Process Explorer

http://smages.com/t/7e/e4/7ee4ff8ab05a0056a76309fa8cc50a4b.jpg (http://smages.com/7e/e4/7ee4ff8ab05a0056a76309fa8cc50a4b.jpg.htm)

[hr]
Process Explorer - компактная, но мощная программа с удобным интерфейсом для мониторинга в режиме реального времени запущенных в системе процессов. Показывает подробнейшую информацию обо всех
запущенных процессах, включая владельца, использование памяти, задействованные библиотеки и т.д. Имеет мощную систему поиска, позволяющую искать процессы, открывающие специфический дескриптор или загружающую определенную DLL. Кроме этого, Process Explorer допускает изменение приоритетов процессов и их выгрузку.

Удобный и быстрый инструмент как для "любителя", так и для "профессионала". Просмотра запущенных процессов, срочное завершение процессов (работает на Win9X гораздо быстрее, чем пресловутые "три кнопки"), управление приорететами процессов и элементарные функции управления их окнами. Начиная с версий 9.х - информация о занимаемом процессорном времени и загрузке процессора в целом.
[hr]
Загрузка:

Скачать последнюю версию с OSZone. Версия (Process Explorer 11.21) (http://soft.oszone.net/program/89/Process_Explorer/)






Полезные ресурсы:

Официальный сайт (http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx)
Страница информации (http://www.sysinternals.com/Utilities/ProcessExplorer.html) (на английском), истории, и загрузки.








[hr]

Однозначно must have (должно быть у каждого). А также Pricelessware.
Старые версии были куда компактнее, но новые - нагляднее и функциональнее. Рекомендую всем хотя бы попробовать.

Давно входит в число программ, которых устанавливаю в первую очередь.
Жаль только, что не показывает количество потребляемой памяти по программам...

Erekle
Жаль только, что не показывает количество потребляемой памяти по программам...
Показывает. View - Select Columns - Process Performance - Working set size. Там же многое другое.

как альтернативка - http://nirsoft.net/utils/cprocess.html

Vadikan
Спасибо! Это, наверное, в XP?
(Я познакомился с ProcExp в Win98 и там этого не было и нет, и в XP уже не смотрел на различия; а посмотреть сейчас в нем не могу в виду проблем с ним)

Erekle
Ну да, в XP/2k так.

Queen Black
как альтернативка - http://nirsoft.net/utils/cprocess.htmlДля работы с процессами - возможно, но в целом Process Explorer намного функциональнее. Хорош как замена Диспетчеру Задач. Утилит сочетающих такую функциональность с бесплатностью фактически нет.

Вад, да тут скорее не альтернатива, а - расширениt кругозора.
Sysinternals и Winternals не единственные, которые пишут мелкие узкоспециализированные системные модули. То что они ведущие - этого никто не отрицает ;)

Queen Black
Согласен. По функциональности - TaskInfo (http://www.iarsn.com/taskinfo.html), наверное всех победит, но она не бесплтана.

Process Explorer v10.02 WinALL
http://www.sysinternals.com/Utilities/ProcessExplorer.html

Здраствуйте!
Как вернить столбец "Process Name".
Просто занова кидая файл программы и запуская его не поможет.

Как вернить столбец "Process Name".
Просто занова кидая файл программы и запуская его не поможет. »
Настройки хранятся в реестре: HKEY_CURRENT_USER\Software\Sysinternals\Process Explorer. Какой параметр за это отвечает я не знаю. Можно просто удалить эту ветку и заново запустить Process Explorer, тогда все настройки будут по умолчанию.

Доброй ночи, коллеги. Какие особенности процесса должны насторожить при просмотре дерева процессов?

В первую очередь, и не только при использовании Process Explorer, следует обращать внимание на:

наличие и достоверность цифровой подписи;
описания процесса;
издателя;
расположение файла или процесса;
системная служба или процесс редко используют каталог хранения файлов /temp/;
имя файла соответствует реальному существующему файлу системы, но путь отличается (например svchost.exe, smss.exe, подробнее об этом здесь (http://sonikelf.ru/svchost/));
путь совпадает, но имя немного отличается (например svch0st.exe вместо svchost.exe, подробнее об этом здесь (http://sonikelf.ru/svchost/));
дату создания, дата, чаще всего, должна совпадать с датами остальных системных файлов, особенно должно насторожить вас, если дата создания соответствует предполагаемой дате заражения;
вкладку String.

При малейшем подозрении используйте проверку на ВирусТотал, в программе реализована эта функция.

Какие особенности процесса должны насторожить »
С т.з. вирусни - сам факт наличия процесса в PE. Уж свои-то процессы ты должен бы знать наперечет... я так думаю :)

Не надо настораживаться. Надо убивать, а потом уж разбираться - что это было, почему антивирь и ли фаер пропустили... Проги убивай смело, а сервисы - сверяйся с бумажкой хотя бы. Скриншот сделай нормальной системы. В верхней части PE, над Explorer - службы. Поскольку большинство из них рулится через svchost, то лучше контролировать список реально запущенного и параметры запуска через pserv2 (не 3!).
.

Mersim,
Простите, но я ничего не понял из вашего сообщения. Можно более внятно? Особенно вот это :сам факт наличия процесса в PE »

Внятно. Куда уж внятнее?

Ты ведь за зловредов переживаешь - "Process Explorer как инструсент для отслеживания вирусов", так? Так. И задаешь вопрос - "Какие особенности процесса должны насторожить". Так, спрашивается, чего дергаться по поводу легитимных процессов, которые ты знаешь в лицо? Нечего.

Что ты думаешь, svchost тебе начнет усиленно подмигивать, когда через него трояны в сеть ломанутся? А ты видел, сколько их у тебя этих svchost запущено? Будешь у каждого дочерние процессы изучать во вклакдке сервисы? Вот для этого я тебе и присоветовал pserv2...

А незнакомый процесс надо прежде всего убить. Ну, взглянув предварительно на путь запуска. Убить, а потом уж разбираться. А PE и pserv2 лишь помогут тебе обнаружить его глазами среди прочих православных. Не более...

Все это и означает, что достаточно просто факта наличия постороннего процесса, чтобы предпринять конкретные действия, а именно - убить. Не надо искать особенности. На этом этапе, имеется ввиду.

Что тут непонятного? Железная, примитивная, рациональная логика, основанная на свойственном любому нормальному человеку инстинкте самосохранения.
.

Что значат Private Bytes и Working Set в этой программе? И какая разница между этими параметрами?

sjsdjsoiq,
Private Bytes - объем оперативной памяти, выделенной данному процессу и не разделяемой с другими процессами.

Working Set - рабочий набор процесса, представляющий собой суммарный объем всех страниц используемой им памяти, в данный момент времени. Размер этого набора может изменяться, в зависимости от запросов процесса. Практически все процессы используют разделяемую память.