Prosesser i Windows - hvor du skal lete, beskrivelse av standard
I forlengelsen av avsnittet "For nybegynnere" vil vi i dag fokusere på prosesser i Windows. La oss ta en titt på hva det er, hva de påvirker og hvordan de kan kontrolleres. I operativsystemet er en "prosess" en instans dataprogram som ble lansert i dette øyeblikket... Selve programmet er bare et sett med regler og kode, mens prosessen er selve utførelsen av det hele.
Oppgaver i samme program kan utføres i flere prosesser, og hver aktiv prosess krever naturligvis en viss mengde systemressurser, og jo flere av dem som kjører samtidig, jo tregere begynner datamaskinen å jobbe.
Mange nybegynnere er ikke interessert i hva skjulte prosesser de fungerer, men i mellomtiden er det fornuftig å spørre om noen bakgrunnsprogrammer og tjenester som ikke er nødvendige og som sløser med prosessortid og minne. Men før du slår av unødvendige prosesser for å frigjøre dataressurser, må du lære hvordan du forstår dem for ikke å påvirke for eksempel systemprosesser ved et uhell, hvorav mange startes under oppstart av datamaskiner og er kritiske for funksjonen til operativsystemet og andre applikasjoner.
Det bør også nevnes at de fleste virus skjuler seg som en prosess for å komplisere deteksjon. Det er av disse grunnene at det er viktig å kunne gjenkjenne og identifisere dem.
For å se hele listen over aktive prosesser, må du åpne "Task Manager" ( Oppgavebehandling). Dette kan gjøres på tre vanlige måter:
Kombinasjon ctrl-tastene+ alt + del
- tastekombinasjon ctrl + shift + esc
eller
- høyreklikk på oppgavelinjen - element "Oppgavebehandling".
Mens du er i ledervinduet, velg fanen "Prosesser".
I vinduet som åpnes er det flere kolonner som vi kan få den første med nødvendig informasjon om hvilke prosesser som lastes og hvor mange ressurser de bruker.
1. Bildenavn - prosessnavn
2. Bruker - fra hvilken konto prosessen startes
3. CPU - viser prosessorbelastningen i prosent
4. Minne - tildelt plass tilfeldig tilgangsminne
5. Beskrivelse - Kort beskrivelse hvilket program, tjeneste eller tjeneste som starter denne prosessen.
Helt nederst i vinduet vises totalt antall aktive prosesser, total prosessor og RAM-belastning i prosent.
For å deaktivere unødvendig prosess, må du velge en av dem og klikke på "Avslutt prosess"-knappen. Imidlertid vil en enkel "Avslutt prosess" ganske enkelt slå den av til neste gang start windows på nytt... Derfor, hvis du vil bli kvitt det permanent, må du deaktivere lanseringen i selve applikasjonen som starter denne prosessen, eller deaktivere tjenesten som aktiverer den, eller fjerne den fra oppstart, eller til og med slette en unødvendig applikasjon helt.
Hvis standardkolonnene ikke er nok til å få informasjon om prosessen, kan du legge til flere. For å gjøre dette, i hovedmenyen til Oppgavebehandling, klikk "Vis" og i menyen som åpnes, velg "Velg / Legg til kolonner".
Merk av i boksene ved siden av "Prosess-ID (PID)" og "Bildebane". Klikk "Ok".
Nå i kolonnen "Bi til bilde" kan du se plasseringen til filen som starter den kjørende prosessen.
Og informasjonen i kolonnen "Prosess-ID (PID)" er nyttig hvis du for eksempel trenger å vite hvilken tjeneste som kjører "Svchost.exe"-prosessen.
Ser vi litt fremover, hvorfor valgte vi det som eksempel. Dette er en viktig systemisk prosess og er nødvendig for å aktivere og administrere ulike tjenester... Forvirring blant mange brukere med denne prosessen oppstår fra det faktum at flere forekomster av den kan kjøres samtidig, men alle fra forskjellige tjenester. Og for å forstå hvilken tjeneste som tilhører en bestemt prosess "Svchost.exe", trenger vi dens numeriske identifikator - PID. Etter å ha lagret nummeret som er angitt i denne kolonnen, gå til "Oppgavebehandling" på fanen "Tjenester".
