa cor é mais importante.

    Pelo que aprendemos enquanto pesquisamos, o pedido é Suspenso> Embalado> Imersivo> Serviços -> Processos Próprios.

    Verificando a identidade do aplicativo

    Uma opção muito útil que estamos surpresos não está ativada por padrão é encontrada em Opções -> Verificar assinaturas de imagem.

    Esta opção verificará a assinatura digital de cada arquivo executável na lista, que é uma ferramenta de solução de problemas inestimável quando você está olhando para algum aplicativo suspeito que está sendo executado na lista.

    A grande maioria dos softwares confiáveis ​​deve ser assinada digitalmente neste momento. Se algo não estiver, você deve observar com muito cuidado se deve usá-lo.

    Agindo em um processo

    Você pode rapidamente tomar medidas em qualquer processo clicando com o botão direito do mouse sobre ele e escolhendo entre uma das opções, ou usando as teclas de atalho, se preferir. Essas opções incluem:

    • Janela - tem opções, incluindo Bring to Front, que pode ser útil para ajudar a identificar a janela associada a um processo. Se não houver janelas para esse processo, ficará esmaecido.
    • Definir prioridade - você pode usar isso para configurar a prioridade de um processo. Isso é mais útil para domar um processo de fuga que você não quer matar.
    • Matar Processo - assim como você imagina, isso mata rapidamente esse processo.
    • Matar Árvore de Processos - Isso mata não apenas o item na lista, mas também os filhos desse processo pai.
    • Reiniciar - espetacularmente útil durante o teste, isso apenas mata o processo e, em seguida, reinicia-lo. Vale a pena notar que processos de morte podem resultar em perda de dados.
    • Suspender - essa opção útil é ótima para solucionar problemas quando um processo está fora de controle. Você pode simplesmente suspender o processo em vez de matá-lo e verificar se alguma coisa está fora de sintonia..
    • Verificar VirusTotal - essa é uma nova opção que explicaremos adiante. É muito útil, pois verifica o processo em busca de vírus.
    • Pesquisa on-line - isso só vai procurar na web o nome do processo.

    E, obviamente, se você abrir as Propriedades que levarão você a informações ainda mais úteis sobre o processo, muitas das quais entraremos na próxima lição.

    Nota: testamos a opção Temp mas não tínhamos ideia do que faz.

    Executando como administrador

    Embora não seja absolutamente necessário executar o Process Explorer como Administrador, sem fazer com que muitos dos recursos úteis não funcionem, você não conseguirá ver o máximo de informações sobre cada processo..

    Se você estiver executando no Windows XP ou 2003, precisará estar executando uma conta com direitos totais de Administrador para usar a maioria dos recursos. Isso provavelmente não é um problema para a maioria das pessoas, porque o XP deu privilégios totais à conta padrão de qualquer maneira, mas se você estiver tentando usar isso no trabalho sem acesso de administrador, ele não funcionará tão bem.

    Como a maioria dos nossos leitores está usando o Windows 7, 8.x ou até mesmo o Vista, você provavelmente estará familiarizado com a execução de um aplicativo como Administrador. É muito fácil ... basta clicar com o botão direito e escolher a opção no menu.

    Fato engraçado: O Process Explorer, na verdade, usa o privilégio de Depurar Programas, o que ajuda muito a explicar por que ele é tão poderoso.

    Forçando o Process Explorer a sempre abrir como administrador

    Se você quiser ter certeza de que o Process Explorer sempre será aberto como Administrador sem ter que se lembrar de clicar com o botão direito nele, você pode forçá-lo criando um atalho especial que requer o modo Administrador ou abrindo as Propriedades do procexp.exe, indo para Compatibilidade e, em seguida, escolhendo a opção para "Executar este programa como administrador".

    De qualquer forma vai funcionar muito bem, ou você também pode apenas desativar o UAC, se preferir, o que faz tudo funcionar como administrador o tempo todo. Não estamos recomendando isso, mas você pode fazer isso.

