获取有关隐藏的Windows进程的详细信息


你有没有去过Windows的任务管理器,只点击进程选项卡才能看到svchost.exe占用了100%的CPU ?好吧,不幸的是,这并不能帮助你弄清楚Windows中的哪个程序实际上正在耗尽所有处理能力。

在Windows中,有许多进程,如SVCHOST,实际上可以运行几种不同的Windows服务,例如Windows Update,DCOM,远程过程调用,远程注册表,DNS等等。或者,您可能只需要确定哪些DLL已加载以及哪些句柄对特定进程是开放的。您可能还需要此信息,以便禁用Windows启动程序

当然,如果您在IT部门工作,那么您需要获得有关Windows流程的更多信息。有两个非常有用的工具可以详细探索Windows流程,我将简要介绍两者。

Process Explorer

process explorer

Process Explorer 是一款漂亮的免费软件应用程序,可让您找到拥有特定进程的确切Windows服务或程序。例如,如果您想知道为每个不同的svchost进程运行的服务,只需将鼠标悬停在进程名称上。

windows xp processes

您还可以使用Process Explorer确定哪个程序打开了特定文件或目录,然后终止该进程。如果您尝试删除或移动文件,这很好,但它们被活动的Windows进程锁定或打开。

您还可以找出进程加载了哪些DLL以及哪些文件当前处理该进程已开放。它对于解决DLL版本问题或跟踪句柄泄漏非常有用。

进程监视器

因此,Process Explorer非常适合学习svchost等神秘过程,但是您可以使用进程监视器 来获取实时文件,注册表和进程/线程活动。我非常喜欢Process Monitor,因为它是RegMon和FileMon的结合,这是来自Sysinternals的两个出色的监控程序。

它是一个很好的工具,可以对系统进行故障排除,也可以根除恶意软件。由于Process Monitor允许您实时查看进程正在访问哪些文件和注册表项,因此在安装新程序时可以看到添加的所有文件和注册表项。

捕获有关进程的更多详细信息,例如图像路径,用户,会话ID和命令行。

process monitor

首次打开Process Monitor时,它可能非常令人生畏,因为它会加载数千个条目,并且主要是系统进程正在做的事情。但是,您可以使用高级过滤器来准确找到您要查找的内容。

过滤器对话框中,您可以按进程名称,事件类,PID,会话进行过滤,用户,版本,时间等等。加载Process Monitor后,它在我的机器上发现了800,000个事件!但是,我可以通过在一个进程中添加过滤器来将其降低到500以下。

它还具有许多其他高级功能,如图像监控(DLL和内核模式设备驱动程序),非破坏性过滤,线程堆栈捕获,高级日志记录,启动时间记录等等。

因此,如果您想在任务管理器中了解更多信息或获取有关这些Windows进程的更多信息,请查看Process Monitor和Process Explorer!享受!

一招让你的网页打开速度提升5倍|蓝视星空第26课

相关文章:


31.10.2008