文章目录
- Process Explorer.exe的使用
- 下载地址
- 作用
- 使用场景
- 工作原理
- 字段及功能介绍
- 重要字段信息介绍
- 重要功能介绍
- File按钮
- Options按钮
- View按钮
- Process按钮
- Find按钮
- 察看进程模块加载及句柄占用情况
Process Explorer.exe的使用
下载地址
https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer作用
察看当前主机上的进程信息
使用场景
当需要察看当前主机上有哪些程序在运行,或者察看某个文件被某个进程占用时使用。
工作原理
通过在系统中创建进程快照,然后遍历进程快照中的进程获得其信息然后显示出来。(实质是通过遍历R0层中进程的EPROCESS内核结构组成的双向链表来枚举系统中的进程)
字段及功能介绍
需要使用该软件时只需双击运行即可,初始界面如图:
重要字段信息介绍
何为一个进程
进程名
进程ID(PID),该进程在主机上的唯一标识符
对该进程的简单描述
进程实体文件的签名情况
进程实体文件的绝对路径
进程实体文件在VirusTotal.com上的扫描结果,例如0/72,解释为72家病毒厂商中有0家对其报毒。
以上只是该进程相关的部分信息,当你想了解关于该进程的更多信息时,可以使用下面的方法选择显示更多信息。
想要显示什么信息,勾选上就行了
重要功能介绍
File按钮
运行命令行,相当于win+r
保存当前主机进程信息
主机操作
Options按钮
验证进程实体文件签名
将进程实体文件在VT上进行检查,下面一条为提交未知文件,不建议勾选。
进程具有特殊属性或者或者在特定状态时具有特定的颜色。
View按钮
察看主机上的资源使用情况,如CPU,GPU占用率,内存使用情况等。
按树状显示进程关系,更能体现进程之间的父子关系。
Process按钮
对某条进程的操作选项,选中某条进程单击process选项(或者右键)就可以就该进程进行操作了,红框中的选项意思依次是:
1,结束该进程。
2,结束进程树,即结束该进程及其子进程。
3,重新启动该进程。
4,暂停该进程。
5,调试该进程,即将该进程附加到调试器中。
6,将该进程空间中的数据dump下来。
7,将该进程的实体文件在VT上进行检查。
8,察看该进程的属性,双击该进程也能察看。
9,在线搜索该进程的实体文件。
双击察看该进程的属性,下面是对其属性中关键字段的说明。
Find按钮
在所有进程中查找句柄或者某个DLL被谁占用,快捷键ctrl+f,只需输入句柄名或者DLL文件名即可。
如:输入DLL名即可找到是哪个进程占用了他。
双击该条目,就能找到其具体的占用信息。
察看进程模块加载及句柄占用情况
察看某条进程加载了哪些模块,快捷键Ctrl+D或者Ctrl+L,Ctrl+L可以关闭此察看窗口。
右键某个模块可以
1,察看其属性。
2,在线搜索其实体文件。
3,使用VT扫描其报毒情况。
察看某条进程占用了哪些句柄,快捷键Ctrl+H。
右键某个句柄可以
1,关闭该句柄,即解除该进程对该句柄的占用。
2,察看该句柄的属性。
