sysinternals Pro: comprensión Process Explorer

Esta lección en nuestra serie Escuela de experto cubre el explorador de procesos, quizás la aplicación más utilizada y útil en el kit de herramientas SysInternals. Pero qué tan bien sabe realmente esta utilidad?

Process Explorer, una aplicación de monitorización administrador de tareas y el sistema, ha existido desde 2001, y mientras que solía trabajar incluso en Windows 9x, las versiones modernas sólo el apoyo de XP y superiores, y han estado actualizando continuamente con las características de las versiones modernas de de windows. Es el estándar de facto para hacer frente a los procesos de resolución de problemas.

Algunas de las mejores características incluyen los siguientes, aunque esto no es de ninguna manera una lista exhaustiva. Esta aplicación tiene muchas características, y muchos de los que están enterrados profundamente dentro de la interfaz. Sorprendentemente también es un archivo muy pequeño.

Cada vez que haya un problema con una aplicación, o algo mantiene la congelación en el equipo, o tal vez usted está tratando de averiguar lo que un archivo DLL en particular se utiliza para, Process Explorer es la herramienta para el trabajo.

La primera vez que el explorador de procesos de lanzamiento, que se presentan con una gran cantidad de datos visuales de inmediato – no hay una vista de árbol jerárquico de los procesos que se ejecutan en el equipo, incluyendo el uso de la CPU y la RAM usando valores numéricos para cada proceso. Hay algunos pequeños mini gráficos de actividad que se ejecutan en la parte superior de la barra de herramientas, que muestran el uso de la CPU, lo que se puede hacer clic para ver en una ventana separada.

Definitivamente hay mucho que hacer, y sería fácil de ser abrumado por todo en la pantalla.

La pantalla inicial le proporciona un conjunto de columnas que incluyen

Puede personalizar estas columnas y añadir muchas otras opciones, o simplemente puede hacer clic en cualquiera de las columnas para ordenar por ese campo. Si alguna vez has usado el Administrador de tareas antes, de lo que has ordenado la información por la memoria o CPU, y se puede hacer eso aquí también.

Al hacer clic sobre el proceso le dará la vuelta entre la clasificación por el nombre del proceso, o regresar a la vista de árbol por defecto, que es muy útil una vez que se acostumbre a ella.

La vista se actualiza una vez por segundo, pero se puede ir a Ver -> Actualización de velocidad y personalizar la frecuencia con que se actualiza, siendo la más baja de 0,5 segundos y el nivel superior que es de 10 segundos. Si usted lo está utilizando para solucionar el valor por defecto es probablemente muy bien, pero si quieres usarlo como un monitor de CPU que se sienta en la bandeja del sistema, 5 o 10 segundos podrían utilizar menos CPU mientras se ejecuta en segundo plano.

También puede pausar la vista bajo el mismo submenú, o simplemente pulsando la barra espaciadora. Esto congelará la vista como una instantánea en el tiempo, lo cual puede ser útil si usted está tratando de identificar un proceso que se inicia con rapidez y muere, o si ha decidido ordenar por uso de la CPU y todas las filas seguir saltando alrededor.

En el caso de un proceso de cierre rápido, sin embargo, le gustaría que añadir columnas adicionales a la vista por defecto para todo lo que necesite saber, porque al hacer clic en un proceso desaparecida en la lista no se mostrará tanto en la vista de detalles si el proceso no está funcionando, aunque la que detuvo todo.

Definitivamente, hay un montón de colores en una lista típica Explorador de procesos, que puede ser un poco confuso para el friki de principiante. Es muy importante aprender lo que significan todos estos colores, porque no están allí sólo para mostrar – cada uno de ellos significan algo importante.

Siempre que usted no puede recordar lo que uno de los colores de los medios, se puede ir a Opciones -> Configuración de colores en el menú para tirar hacia arriba el cuadro de diálogo de selección de color. Esto es básicamente una hoja de referencia rápida sobre lo que significa todo. Sigue leyendo, ya que vamos a explicarlo aquí también.

Sobre la base de los colores en la imagen de arriba, aquí es lo que cada uno de los elementos seleccionados significa (los otros no son realmente importantes).

Puesto que es evidente que existe cierta superposición entre estos diferentes escenarios, los colores serán aplicadas en un orden de precedencia. Si un proceso es un servicio y se suspende, se mostrará en gris oscuro debido a que el color es más importante.