Mens du er i dette vinduet, venstreklikk på kolonneoverskriften "Prosess ID". Listen vil bli sortert og du kan enkelt finne prosessen etter PID ved å se på beskrivelsen i den tilsvarende kolonnen.
Selvfølgelig er det veldig lite informasjon i dette vinduet, men det lar deg omtrent forstå hvilken tjeneste som lanserte "Svchost.exe". Vi har allerede nevnt denne prosessen i artikkelen ""
En annen mulighet til å se hvor filen ligger som starter lanseringen av prosessen, er å klikke Høyreklikk musen på en av dem og velg "Åpne fillagringssted".
Over tid vil du lære å enkelt identifisere enhver prosess. For å gjøre denne oppgaven litt enklere for deg, nedenfor er en liste over de mest typiske programvare- og systemprosessene, hvorav de fleste startes som standard sammen med operativsystem.
alg.exe- en systemisk prosess. tjeneste som er en av komponentene i operativsystemet Windows kreves for Internett-tilgang og brannmurdrift. Hvis du fullfører denne prosessen, vil Internett-tilkoblingen bli avbrutt til neste omstart av Windows.
ati2evxx.exe- er en av driverkomponentene for AMD / ATI skjermkort. Utfører arbeidet med hurtigtaster. På grunn av høy CPU-bruk, anbefales det at du deaktiverer denne prosessen og den tilhørende tjenesten.
BTTray.exe- komponent driver for bluetooth fra Widcomm. Viktig for deres arbeid.
csrss.exe- Windows-systemprosessen som sikrer driften av klient-/serverkomponenten. Kan ikke deaktiveres. Mest utsatt for infeksjon med virus.
ctfmon.exe- systemprosessen ansvarlig for språklinjen, viser en indikator gjeldende layout tastatur og gi støtte til andre alternative metoder input. Deaktivering av denne prosessen anbefales naturligvis ikke.
dwm.exe- Windows systemprosess. Integrert i systemet fra Windows Vista og 7. Ansvarlig for de grafiske effektene av skrivebordet, vinduene og menyene, samt normal funksjon av "Aero"-grensesnittet.
explorer.exe- en kritisk nødvendig systemprosess Windows utforsker ansvarlig for å vise skrivebordet og menyene, muligheten til å navigere brukeren. Ikke slå den av.
issch.exe- en prosess som lar deg se etter oppdateringer i bakgrunn standard Windows installasjonsprogram og andre programmer.
jusched.exe- planleggerprosessen for automatisk sjekk Java-oppdateringer komponenter. Deaktiver automatisk start Denne prosessen er mulig ved å slå av den automatiske sjekk for oppdateringer i Java-innstillingene (Start-Kontrollpanel-Java).
lsass.exe- nødvendig systemprosess ansvarlig for arbeidet lokal server autentisering, sikkerhetspolicy og brukerautorisasjon. Samhandler med winlogon-tjenesten. Kan ikke fullføres.
lsm.exe- systemprosessen som styrer eksterne tilkoblinger Til lokalt system... Du trenger ikke å koble fra.
rthdcpl.exe– Prosessen som sikrer arbeidet kontrollpanel Realtek HD Audio. Ikonet for dette programmet er i skuffen, ved siden av klokken. Å fullføre denne prosessen kan føre til lydproblemer på systemet.
rundll32.exe- Krever en Windows-systemprosess som kjøres av verktøyet kommandolinje... Lar deg kjøre funksjoner og kommandoer for DLL-filer.
services.exe- en viktig systemprosess ansvarlig for å administrere alle systemtjenester.
smss.exe- en nødvendig systemprosess som er ansvarlig for å starte en brukerøkt, samt starte Winlogon- og Csrss.exe-prosessene. Denne prosessen kan ikke avsluttes.
