Sind Sie jemals zum Task-Manager in Windows gegangen und haben nur auf die Registerkarte "Prozess" geklickt, um zu sehen, dass "svchost.exe" 100% Ihrer CPU beansprucht? Nun, leider hilft Ihnen das nicht, herauszufinden, welches Programm in Windows die gesamte Rechenleistung verbraucht.
In Windows gibt es viele Prozesse wie SVCHOST, mit denen mehrere verschiedene Windows-Dienste ausgeführt werden können, z. B. Windows Update, DCOM, Remote Procedure Call, Remote-Registrierung, DNS und vieles mehr. Oder Sie müssen nur herausfinden, welche DLLs geladen werden und welche Handles für einen bestimmten Prozess geöffnet sind. Möglicherweise möchten Sie auch diese Informationen, damit Sie Windows-Startprogramme deaktivieren können.
Auf jeden Fall, wenn Sie in der IT arbeiten, wird es Zeit geben, wenn Sie weitere Informationen zu einem Windows-Prozess benötigen. Es gibt zwei wirklich nützliche Tools, um Windows-Prozesse im Detail zu untersuchen. Ich werde einen kurzen Überblick über beide geben.
Process Explorer
Process Explorer ist eine nette Freeware-Anwendung, mit der Sie genau den Windows-Dienst oder das Programm herausfinden können, das bzw. das einen bestimmten Prozess besitzt. Wenn Sie beispielsweise den Dienst wissen möchten, der für die verschiedenen svchost- Prozesse ausgeführt wird, bewegen Sie den Mauszeiger über den Prozessnamen.
Sie können Process Explorer auch verwenden, um herauszufinden, welches Programm eine bestimmte Datei oder ein bestimmtes Verzeichnis geöffnet hat, und dann den Prozess zu beenden. Dies ist ideal, wenn Sie versuchen, Dateien zu löschen oder zu verschieben, diese jedoch durch einen aktiven Windows-Prozess gesperrt oder geöffnet werden.
Sie können auch herausfinden, welche DLLs der Prozess geladen hat und welche Dateien den aktuell geöffneten Prozess verarbeiten. Es ist sehr nützlich, um Probleme mit der DLL-Version herauszufinden oder Handle-Lecks zu verfolgen.
Prozessmonitor
Process Explorer eignet sich daher hervorragend für das Erlernen kryptischer Prozesse wie svchost usw., aber Sie können Process Monitor verwenden, um Echtzeit-Datei-, Registrierungs- und Prozess- / Thread-Aktivitäten abzurufen. Ich mag Process Monitor wirklich, weil es eine Kombination aus RegMon und FileMon ist, zwei großartigen Überwachungsprogrammen von Sysinternals.
Es ist ein großartiges Werkzeug zur Fehlerbehebung in Ihrem System und auch zur Beseitigung lästiger Malware. Da Sie mit Process Monitor genau sehen können, auf welche Dateien und Registrierungsschlüssel in Echtzeit von einem Prozess zugegriffen wird, können Sie sich bei der Installation eines neuen Programms alle Dateien und Registrierungseinträge anzeigen lassen.
Außerdem werden detailliertere Informationen zu einem Prozess erfasst, z. B. Bildpfad, Benutzer, Sitzungs-ID und Befehlszeile.
Wenn Sie Process Monitor zum ersten Mal öffnen, kann dies sehr einschüchternd sein, da Tausende von Einträgen geladen werden, die meistens von den Systemprozessen ausgeführt werden. Sie können jedoch die erweiterten Filter verwenden, um genau das zu finden, wonach Sie suchen.
Im Dialogfeld " Filter " können Sie nach Prozessnamen, Ereignisklasse, PID, Sitzung, Benutzer, Version, Uhrzeit und vielem mehr filtern. Nach dem Laden von Process Monitor wurden 800.000 Ereignisse auf meiner Maschine gefunden! Ich kann es jedoch auf weniger als 500 reduzieren, indem ich Filter hinzufüge, um einen Prozess zu verfeinern.
Es verfügt auch über viele weitere erweiterte Funktionen wie die Überwachung von Images (DLL- und Kernelmodus-Gerätetreiber), nicht destruktive Filterung, Erfassung von Thread-Stacks, erweiterte Protokollierung, Startzeitprotokollierung und vieles mehr.
Wenn Sie also mehr wissen wollten oder mehr Informationen über diese Windows-Prozesse im Task-Manager erhalten möchten, sollten Sie den Prozessmonitor und Prozess-Explorer ausprobieren. Genießen!