A partir de lo que hemos aprendido mientras que la investigación, el orden se suspende> Bolsas> Immersive> Servicios -> Procesos propios.

Una opción muy útil que nos sorprende no está activado por defecto se encuentra en Opciones -> Verificar firmas de imagen.

Esta opción será comprobar la firma digital para cada archivo ejecutable en la lista, que es una herramienta de solución de problemas de gran valor cuando usted está buscando en alguna aplicación sospechosa que se ejecuta en la lista.

La gran mayoría del software de buena reputación debe estar firmado digitalmente en este punto. Si hay algo que no es, usted debe mirar con mucho cuidado en determinar si debe hacerse utilizando.

Usted puede tomar medidas rápidamente en cualquier proceso haciendo clic derecho sobre ella y seleccionando una de las opciones, o utilizando las teclas de acceso directo, si lo prefiere. Estas opciones incluyen

Y, obviamente, si se abre la ventana de propiedades que le llevará a aún más útil información sobre el proceso, muchos de los cuales vamos a entrar en la siguiente lección.

Nota: Hemos probado la opción de temperatura, pero no tienen ni idea de lo que hace.

Mientras que usted no absolutamente necesario para ejecutar el explorador de procesos como administrador, sin hacer muchas de las características útiles que no va a funcionar, y usted no será capaz de ver toda la información acerca de cada proceso.

Si está ejecutando en Windows XP o 2003, que tendrá que estar funcionando como una cuenta que tenga derechos de administrador para utilizar la mayoría de las características. Esto probablemente no es un problema para la mayoría de la gente, porque XP dio la cuenta predeterminada de todos los privilegios de todos modos, pero si usted está tratando de utilizar esto en el trabajo sin acceso de administrador, no va a funcionar tan bien.

Dado que la mayoría de nuestros lectores están utilizando Windows 7, 8.x, o incluso Vista, es probable que esté familiarizado con el funcionamiento de una aplicación como administrador. Es muy fácil … simplemente haga clic derecho y elegir la opción del menú.

Dato divertido: Process Explorer utiliza realmente el privilegio Depurar programas, que va un largo camino para explicar por qué es tan poderoso.

Si desea asegurarse de que siempre se abre Process Explorer como administrador sin tener que recordar que hacer clic derecho sobre el mismo, puede forzar a que ya sea haciendo un acceso directo especial que requiere el modo de administrador, o mediante la apertura de las propiedades de procexp.exe ir a la compatibilidad, y luego elegir la opción “Ejecutar este programa como administrador”.

De cualquier manera va a funcionar bien, o también podría simplemente desactivar el UAC, si lo prefiere, lo que hace que todo funcione como administrador todo el tiempo. No estamos recomendando eso, sino que podemos hacerlo.

Process Explorer ha sido utilizado como un reemplazo de gran alcance para la aplicación previamente anémico Administrador de tareas en todas las versiones de Windows anteriores a Windows 8, y asumiendo que usted quiere algo de poder real en sus manos, que funciona muy bien como un reemplazo en esa versión también.

Nota: el Administrador de tareas de Windows 8 está muy mejorado respecto a versiones anteriores. Todavía no es tan poderoso como el explorador de procesos, pero es probable que sea más fácil para la gente normal a utilizar. Así que no se cambie el ordenador de la mamá por defecto a Process Explorer.

Para hacer Process Explorer reemplazar el Administrador de tareas, todo lo que tiene que hacer es elegir las opciones -> opción Reemplazar el Administrador de tareas en el menú. Eso es.

Una vez que hayas hecho esto, usando CTRL + SHIFT + ESC o haga clic en la barra de tareas tanto en el explorador de procesos de lanzamiento en lugar de Administrador de tareas. Fácil, ¿verdad?

Advertencia: si lo hace reemplazar el Administrador de tareas, hacer absolutamente seguro de que usted ha puesto el explorador de procesos en un lugar que no se va a mover de forma accidental o borrar el archivo. De lo contrario, tendremos que aguantar con un sistema que no puede lanzar cualquier Administrador de tareas.

Una de las mejores características del explorador de procesos es la capacidad de minimizar en la bandeja del sistema, pero en lugar de un solo icono, se puede minimizar en un conjunto completo de iconos que puede monitorizar la CPU, I / O, disco, red, GPU , y la memoria RAM, o cualquier combinación de ellos. Se pueden configurar para mostrar por separado, o en absoluto, si lo prefiere.