spoolsv.exe- en systemisk prosess. Ansvarlig for utskriftsfunksjoner (skriver, faks, etc.).
svchost.exe- en av hovedsystemprosessene som er ansvarlig for driften av en rekke tjenester og tjenester. Flere eksemplarer av den kan fungere samtidig, pga hver inneholder forskjellige tjenester.
wininit.exe- nødvendig system Windows-prosess... Kjører i bakgrunnen noe av det viktigste systemtjenester og programmer, og er også ansvarlig for rettidig lansering av oppstartsartikler.
winlogon.exe- Kritisk systemisk prosess. Ansvarlig for inn- og utlogging av brukere til systemet. Kan ikke fullføres.
wmiprvse.exe- systemprosess, en av komponentene i verktøysettet Windows-administrasjon... Deaktivering anbefales ikke.
wudfhost.exe- Representerer en spesifikk støttefunksjonalitet forskjellige drivere i Windows OS. Vises for eksempel når telefonen er koblet til via USB.
En måte å oppdage virus på en PC er å se kjørende prosesser i Oppgavebehandling. Ikke alltid antivirus programvare takle oppgavene de er tildelt 100 %. Noen ganger må du fange virus manuelt.
Mange virus skjuler sin tilstedeværelse i Task Manager - de er usynlige. I dette tilfellet kommer alternative oppgaveledere til unnsetning. Hvilken som helst av dem kan lastes ned online og brukes. Innebygd i Windows, dens egen Task Manager er lite informativ og viser ikke skjulte prosesser. Tredjepartsverktøy som disse er blottet for denne ulempen og viser skjulte prosesser. Hvis i standard avsender det er ingen prosesser som vises i analysevinduet til det alternative verktøyet, så du må være nøye med disse prosessene, kanskje dette er ondsinnede applikasjoner... Det er nødvendig å se på produsenten av prosessen, vanligvis er det alltid angitt klart og tydelig, samt hvor mye ressurser denne prosessen bruker. Hvis det er mye, sammenlignet med andre, er dette allerede ekstremt mistenkelig.
En slik kontroll må gjøres med applikasjonene avslått, slik at standard prosesser og virus, selvfølgelig. Den beste måten å gjøre dette på er Sikkerhetsmodus ... Det er veldig bra, når du først installerte Windows, å ta et øyeblikksbilde av Task Manager-siden med standardprosesser for å kunne sammenligne forskjellene. Stillingsbildet skyldes den lagrede filen med skjermen, og ikke øyeblikksbildet av kameraet (produsert ved å trykke på knappen Skjermbilde på tastaturet, som ikke vet hvordan du gjør dette, spør i kommentarfeltet).
Så la oss ta en titt på standardprosessene:
- System - systemprosesser uten utvidelse exe Hvis du har en slik prosess med en utvidelse, er det et virus forkledd som en systemprosess.
- Smss.exe-prosess som kontrollerer lanseringen av brukerkontoer. Hvis du har aktivert, for øyeblikket én økt regnskap, og det er flere Smss.exe-prosesser - trekk de passende konklusjonene.
- Csrss .exe.- prosessen som styrer opprettelsen av vinduer, bør den alltid være en.
- Winlogon.exe.- er ansvarlig for den autoritative brukerinnloggingen til systemet. Bare en.
- Services.exe.- gir drift av operativsystemtjenester, kjører på vegne av System, også en.
- Lsass.exe.- sikrer sikkerheten til operativsystemet, alltid ett.
- Svchost.exe... - lansering av DLL-filer (dynamisk koblingsbibliotek, dette inkluderer drivere, elementer ActiveX-kontroll) brukernavn: LOKAL SERVICE, NETTVERKSTJENESTE og SYSTEM, bør være maksimalt seks.
- SYSTEM- ansvarlig for tastaturoppsettet og språklinjen på oppgavelinjen. Det må være en.
- Explorer.exe.- administrerer skrivebordet (snarveier, ikoner, etc.), grensesnittet. Kjører en gang.
