Page d'accueil » école » Comprendre Process Explorer

    Comprendre Process Explorer

    Cette leçon de notre série Geek School couvre Process Explorer, peut-être l'application la plus utilisée et la plus utile de la boîte à outils SysInternals. Mais connaissez-vous vraiment cet utilitaire??

    NAVIGATION SCOLAIRE
    1. Quels sont les outils SysInternals et comment les utilisez-vous??
    2. Comprendre Process Explorer
    3. Utilisation de Process Explorer pour résoudre et diagnostiquer
    4. Comprendre le moniteur de processus
    5. Utilisation de Process Monitor pour résoudre des problèmes et trouver des traces de registre
    6. Utiliser Autoruns pour gérer les processus de démarrage et les logiciels malveillants
    7. Utilisation de BgInfo pour afficher des informations système sur le bureau
    8. Utilisation de PsTools pour contrôler d’autres PC à partir de la ligne de commande
    9. Analyse et gestion de vos fichiers, dossiers et lecteurs
    10. Récapitulation et utilisation des outils ensemble

    Process Explorer, un gestionnaire de tâches et une application de surveillance du système, existe depuis 2001 et, alors qu'il fonctionnait même sous Windows 9x, les versions modernes ne prennent en charge que XP et les versions ultérieures. Elles ont été continuellement mises à jour avec les fonctionnalités des versions modernes de Les fenêtres. C'est la norme de facto pour traiter les processus de dépannage.

    Alors, que peut faire Process Explorer??

    Certaines des meilleures caractéristiques comprennent les suivantes, bien qu’il ne s’agisse nullement d’une liste exhaustive. Cette application possède de nombreuses fonctionnalités, dont beaucoup sont enfouies profondément dans l'interface. Étonnamment, c'est aussi un très petit fichier.

    • L'arborescence par défaut montre la relation parentale hiérarchique entre les processus et affiche des couleurs pour comprendre facilement les processus en un coup d'œil..
    • Suivi très précis de l'utilisation du processeur pour les processus.
    • Peut être utilisé pour remplacer le gestionnaire de tâches, particulièrement utile sous XP, Vista et Windows 7.
    • Possibilité d'ajouter plusieurs icônes de bac pour surveiller le processeur, le disque, le processeur graphique, le réseau et plus encore.
    • Déterminer quel processus a chargé un fichier DLL.
    • Déterminer quel processus exécute une fenêtre ouverte.
    • Déterminer quel processus a un fichier ou un dossier ouvert et verrouillé.
    • Affichez des données complètes sur tous les processus, y compris les threads, l'utilisation de la mémoire, les descripteurs, les objets et pratiquement tout ce qu'il y a à savoir..
    • Peut tuer tout un arbre de processus, y compris tous les processus lancés par celui que vous avez choisi de tuer.
    • Peut suspendre un processus en gelant tous ses threads afin qu'ils ne fassent rien.
    • Peut voir quel thread dans un processus est en train de maximiser le CPU.
    • La dernière version (v16) intègre VirusTotal dans l’interface pour vous permettre de rechercher la présence de virus dans un processus sans quitter Process Explorer..

    Chaque fois que vous rencontrez un problème avec une application, que quelque chose ne gèle pas sur votre ordinateur ou que vous essayez peut-être de savoir à quoi sert un fichier DLL particulier, Process Explorer est l'outil idéal pour ce travail..

    Comprendre la vue de l'arbre

    Lorsque vous lancez Process Explorer pour la première fois, de nombreuses données visuelles vous sont immédiatement présentées. Il existe une arborescence hiérarchique des processus en cours d'exécution sur votre ordinateur, y compris l'utilisation du processeur et de la RAM en utilisant des valeurs numériques pour chaque processus. Il y a quelques mini-graphiques d'activité en haut dans la barre d'outils, vous montrant l'utilisation du processeur, sur lesquels vous pouvez cliquer pour les afficher dans une fenêtre séparée..

    Il se passe certainement beaucoup de choses et il serait facile de se laisser submerger par tout ce qui est à l'écran..