    Usando o Process Explorer para substituir o Gerenciador de Tarefas

    O Process Explorer tem sido usado há muito tempo como um substituto poderoso para o aplicativo anteriormente anêmico do Gerenciador de Tarefas em todas as versões do Windows anteriores ao Windows 8, e supondo que você queira ter um poder real nas mãos, ele funciona muito bem como substituto nessa versão também.

    Nota: O Gerenciador de Tarefas do Windows 8 é bastante aprimorado em relação às versões anteriores. Ainda não é tão poderoso quanto o Process Explorer, mas é provavelmente mais fácil para pessoas comuns usarem. Então não mude o computador da mãe para o padrão do Process Explorer.

    Para fazer o Process Explorer substituir o Gerenciador de Tarefas, tudo o que você precisa fazer é escolher a opção Opções -> Substituir Gerenciador de Tarefas no menu. É isso aí.

    Depois de fazer isso, usar CTRL + SHIFT + ESC ou clicar com o botão direito do mouse na barra de tarefas iniciará o Process Explorer em vez do Gerenciador de Tarefas. Fácil, certo?

    Aviso: se você substituir o Gerenciador de Tarefas, tenha certeza absoluta de que colocou o Process Explorer em um local em que você não esteja movendo ou apagando acidentalmente o arquivo. Caso contrário, você será preso com um sistema que não pode iniciar qualquer Gerenciador de Tarefas.

    Usando o Process Explorer como um Awesome Tray Icon Monitor

    Um dos melhores recursos do Process Explorer é a capacidade de minimizá-lo na bandeja do sistema, mas em vez de apenas um único ícone, ele pode ser minimizado em um conjunto completo de ícones que podem monitorar CPU, E / S, disco, rede, GPU e RAM, ou qualquer combinação deles. Você pode configurá-los para exibir separadamente, ou não, se você preferir.

    Para configurar isso, abra o menu Opções, vá para a seção Ícones da bandeja e, em seguida, clique para ativar cada um dos ícones da bandeja que você gostaria de ver..

    Você pode simplesmente executar o Process Explorer toda vez que começar a executar o computador e, em seguida, minimizá-lo na bandeja do sistema para que ele esteja sempre disponível para você. E, claro, se você usou a opção para substituir o Gerenciador de Tarefas, poderá acessá-lo rapidamente a qualquer momento com uma tecla de atalho - embora você queira usar a opção “Permitir Apenas Uma Instância” para garantir que não abrirá uma cacho de janelas separadas.

    Usando o Process Explorer para pesquisar rapidamente o VirusTotal

    Se você estiver trabalhando em um PC problemático e quiser descobrir se um processo é um vírus, poderá economizar tempo usando o Process Explorer versão 16 ou superior, porque eles adicionaram a integração do VirusTotal diretamente ao aplicativo. Basta clicar com o botão direito do mouse em qualquer item da lista para ver a opção.

    Na primeira vez que você executá-lo, você será solicitado a aceitar os termos de uso do VirusTotal, mas depois disso, você verá os resultados do VirusTotal aparecerem na lista..

    Você pode clicar no resultado para acessar o VirusTotal e ver os detalhes. É uma ótima nova adição a uma das melhores utilidades de todos os tempos.

    Próxima lição: Usando o Process Explorer para solucionar problemas e diagnosticar

    Na próxima lição da nossa série, aprofundaremos mais sobre como usar o Process Explorer em alguns cenários do mundo real para solucionar problemas comuns, como malware e crapware. Certifique-se de estar atento para o resto da série.

    Entendendo o pseudoelemento antes e depois
    Noções básicas sobre roteadores, comutadores e hardware de rede
    Compreendendo as velocidades de transferência de dados da rede LAN
    Artigo seguinte
    Entendendo o Process Monitor
    Artigo anterior
    Noções básicas sobre microinterações no design de aplicativos para dispositivos móveis