- Spoolsv.exe.- setter objekter i utskriftskøen. En. Ingen skriver - du kan slå den av, prosessen er ikke kritisk.
- Wdfmgr .exe.- er ansvarlig for riktig arbeid mediespillerdrivere er heller ikke en kritisk prosess.
- Taskmgr.exe... - selve oppgavebehandlingen
- Vel, den aller siste - Systeminaktivitet... Viser gratis ressurser.
V normal modus i tillegg til disse prosessene vil du ha prosesser kjører applikasjoner, sjåfører. For å deaktivere en mistenkelig prosess, velg den og klikk Stopp prosess.
Dette er en av de tryggere måtene enn for eksempel å eksperimentere med registeret.
Grunnlaget for arbeidet til hver systemadministrator er overvåking av operativsystemet og gi normalt arbeid alle prosesser - av i det minste som du kanskje forventer. Oppmerksom overvåking av hendelseslogger hjelper deg med å identifisere og spore problemer i applikasjoner, sikkerhet og kritiske tjenester. Etter å ha oppdaget eller mistenkt et problem, må administratoren gå til bunns i årsaken og fikse det. Nøyaktig definisjonårsaken til problemet vil forhindre at det oppstår igjen.
Søknads-, prosess- og resultatstyring
Når operativsystemet eller brukeren starter en tjeneste, applikasjon eller kommando, Microsoft Windows starter en eller flere prosesser for å kontrollere det tilsvarende programmet. Flere kommandolinjeverktøy gjøre det enklere for deg overvåkingsprogrammer og deres ledelse. Disse verktøyene inkluderer:
- - Viser ytelsesstatistikk inkludert minne og cpu-bruk, og en liste over alle prosesser som kjører på det lokale systemet. Lar deg få detaljerte "øyeblikksbilder" av ressursene som er involvert og kjørende prosesser. Pmon kommer med Windows Resource Kit;
- Oppgaveliste (Oppgaveliste)- viser alle kjørende prosesser etter navn og prosessidentifikator, rapporterer informasjon om brukersesjonen og minnet som er okkupert;
- Taskkill (Task Kill)- stopper utførelsen av prosessen spesifisert med navn eller identifikator. Filtre kan brukes til å stoppe prosesser basert på tilstand, sesjonsnummer, prosessortid, minnebruk, brukernavn og andre parametere.
Eksempler på håndtering av prosesser via kommandolinjen
Analyse av kjørende prosesser i kommandolinjen
Med hjelp kommandolinjeverktøy Oppgaveliste du kan sjekke prosessene som kjører på det lokale eller eksterne systemet. Oppgavelisten lar deg:
- få prosess-ID, dens tilstand og annen viktig informasjon om prosessene i systemet;
- se avhengighetene mellom kjørende prosesser og tjenester konfigurert på systemet;
- se listen over DLL-er involvert i prosessene som kjører på systemet;
- bruk filtre for å inkludere eller ekskludere prosesser vist av oppgavelisten.
Eksempel: tasklist - kommandoen viser en liste over prosesser som kjører i operativsystemet.
Overvåking av prosesser og systemressursbruk
Process Resource Monitor (Pmon) viser " øyeblikksbilde»Systemressurser brukt og kjørende prosesser. Når det er startet (ved å skrive pmon på kommandolinjen), samler dette verktøyet informasjon om ressursbruk og kjørende prosesser på det lokale systemet og skriver ut resultatene til konsollvinduet. Statistikken oppdateres automatisk hvert femte sekund. Pmon fortsetter å kjøre til du trykker på Q-tasten for å avslutte; å trykke på en hvilken som helst annen tast vil oppdatere informasjonen.
Stoppe prosesser på kommandolinjen
For å stoppe prosesser på et lokalt eller eksternt system, bruk kommandolinjeverktøy Taskkill... Prosessen kan stoppes av identifikatoren ved å bruke parameteren / Pid eller av navnet på bildet
Eksempel: taskkill / IM notepad.exe - avslutter notepad-programmet.