    L’affichage initial vous donne un ensemble de colonnes comprenant:

    • Processus - le nom de fichier de l'exécutable avec l'icône s'il en existe un.
    • CPU - le pourcentage de temps CPU dans la dernière seconde (ou quelle que soit la vitesse de mise à jour définie)
    • Octets privés - la quantité de mémoire allouée à ce programme seul.
    • Set de travail - la quantité réelle de RAM allouée à ce programme par Windows.
    • PID  - l'identifiant du processus.
    • La description - la description, si l'application en a une.
    • Nom de la compagnie - celui-ci est plus utile que vous ne le pensez. Si quelque chose ne va pas, commencez par rechercher des processus qui ne sont pas de Microsoft.

    Vous pouvez personnaliser ces colonnes et ajouter de nombreuses autres options, ou vous pouvez simplement cliquer sur l'une des colonnes pour trier par ce champ. Si vous avez déjà utilisé le Gestionnaire des tâches auparavant, vous avez probablement trié par mémoire ou par processeur et vous pouvez également le faire ici..

    En cliquant sur Process, vous basculez entre le tri par nom de processus ou le retour à l'arborescence par défaut, ce qui est très utile une fois que vous vous y êtes habitué..

    La vue est mise à jour une fois par seconde, mais vous pouvez accéder à Affichage -> Vitesse de la mise à jour et personnaliser la fréquence de mise à jour, la plus basse étant 0,5 seconde et le niveau supérieur 10 secondes. Si vous l'utilisez pour résoudre les problèmes, la valeur par défaut convient probablement, mais si vous souhaitez l'utiliser en tant que moniteur d'UC placé dans la barre d'état système, 5 à 10 secondes peuvent utiliser moins d'UC pendant son exécution en arrière-plan..

    Vous pouvez également mettre la vue en pause dans le même sous-menu ou simplement en appuyant sur la barre d'espace. Cela gèlera la vue sous forme d'instantané dans le temps, ce qui peut être utile si vous essayez d'identifier un processus qui démarre et meurt rapidement, ou si vous avez décidé de trier par utilisation de la CPU et que toutes les lignes continuent de défiler..

    Cependant, dans le cas d’un processus de fermeture rapide, vous voudriez ajouter des colonnes supplémentaires à la vue par défaut pour tout ce que vous pourriez avoir besoin de savoir, car cliquer sur un processus périmé dans la liste n’affiche pas grand chose dans la vue Détails si le le processus ne fonctionne pas, même si vous avez tout mis en pause.

    Comprendre toutes ces couleurs

    Il y a certainement beaucoup de couleurs dans une liste Process Explorer typique, ce qui peut être un peu déroutant pour le geek débutant. Il est vraiment important d'apprendre ce que toutes ces couleurs signifient, car elles ne sont pas là que pour le spectacle - elles signifient toutes quelque chose d'important.

    Chaque fois que vous ne vous souvenez plus de la signification d'une des couleurs, vous pouvez accéder à Options -> Configurer les couleurs dans le menu pour afficher la boîte de dialogue Sélection des couleurs. Ceci est fondamentalement un aide-mémoire rapide à ce que tout signifie. Continuez à lire, puisque nous allons l'expliquer ici aussi.

    Sur la base des couleurs de l'image ci-dessus, voici la signification de chacun des éléments sélectionnés (les autres ne sont pas vraiment importants).

    • Nouveaux objets (vert clair) - Lorsqu'un nouveau processus apparaît dans Process Explorer, il commence en vert clair..
    • Objets supprimés (rouge) - Lorsqu'un processus est tué ou se ferme, il clignotera généralement en rouge juste avant la suppression..
    • Processus propres (bleuâtre clair) - Processus s'exécutant sous le même compte d'utilisateur que Process Explorer.
    • Services (rose clair) - Les processus de service Windows, bien qu'il soit intéressant de noter qu'ils peuvent avoir des processus enfants qui sont lancés en tant qu'utilisateur différent, et que ceux-ci peuvent être de couleur différente.
    • Processus suspendus (gris foncé) - Lorsqu'un processus est suspendu, il ne peut rien faire. Vous pouvez facilement utiliser Process Explorer pour suspendre une application. Parfois, les applications bloquées apparaissent brièvement en gris pendant que Windows gère le crash.
    • Processus immersif (bleu vif) - C’est une façon élégante de dire que le processus est une application Windows 8 utilisant les nouvelles API. Dans la capture d'écran précédente, vous avez peut-être remarqué WSHost.exe, un processus «Windows Store Host» exécutant des applications Metro. Pour une raison quelconque, Explorer.exe et Task Manager apparaîtront également comme immersifs..
    • Images emballées (violet) - ces processus peuvent contenir du code compressé caché à l'intérieur d'eux, ou du moins Process Explorer pense qu'ils le font en utilisant des méthodes heuristiques. Si vous voyez un processus violet, assurez-vous de rechercher un logiciel malveillant.!

