คุณเคยไปที่ Task Manager ใน Windows แล้วคลิกที่แท็บ Process เพื่อดูว่า svchost.exe ใช้ CPU ของคุณ 100% หรือไม่ โชคไม่ดีที่ไม่ได้ช่วยให้คุณทราบว่าโปรแกรมใดใน Windows ที่ใช้กำลังประมวลผลทั้งหมด
ใน Windows มีกระบวนการมากมายเช่น SVCHOST ที่สามารถเรียกใช้บริการ Windows ที่หลากหลายเช่น Windows Update, DCOM, การเรียกขั้นตอนระยะไกล, Remote Registry, DNS และอีกมากมาย หรือบางทีคุณแค่ต้องคิดออกว่ากำลังโหลด DLLs ใดและตัวจัดการใดที่เปิดอยู่สำหรับกระบวนการเฉพาะ คุณอาจต้องการข้อมูลนี้เพื่อปิดการใช้งานโปรแกรมเริ่มต้นของ Windows
แน่นอนว่าถ้าคุณทำงานด้านไอทีจะมีเวลาที่คุณต้องการข้อมูลเพิ่มเติมเกี่ยวกับกระบวนการ Windows มีเครื่องมือที่มีประโยชน์สองอย่างสำหรับการสำรวจกระบวนการ Windows โดยละเอียดและฉันจะให้ภาพรวมสั้น ๆ ของทั้งสอง
Process Explorer
Process Explorer เป็นแอปพลิเคชั่นฟรีแวร์ที่ช่วยให้คุณค้นหาบริการหรือโปรแกรม Windows ที่เป็นเจ้าของกระบวนการเฉพาะ ตัวอย่างเช่นหากคุณต้องการทราบบริการที่ใช้สำหรับกระบวนการ svchost ที่ แตกต่างกันเพียงเลื่อนเมาส์ไปเหนือชื่อกระบวนการ
คุณยังสามารถใช้ Process Explorer เพื่อหาว่าโปรแกรมใดมีไฟล์หรือไดเรกทอรีเฉพาะเปิดอยู่และจากนั้นหยุดกระบวนการนั้น สิ่งนี้ดีมากหากคุณพยายามลบหรือย้ายไฟล์ แต่ไฟล์นั้นถูกล็อคหรือเปิดโดยกระบวนการ Windows ที่ทำงานอยู่
นอกจากนี้คุณยังสามารถค้นหา DLLs ที่กระบวนการโหลดและไฟล์ใดที่จัดการกระบวนการที่เปิดอยู่ในปัจจุบัน มันมีประโยชน์มากสำหรับการค้นหาปัญหาเกี่ยวกับรุ่น DLL หรือการจัดการกับรอยรั่ว
การตรวจสอบกระบวนการ
ดังนั้น Process Explorer จึงยอดเยี่ยมสำหรับการเรียนรู้เกี่ยวกับกระบวนการเข้ารหัสลับเช่น svchost เป็นต้น แต่คุณสามารถใช้ Process Monitor เพื่อรับไฟล์เรียลไทม์รีจิสตรีและกิจกรรมกระบวนการ / เธรด ฉันชอบ Process Monitor มากเพราะเป็นการผสมผสานระหว่าง RegMon และ FileMon โปรแกรมตรวจสอบที่ยอดเยี่ยมสองโปรแกรมจาก Sysinternals
มันเป็นเครื่องมือที่ยอดเยี่ยมสำหรับการแก้ไขปัญหาระบบของคุณและเพื่อกำจัดมัลแวร์ที่น่ารำคาญ เนื่องจากการตรวจสอบกระบวนการช่วยให้คุณเห็นไฟล์และคีย์รีจิสตรีที่กำลังถูกเข้าถึงโดยกระบวนการแบบเรียลไทม์จึงเหมาะสำหรับการดูไฟล์และรายการรีจิสตรีทั้งหมดที่เพิ่มเข้ามาเมื่อติดตั้งโปรแกรมใหม่
นอกจากนี้ยังรวบรวมข้อมูลรายละเอียดเพิ่มเติมเกี่ยวกับกระบวนการเช่นเส้นทางรูปภาพผู้ใช้ ID เซสชันและบรรทัดคำสั่ง
เมื่อคุณเปิดการตรวจสอบกระบวนการเป็นครั้งแรกมันอาจเป็นการข่มขู่อย่างมากเพราะมันจะโหลดรายการนับพันรายการและส่วนใหญ่จะเป็นสิ่งที่กระบวนการของระบบกำลังทำอยู่ อย่างไรก็ตามคุณสามารถใช้ตัวกรองขั้นสูงเพื่อค้นหาสิ่งที่คุณต้องการได้อย่างแน่นอน
ในกล่องโต้ตอบ ตัวกรอง คุณสามารถกรองตามชื่อกระบวนการคลาสเหตุการณ์ PID เซสชันผู้ใช้รุ่นเวลาของวันและอีกมากมาย หลังจากโหลดการตรวจสอบกระบวนการพบ 800, 000 เหตุการณ์ในเครื่องของฉัน! อย่างไรก็ตามฉันสามารถนำมันลงมาน้อยกว่า 500 ได้โดยเพิ่มตัวกรองเพื่อฝึกฝนในขั้นตอนเดียว
นอกจากนี้ยังมีคุณสมบัติขั้นสูงอื่น ๆ อีกมากมายเช่นการตรวจสอบภาพ (DLL และไดรเวอร์อุปกรณ์โหมดเคอร์เนล), การกรองแบบไม่ทำลายการดักจับสแต็กสแต็ค, การบันทึกขั้นสูง, การบันทึกเวลาบูตและอีกมากมาย
ดังนั้นหากคุณต้องการทราบข้อมูลเพิ่มเติมหรือรับข้อมูลเพิ่มเติมเกี่ยวกับกระบวนการ Windows เหล่านั้นใน Task Manager ให้ตรวจสอบ Process Monitor และ Process Explorer! สนุก!
