Process Explorer 教程:从入门到精通
Process Explorer 是微软官方发布的一款免费、强大的系统进程管理和监控工具,它是任务管理器(Task Manager)的终极替代品,提供了远超任务管理器的详细信息和分析能力。
什么是 Process Explorer?为什么使用它?
官方简介: 由 Sysinternals(现属微软)开发,Process Explorer 可以让你看到哪些进程正在运行,以及它们正在使用哪些句柄和 DLL 文件,它有两个独特的功能,使其非常有用:
- 树状视图: 你可以像查看文件夹一样,以树状结构查看进程及其父子关系,轻松理解进程的启动链。
- 颜色编码: 它会用不同的颜色来区分进程的类型,系统进程(蓝色)、服务进程(粉色)等,让你一目了然。
为什么使用它?
- 任务管理器不够用: 当你遇到系统卡顿、程序无响应、病毒或恶意软件时,任务管理器提供的信息太少,无法深入分析。
- 排查系统问题: 查找占用 CPU、内存、磁盘或网络资源最高的元凶。
- 结束顽固进程: 即使程序界面无响应,也能轻松找到并结束其进程。
- 识别恶意软件: 通过查看进程的路径、签名、加载的模块和打开的句柄,发现可疑的进程。
- 开发与调试: 分析程序依赖的 DLL 文件,查看文件、网络端口等资源被哪个进程占用。
如何获取和运行 Process Explorer
-
下载:
- 访问微软官方 Sysinternals 下载页面:https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
- 下载
ProcessExplorer.zip压缩包。
-
运行:
(图片来源网络,侵删)- 解压下载的 ZIP 文件。
- 直接双击
ProcExp.exe即可运行,它是一个绿色软件,无需安装。
-
首次运行提示:
- 首次运行时,可能会弹出“Windows 受到保护”的警告,点击“更多信息” -> “仍然运行”即可。
- 建议以管理员身份运行,以便获得完整的权限和功能。
界面核心功能详解
启动后,你会看到一个类似下面这样的窗口,主要由几个部分组成:
顶部工具栏
- 显示选项: 这是最重要的菜单之一,可以自定义显示的列、视图和行为。
- 查找: 快速搜索进程、句柄或 DLL。
- 高亮: 高亮显示特定进程。
- 悬停: 鼠标悬停在进程上时,显示其完整路径。
- 属性: 查看选中进程的详细信息。
- 暂停/恢复: 暂停或恢复进程的运行(不是挂起)。
主窗口 - 进程列表
- 默认视图: 显示进程的 PID (进程ID)、进程名、CPU 占用、内存占用 等。
- 点击列标题可以按该列排序,右键点击列标题,选择“选择列...”可以添加或删除更多列,如 CPU 累计时间、I/O 读取/写入、GPU、提交大小 等。
- 进程名/路径: 默认只显示进程名,但你可以通过
查看 -> 选择列... -> 进程勾选 命令行 或 映像路径 来显示完整的启动路径,这对于识别恶意软件至关重要。
底部窗格 默认情况下,底部窗格显示选中进程的 “句柄” 或 “DLL”,点击窗格下方的标签页可以切换。
- 句柄: 显示该进程打开的所有系统资源(文件、注册表键、网络连接、互斥体等),如果某个文件被占用,在这里就能找到是哪个进程占用的。
- DLL: 显示该进程加载的所有动态链接库,可以用来检查是否存在非官方或可疑的 DLL。
核心功能与实用技巧
技巧 1:树状视图 vs. 平铺视图
- 树状视图 (默认): 以父子关系显示进程,子进程在其父进程下方缩进,这非常适合理解程序的启动关系,你可以看到
explorer.exe(桌面和文件资源管理器) 启动了chrome.exe,而chrome.exe又启动了多个chrome.exe子进程。 - 平铺视图: 将所有进程显示在同一级别,但用不同的颜色区分进程类型。
- 切换方法:
查看 -> 显示方式 -> 树状或平铺。
技巧 2:用颜色区分进程
选项 -> 着色 菜单可以设置颜色规则,帮助你快速识别进程:
- 系统进程: 通常为蓝色。
- 服务进程: 通常为粉色。
- 未验证的进程: 没有数字签名的进程,可能是可疑的。
- 网络连接进程: 正在进行网络通信的进程。
技巧 3:查找并结束占用资源的进程
这是最常见的用法。
- 按
Ctrl + F打开“查找”窗口。 - 你可以按 进程名、PID 或 DLL 名称 搜索。
- 找到占用 CPU 或内存很高的进程后,右键点击它。
- 选择 “结束进程树” (Kill Process Tree),这会结束该进程及其所有子进程,比单纯“结束进程”更彻底、更安全。