    Comme il existe manifestement un certain chevauchement entre ces différents scénarios, les couleurs seront appliquées par ordre de priorité. Si un processus est un service suspendu, il sera affiché en gris foncé car cette couleur est plus importante..

    D'après ce que nous avons appris lors de nos recherches, la commande est suspendue> Emballée> Immersive> Services -> Processus propres.

    Vérification de l'identité de l'application

    Une option vraiment utile qui, à notre avis, n'est pas activée par défaut se trouve dans Options -> Vérifier les signatures d'image..

    Cette option vérifie la signature numérique de chaque fichier exécutable de la liste, ce qui est un outil de dépannage précieux lorsque vous examinez une application suspecte en cours d'exécution dans la liste..

    La grande majorité des logiciels réputés doivent être signés numériquement à ce stade. Si quelque chose ne va pas, vous devriez regarder très attentivement si vous devriez l'utiliser.

    Prendre des mesures sur un processus

    Vous pouvez agir rapidement sur n'importe quel processus en cliquant dessus avec le bouton droit de la souris et en choisissant l'une des options, ou en utilisant les touches de raccourci si vous préférez. Ces options incluent:

    • La fenêtre - a des options, notamment Bring to Front, qui peuvent être utiles pour identifier plus facilement la fenêtre associée à un processus. S'il n'y a pas de fenêtre pour ce processus, il sera grisé.
    • Définir la priorité - vous pouvez l'utiliser pour configurer la priorité d'un processus. Ceci est surtout utile pour apprivoiser un processus qui ne vous tente pas de tuer..
    • Processus de tuer - comme vous pouvez l'imaginer, cela tue rapidement ce processus.
    • Kill Process Tree - Cela tue non seulement l'élément de la liste, mais également les enfants de ce processus parent.
    • Redémarrer - spectaculairement utile lors des tests, cela tue simplement le processus, puis le redémarre. Il est à noter que l'abattage de processus peut entraîner la perte de données..
    • Suspendre - Cette option pratique est idéale pour le dépannage lorsqu'un processus est hors de contrôle. Vous pouvez simplement suspendre le processus plutôt que de le tuer et vérifier si quelque chose ne va pas..
    • Vérifier VirusTotal - c'est une nouvelle option que nous expliquerons plus loin. C'est vraiment très pratique, car il vérifie le processus pour les virus.
    • Recherche en ligne - cela va juste chercher sur le web pour le nom du processus.

    Et évidemment, si vous ouvrez des propriétés qui vous amèneront à des informations encore plus utiles sur le processus, nous en traiterons en grande partie dans la prochaine leçon..

    Remarque: nous avons testé l'option Temp mais n'avons aucune idée de ce qu'elle fait.

    Courir en tant qu'administrateur

    Bien que vous ne deviez absolument pas exécuter Process Explorer en tant qu'administrateur, sans cela, de nombreuses fonctionnalités utiles ne fonctionneront pas et vous ne pourrez pas afficher autant d'informations sur chaque processus..

    Si vous utilisez Windows XP ou 2003, vous devez vous connecter à un compte doté de tous les droits d'administrateur pour utiliser la plupart des fonctionnalités. Ce n'est probablement pas un problème pour la plupart des gens, car XP a tout de même donné au compte par défaut tous les privilèges, mais si vous essayez de l'utiliser au travail sans accès administrateur, cela ne fonctionnera pas aussi bien..

    Puisque la plupart de nos lecteurs utilisent Windows 7, 8.x ou même Vista, vous serez probablement familiarisé avec l'exécution d'une application en tant qu'administrateur. C'est vraiment facile… faites un clic droit et choisissez l'option dans le menu.

    Fait amusant: Process Explorer utilise en réalité le privilège Debug Programs, ce qui explique en grande partie pourquoi il est si puissant..

    Forcer Process Explorer à toujours ouvrir en tant qu'administrateur

    Si vous voulez vous assurer que Process Explorer s'ouvre toujours en tant qu'administrateur sans avoir à vous rappeler de cliquer dessus avec le bouton droit de la souris, vous pouvez le forcer en créant un raccourci spécial qui nécessite le mode Administrateur ou en ouvrant les propriétés de procexp.exe. aller à la compatibilité, puis en choisissant l'option "Exécuter ce programme en tant qu'administrateur".

