Bạn đã bao giờ truy cập Trình quản lý tác vụ trong Windows và chỉ nhấp vào tab Xử lý để xem svchost.exe đang chiếm 100% CPU của bạn đó? Thật không may, điều đó không giúp bạn tìm ra chương trình nào trong Windows thực sự sử dụng hết sức mạnh xử lý.
Trong Windows, có rất nhiều quy trình, như SVCHOST, thực sự có thể chạy một số dịch vụ Windows khác nhau , chẳng hạn như Windows Update, DCOM, Cuộc gọi thủ tục từ xa, Đăng ký từ xa, DNS và nhiều tính năng khác. Hoặc có thể bạn chỉ cần tìm ra các tệp DLL nào được tải và các xử lý nào được mở cho một quy trình cụ thể. Bạn cũng có thể muốn thông tin này để bạn có thể vô hiệu hóa các chương trình khởi động Windows.
Chắc chắn nếu bạn làm việc trong lĩnh vực CNTT, sẽ có một thời gian khi bạn cần thêm thông tin về quy trình Windows . Có hai công cụ thực sự hữu ích để khám phá các quy trình của Windows một cách chi tiết và tôi sẽ đưa ra một tổng quan ngắn về cả hai.
Process Explorer
Process Explorer là một ứng dụng phần mềm miễn phí tiện lợi cho phép bạn tìm hiểu chính xác dịch vụ hoặc chương trình Windows sở hữu một quy trình cụ thể. Ví dụ: nếu bạn muốn biết dịch vụ đang chạy cho mỗi quy trình svchostkhác nhau, chỉ cần di chuột qua tên quy trình.
Bạn cũng có thể sử dụng Process Explorer để tìm ra chương trình nào có một tệp hoặc thư mục cụ thể mở và sau đó giết quá trình đó. Điều này là tuyệt vời nếu bạn đang cố gắng xóa hoặc di chuyển các tập tin, nhưng chúng bị khóa hoặc mở bởi một tiến trình Windows đang hoạt động.
Bạn cũng có thể tìm ra tệp DLL nào mà quá trình đã tải và tệp nào xử lý hiện tại đã mở. Nó rất hữu ích để tìm ra các vấn đề về phiên bản DLL hoặc theo dõi rò rỉ xử lý.
Trình theo dõi quá trình
Vì vậy, Process Explorer rất tuyệt vời để tìm hiểu về các quá trình khó hiểu như svchost, v.v. bạn có thể sử dụng Process Monitor để nhận tệp thời gian thực, đăng ký và hoạt động xử lý / chuỗi. Tôi thực sự thích Process Monitor vì nó là sự kết hợp giữa RegMon và FileMon, hai chương trình giám sát tuyệt vời từ Sysinternals.
Đây là một công cụ tuyệt vời để khắc phục sự cố hệ thống của bạn và cũng có thể tạo ra phần mềm độc hại pesky. Vì Process Monitor cho phép bạn xem chính xác các tập tin và khóa registry đang được truy cập bởi một quá trình trong thời gian thực, thật tuyệt vời khi nhìn thấy tất cả các tệp và mục đăng ký được thêm khi cài đặt chương trình mới.
nắm bắt thông tin chi tiết hơn về một quy trình như đường dẫn hình ảnh, người dùng, ID phiên và dòng lệnh.
Khi bạn mở Trình theo dõi lần đầu tiên, nó có thể khá đáng sợ vì nó sẽ tải lên hàng nghìn mục và hầu hết là các công cụ mà các tiến trình hệ thống đang làm. Tuy nhiên, bạn có thể sử dụng các bộ lọc nâng cao để tìm chính xác những gì bạn đang tìm kiếm.
Trong hộp thoại Bộ lọc, bạn có thể lọc theo Tên quy trình, Lớp sự kiện, PID, Phiên, Người dùng, Phiên bản, Thời gian trong ngày và nhiều hơn thế nữa. Sau khi tải lên Process Monitor, nó tìm thấy 800.000 sự kiện trên máy tính của tôi! Tuy nhiên, tôi có thể giảm xuống dưới 500 bằng cách thêm bộ lọc để tập trung vào một quy trình.
Nó cũng có nhiều tính năng nâng cao khác như giám sát hình ảnh (trình điều khiển thiết bị chế độ hạt nhân và DLL), lọc không phá hủy, nắm bắt ngăn xếp luồng, ghi nhật ký nâng cao, ghi nhật ký thời gian khởi động và nhiều hơn nữa.