技巧 4:找出文件被哪个进程占用
当你删除或移动一个文件时,系统提示“文件正被另一个程序使用”。
- 在 Process Explorer 中,确保你看到了“句柄”列表。
- 按
Ctrl + F打开“查找”窗口。 - 在“句柄”选项卡下,输入你要查找的文件名(如
my_document.docx)。 - 点击“搜索”,Process Explorer 会立即显示是哪个进程打开了该文件。
- 你可以右键点击该进程,选择 “结束进程树” 来释放文件,或者使用 “属性” -> “句柄” -> 右键 -> “关闭句柄” 来更精确地释放(这个操作需要管理员权限且要谨慎)。
技巧 5:分析 DLL 依赖关系
对于开发者或系统分析员来说,这个功能非常有用。
- 选中一个进程。
- 在底部窗格切换到 “DLL” 标签页。
- 你可以看到该进程加载的所有 DLL,你可以右键点击某个 DLL,选择 “属性” 查看其详细信息,如版本、公司、是否为微软签名等。
- 如果发现一个不认识的 DLL,可能是恶意软件注入的。
技巧 6:使用“查找”菜单进行高级搜索
查找 菜单不仅仅是搜索进程,它还有两个强大的子功能:
- 查找句柄或 DLL: 如技巧 4 所述,用于定位特定文件或模块的占用者。
- 查找窗口: 当你看到一个奇怪的弹窗但不知道是哪个程序弹出时,可以使用这个功能,它会列出所有可见的窗口,你可以通过标题找到目标窗口,并直接定位到创建它的进程。
高级功能
悬停提示 将鼠标悬停在进程列表中的任何一个进程上,会弹出一个提示框,显示该进程的 完整路径、命令行参数 和 安全哈希值,这是快速判断进程是否合法的第一步。
持久性监控
- Ctrl + D: 删除当前选中的进程。
- Ctrl + L: 显示/隐藏内核 DLL。
- Ctrl + T: “挂起”一个进程,使其暂停响应,便于分析。
与 Process Monitor (ProcMon) 协同工作 Process Explorer 主要看“谁在运行”,而 Process Monitor 主要看“谁在访问”(文件、注册表、网络等),两者是 Sysinternals 的黄金搭档。
- 用法: 在 Process Explorer 中找到可疑进程,右键点击 -> “创建进程监控日志”,这会自动打开 Process Monitor 并开始只监控该进程的所有活动,大大缩小了分析范围。
插件支持
Process Explorer 支持插件,可以扩展其功能,最著名的插件是 ShellExView 集成,可以查看进程关联的 Shell 扩展。
实战场景举例
系统卡顿,CPU 占用 100%
- 打开 Process Explorer,点击
CPU列标题,按 CPU 占用率从高到低排序。 - 很快就能找到那个持续占用 CPU 的进程。
- 右键点击它,选择 “属性”,查看其 “描述” 和 “映像路径”,如果是系统不认识的程序,很可能是恶意软件或流氓软件。
- 如果确认是恶意软件,立即右键点击 “结束进程树”,然后使用杀毒软件进行全盘扫描。
U盘插入后无法弹出,提示“正在使用中”
- 插入 U 盘,但无法安全弹出。
- 打开 Process Explorer,按
Ctrl + F,在“句柄”选项卡下搜索 U 盘的盘符(如E:)。 - 搜索结果会显示是哪个进程正在访问 U 盘,通常是
explorer.exe(文件资源管理器)或某个下载软件。 - 如果是
explorer.exe,关闭当前所有的文件资源管理器窗口即可,如果是其他软件,关闭该软件。
开发一个程序,想检查它加载了哪些非官方的 DLL
- 启动你的程序。
- 在 Process Explorer 中找到你的程序进程。
- 在底部窗格查看 “DLL” 列表。
- 检查列表,寻找那些不是微软官方、也不是你项目自带的 DLL,这些可能是第三方库,也可能是恶意软件注入的。
Process Explorer 是一款功能极其强大的工具,掌握它能让你对 Windows 系统有更深刻的理解,它不仅是解决系统疑难杂症的“手术刀”,也是学习和分析 Windows 内部机制的“显微镜”。
核心要点回顾:
- 树状视图 > 理解进程关系。
- 完整路径 > 识别恶意软件。
- 句柄查找 > 解决文件占用问题。
- DLL 列表 > 分析程序依赖。
- CPU/Memory 列排序 > 找出资源消耗大户。
从今天开始,尝试用 Process Explorer 替代你电脑上的任务管理器,你会发现一个全新的、更透明的 Windows 世界。