    Dans tous les cas, cela fonctionnera parfaitement ou vous pourrez également désactiver le contrôle de compte d'utilisateur si vous préférez, ce qui permet de tout faire fonctionner en tant qu'administrateur tout le temps. Nous ne recommandons pas cela, mais vous pouvez le faire.

    Utilisation de Process Explorer pour remplacer le gestionnaire de tâches

    Process Explorer est depuis longtemps utilisé pour remplacer puissamment l’application auparavant anemic Task Manager dans toutes les versions de Windows antérieures à Windows 8, et en supposant que vous souhaitiez avoir un réel pouvoir entre vos mains, il fonctionne vraiment très bien comme remplacement dans cette version également..

    Remarque: Le Gestionnaire des tâches de Windows 8 est considérablement amélioré par rapport aux versions précédentes. Ce n'est toujours pas aussi puissant que Process Explorer, mais il est probablement plus facile à utiliser pour les gens ordinaires. Alors ne changez pas l'ordinateur de maman pour utiliser Process Explorer par défaut.

    Pour que Process Explorer remplace le gestionnaire de tâches, il vous suffit de choisir l'option Options -> Remplacer le gestionnaire de tâches dans le menu. C'est tout.

    Une fois que vous avez fait cela, utilisez CTRL + SHIFT + ESC ou cliquez avec le bouton droit de la souris sur la barre des tâches pour lancer Process Explorer plutôt que le Gestionnaire des tâches. Facile, droit?

    AttentionSi vous remplacez le Gestionnaire des tâches, assurez-vous que vous avez placé Process Explorer dans un endroit où vous ne déplacerez ni ne supprimerez accidentellement le fichier. Sinon, vous serez coincé avec un système qui ne peut lancer aucun gestionnaire de tâches..

    Utilisation de Process Explorer en tant que moniteur d’icône de plateau génial

    L'une des meilleures fonctionnalités de Process Explorer est la possibilité de le minimiser dans la barre d'état système, mais au lieu d'une seule icône, il peut également être réduit à un ensemble complet d'icônes pouvant surveiller le processeur, les E / S, le disque, le réseau, le processeur graphique , et RAM, ou toute combinaison de ceux-ci. Vous pouvez les configurer pour qu'ils s'affichent séparément ou pas du tout, si vous préférez..

    Pour ce faire, ouvrez le menu Options, allez à la section Icônes de la barre de tâches, puis cliquez pour activer chacune des icônes de la barre de tâches que vous souhaitez voir..

    Vous pouvez simplement exécuter Process Explorer chaque fois que vous démarrez votre ordinateur, puis le réduire dans la barre d'état système pour qu'il soit toujours là pour vous. Et, bien sûr, si vous avez utilisé l’option pour remplacer le Gestionnaire des tâches, vous pouvez y accéder rapidement à tout moment avec une touche de raccourci - vous pouvez toutefois utiliser l’option «Autoriser une seule instance» pour vous assurer de ne pas ouvrir de dossier. tas de fenêtres séparées.

    Utilisation de Process Explorer pour rechercher rapidement VirusTotal

    Si vous travaillez sur un PC à problème et souhaitez déterminer si un processus est un virus, vous pouvez gagner du temps en utilisant Process Explorer version 16 ou ultérieure, car ils ont ajouté l'intégration de VirusTotal directement dans l'application. Faites un clic droit sur n'importe quoi dans la liste pour voir l'option.

    La première fois que vous l'exécutez, il vous sera demandé d'accepter les conditions d'utilisation de VirusTotal, mais les résultats de VirusTotal s'afficheront ensuite dans la liste..

    Vous pouvez cliquer sur le résultat pour aller à VirusTotal et voir les détails. C'est un excellent ajout à l'un des meilleurs utilitaires de tous les temps.

    Leçon suivante: Utilisation de Process Explorer pour résoudre et diagnostiquer

    Dans la prochaine leçon de notre série, nous verrons beaucoup plus en détail comment utiliser Process Explorer dans certains scénarios concrets pour résoudre des problèmes courants tels que les logiciels malveillants et les logiciels malveillants. Assurez-vous de rester à l'écoute pour le reste de la série.