Para hacer esto, abra el menú Opciones, vaya a la sección de iconos de la bandeja y, a continuación, haga clic para activar cada uno de los iconos de la bandeja que le gustaría ver.

Se podía ejecutar el explorador de procesos cada vez que inicia el funcionamiento de su equipo y, a continuación minimizarlo a la bandeja del sistema por lo que siempre estará ahí para ti. Y, por supuesto, si se utiliza la opción de reemplazar el Administrador de tareas, puede acceder rápidamente a él en cualquier momento con una tecla de acceso directo – aunque es posible que desee utilizar la opción “Permitir sólo una instancia” para asegurarse de que no abra una montón de ventanas separadas.

Si está trabajando en un ordenador problema y quiere averiguar si un proceso es un virus, puede ahorrar tiempo mediante el uso de Process Explorer versión de 16 o superior, porque se han añadido la integración VirusTotal directamente en la aplicación. Simplemente haga clic en nada en la lista para ver la opción.

La primera vez que lo ejecute, se le pedirá que acepte los términos de uso de VirusTotal, pero después de que lo haga, verá los resultados de VirusTotal aparecen allí mismo en la lista.

Puede hacer clic en el resultado de ir a VirusTotal y ver los detalles. Es una gran adición a una de las mejores utilidades de la historia.

En la siguiente lección en nuestra serie que vamos a entrar en muchos más detallada acerca de cómo utilizar el explorador de procesos en algunos escenarios del mundo real para solucionar problemas comunes como el malware y crapware. Asegúrese de que estén atentos para el resto de la serie.

Página siguiente: Usando el explorador de procesos para solucionar problemas y diagnosticar

Excelente tutorial, no había encontrado el virus cosita total, gracias por eso.

Hay una buena razón para no usar el explorador de procesos para reemplazar el Administrador de tareas y eso si es necesario reiniciar el Explorador de Windows. Funciona 100% de las veces con el Administrador de tareas, pero a veces simplemente no lo hace con el PE.

Yo no sabía acerca de la opción de VirusTotal o bien – que es una característica muy bien! En especial me gusta cómo se puede entrar en el menú Opciones y tenerlo activado para todos los procesos, y luego presentar cualquier virus de archivos total no reconoce como un lote.

Me pareció bastante interesante para ver algunos de los artículos que quedó marcados por algunos de los escáneres de VirusTotal. (Bueno, sólo un escáner de verdad.)

La columna verificado firmante es también una característica interesante que no había encontrado todavía. Durante el tiempo que he estado usando el Explorador de procesos, estoy un poco sorprendido por algunas de las cosas que nunca me di cuenta de que podía hacer.

Esto es un gran artículo, pero PE tiene más colores que me gustaría conocer. En los sysinternals, y el sitio de Microsoft es muy complicado para un beginner.I han amarilla y marrón también.

Para obtener la leyenda coloración completa, vaya a Opciones-> Configurar colores. De acuerdo con ese cuadro de diálogo, el amarillo defecto puede ser o bien “Reubicación de DLL” o “Procesos .Net” y marrón sería “Jobs” – sin embargo, ninguna de ellas está activada de forma predeterminada. (Ni, para el caso, es la opción “Proceso de inmersión” que se menciona en el artículo de HTG).

Proceso de inmersión está activado por defecto si se ejecuta el explorador de procesos en Windows 8.1 por lo que puedo decir.

The.NET, Relocación, y el empleo son sólo para los desarrolladores en su mayoría, no se utilizan en realidad mucho o útil para solucionar problemas regular.

Un par de VirusTotal hallazgos más interesantes. Parece que este escáner “tianismo-AVL” tiene una definición bastante amplia de “Troya”.

Proceso de inmersión está activado por defecto si se ejecuta el explorador de procesos en Windows 8.1 por lo que puedo decir.

Eso lo explica. Todavía estoy pegando con Windows 7.

Gracias por la respuesta, lo he descubierto jugando con el programa (debería haber hecho eso primero …) Novicio.

A pesar de que los anillos de Saturno se extienden hacia el exterior cerca de 50.000 millas de la línea ecuatorial de Saturno, que son muy flaco: los anillos varían en espesor desde aproximadamente 32 pies a un poco más de una milla y media de espesor.