System- og brukerprosesser
Vanligvis kalles en prosess startet av operativsystemet en systemprosess, og en prosess startet av en bruker kalles en brukerprosess. De fleste brukerprosesser kjøres interaktivt. Det vil si at brukeren starter prosessen direkte ved hjelp av tastaturet eller musen. Hvis programmet er aktivt, vil den tilknyttede interaktiv prosess kontrollerer tastaturet og musen til du bytter kontroll ved å avslutte dette programmet eller velge et annet. Prosessen som tar kontroll over tastaturet og musen kalles aktiv.
Prosesser kan fungere i bakgrunn uavhengig av økter til registrerte brukere. Bakgrunnsprosesser har ingen kontroll over tastatur, mus eller andre inndataenheter og startes vanligvis av operativsystemet. Men med Task Scheduler kan brukere også kjøre prosesser i bakgrunnen, og disse prosessene kan kjøre uavhengig av om brukeren er logget på systemet.
Systemverktøy, tekst og redaktører, nettlesere og RSS-aggregatorer, krypteringer og e-postklienter, alle disse og mange andre typer programmer har en felles funksjon, uavhengig av formålet med applikasjonen, nemlig utskrift. For programmer som på en eller annen måte omhandler innhold som kan vises på et analogt medium, anses utskriftsfunksjonen som nesten obligatorisk.
Men det finnes også unntak. Ta standarden, for eksempel. Til tross for at informasjonen den viser om prosessene godt kan skrives ut, finner du ikke den vanlige "Skriv ut"-kommandoen i den. Men hva om du plutselig trenger å skrive ut en liste over gjeldende prosesser? Ikke skriv dem om en etter en til en tekstfil!
Oppgi faktisk prosessene, tjenestene osv. systeminformasjon til en fil (å skrive ut) er veldig enkelt. Den enkleste måten er å bruke spesiell programvare, for eksempel Procexp-verktøyet, som er godt kjent for alle systemadministratorer, eller kompleks applikasjon AnVir oppgave Sjef.
Men du kan klare deg uten noen tredjepart programvare... Alt vi trenger er kunnskap om to eller tre kommandoer utført på kommandolinjen eller dens avanserte PowerShell-motpart.
I konsollen, for å vise en liste over gjeldende prosesser i en fil, bruk kommandoen oppgaveliste med angivelse av veien. Når kommandoen utføres, opprettes filen automatisk. Den eksisterende filen vil bli overskrevet. Alt ser slik ut.
oppgaveliste> D: processes.txt
I dette tilfellet vil du motta en liste over gjeldende prosesser med navnet på sesjonen og prosessen, dens identifikator, samt mengden tildelt minne som brukes av hver prosess. Hvis du har problemer med koding (in tekstfil kryakozyabry), endre kodingen ved å kjøre chcp-kommandoen med verdien 1251.
chcp 1251
oppgaveliste> D: processes.txt
Tasklist-kommandoen har mange alternativer og filtre for å sortere utdataene. Å motta detaljert hjelp på kommandolinjen, bruk oppgavelisten /?
En annen metode for å få en liste over kjørende prosesser inn i en fil er å bruke PowerShell-verktøy... Prinsippet er omtrent det samme, men kommandoene er forskjellige. Kommandoer i PowerShell kalles forresten cmdlets. Settet med cmdlets for å sende ut en liste over prosesser til en fil vil se slik ut:
få-prosess | ut-fil D: process.txt
V dette eksemplet get-process får en liste over prosesser, og ut-fil sender den til den angitte banen. Som du kan se, utgangen fra ved hjelp av PowerShell er mye mer informativ. Hvis du bruker kommandoen out-printer i stedet for out-file, kan du sende ut dataene direkte til skriveren.
MED ved hjelp av PowerShell mange andre nyttige operasjoner kan også utføres. Dette allsidige verktøyet vil absolutt være nyttig ikke bare for programmerere og systemadministratorer for hvem det kreves kunnskap om PowerShell-syntaks, men også erfarne brukere de som ønsker å gjøre arbeidet sitt på datamaskinen raskere og mer produktivt.
