[ 应急响应基础篇 ] 使用 Process Explorer 进程分析工具分析系统进程(附Process Explorer安装教程)

news/2024/7/24 15:03:16/

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

  • 🍬 博主介绍
  • 一、环境介绍
  • 二、Process Explorer介绍
  • 三、Process Explorer下载
  • 四、Process Explorer使用
    • 1、替换任务管理器
      • 1.操作步骤
      • 2.替换成功
      • 3.taskmgr打开
      • 4.Ctrl+Shift+Del打开
    • 2、查看当前系统中运行的进程
      • 1.树形图展示进程
      • 2.颜色标示不同状态的进程
      • 3.选择显示不同字段
    • 3、查看进程的详细信息
    • 4、查看文件正在被什么进程占用
    • 5、实时监控系统的性能
    • 6、获取Dump文件
    • 7、官方文档
  • 五、相关资料

一、环境介绍

在应急响应过程中,进程分析是至关重要的。
这里简单介绍一下windows官方提供的进程分析工具Process Explorer,包含他的简单介绍,下载及其简单使用。

二、Process Explorer介绍

Process Explorer可以看成是一个加强版的任务管理器。
在较早的Windows版本中,任务管理器提供的功能是非常简单的(比如查看CPU、内存的使用情况,强制结束进程等),很难满足我们高级一些的需求。在这种情况下,Process Exploere就应运而生了,大大的方便了我们工作中监测进程和排除故障的工作。
这里我会从实际应用的角度对Process Explorer的一些功能点进行简单的介绍。

三、Process Explorer下载

Process Explorer是微软官方提供的,直接在官网下载就可以了
官网下载:

https://learn.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

四、Process Explorer使用

1、替换任务管理器

Process Explorer提供了相对与任务管理器更加强大实用的功能,所以有的时候就会想着直接把任务管理器给替换掉得了。
Process Explorer提供了这样一个功能,可以在用户触发打开任务管理器的操作的时候直接打开Process Explorer。

1.操作步骤

选项(Options) --> 替换任务管理器(Replace Task Manager)

在这里插入图片描述

2.替换成功

之后在我们运行任务管理器打开的就是Process Explorer了。

3.taskmgr打开

taskmgr

在这里插入图片描述

4.Ctrl+Shift+Del打开

Ctrl+Shift+Del的时候打开任务管理器

在这里插入图片描述

2、查看当前系统中运行的进程

1.树形图展示进程

Process Explorer对进程以树形图的形式进行展示,这样方便我们观察父子进程之间的关系。从这里我们可以看出来,绝大部分的窗体应用程序都是wininit.exe的子进程

在这里插入图片描述

2.颜色标示不同状态的进程

Process Explorer会以不同的颜色标示不同状态的进程

在这里插入图片描述

这里我弄了一个中英文对照,因为我有汉化版,汉化版下载链接在文末给出

在这里插入图片描述

3.选择显示不同字段

我们还可以通过右键点击右侧列头选择显示我们感兴趣的属性

在这里插入图片描述

这里我弄了一个中英文对照,因为我有汉化版,汉化版下载链接在文末给出

在这里插入图片描述

3、查看进程的详细信息

如果我们对某个进程的感兴趣,我们可以双击这个进程查看它的详细信息Command line和Current directory这两个属性比较重要。

Command line: 
启动进程的时候调用的命令。从这里我们可以了解怎么样去调用这个进程,和有关当前进程启动的详细信息。
Current directory: 
当前进程活动所在的文件夹。

在这里插入图片描述

4、查看文件正在被什么进程占用

我们在操作文件(删除、重命名等)的时候遇到错误提示,说文件正在被其他进程占用,无法执行操作。这个时候可以打开Process Explorer对文件进行查找:

Ctrl + f

输入要查找的文件名就可以看到有那些进程正在使用这个文件了,双击搜到的进程Process Explorer会在下面高亮显示出对应的文件句柄。
从这里我们可以强制关闭对应的句柄以达到不让文件被继续占用的目的。

在这里插入图片描述

5、实时监控系统的性能

通过视图(View) --> 系统信息(System Info)我们可以打开Performance窗口查看过去一段时间内系统的性能数据

在这里插入图片描述

我们也可以通过设置把感兴趣的性能数据固定在任务栏里显示

在这里插入图片描述

6、获取Dump文件

Dump文件是进程的内存镜像,通常在进程没有反应或者崩溃的时候我们需要借助Dump文件来分析进程里面发生了什么,Process Explorer提供了一个快捷的方式来获取Dump文件。
直接右键,创建就可以了Create Dump
我们可以根据需要选择获取最小的dump还是完整的dump文件。

在这里插入图片描述

7、官方文档

Process Explorer是很强大的,还有很多的功能这里就不详细介绍了,有需要的可以看官方文档,链接如下

https://windowsexplored.com/2012/01/31/resolve-symbols-in-process-explorer-monitor-without-installing-the-debugging-tools/

五、相关资料

1、Process Explorer英文版
2、Process Explorer中文版
3、Process Explorer官方文档


http://www.ppmy.cn/news/45379.html

相关文章

爆火的Auto-GPT:实战及运行体验

Auto-GPT可以说是目前AI应用方向最火爆的项目了,自从3月份上线以来,一个月疯狂拦下将近7万star(截至本文写稿时69.5k)。它的目的是探索诸如GPT-4这样的大语言模型自主完成任务的能力。业界也有一些大佬出来表示这个项目真的很有趣…

学习笔记 -- C++性能评估工具Perf

Installation sudo apt update sudo apt install linux-tools-common查看你的内核: uname -r我的输出: $ uname -r 5.15.0-67-generic安装对应的 tools: sudo apt install linux-tools-5.15.0-67-genericImplementation 1、Perf List 状…

工业通讯应用中主流的常用协议Modbus协议

智联物联技术分享,本期为大家介绍工业通讯常用的主流协议Modbus协议。 Modbus协议的前身叫做Mod协议,常被用于Modicon公司的PLC控制器中,后来Modicon被Schneider收购后随之改名为我们如今所熟悉的modbus协议,现如今广泛应用在物联…

数据结构—单链表

目录 1.前言 2.了解单链表 3.单链表代码实现 3.1 单链表结构体实现 3.2 创建节点 3.3 打印单链表 3.4 尾插 3.5 头插 3. 6 头删 3.7 尾删 3.8 查找 3.9 插入 3.9.1 在pos位置之前插入 3.9.2 在pos位置之后插入(主要使用这种功能)---不需要找…

代码随想录训练营day44|完全背包;518、零钱兑换 II;377、组合总和 Ⅳ

完全背包和01背包问题唯一不同的地方就是,每种物品有无限件。 代码模板: //先遍历物品,再遍历背包 private static void testCompletePack(){int[] weight {1, 3, 4};int[] value {15, 20, 30};int bagWeight 4;int[] dp new int[bagWe…

zsh: command not found: python问题解决

项目场景: mac电脑python命令打印不出来 问题描述 zsh: command not found: python没有python命令,但是本地安装了puyhon 原因分析: 没有配置python环境 解决方案: 提示:这里填写该问题的具体解决方案: 如…

堆排序及top-k问题

堆排序及top-k问题 堆排序建堆向上调整建堆向下建堆 堆排序 top-k问题,建堆的应用 堆排序 堆排序,听名字就是要对堆进行排序,但当我们是无序数据时,首先我们就需要建立一个堆 建堆 这里让我们来回忆一下前面的堆,改…

【C/C++】C++ 四种强制转换

文章目录 基本概念适用场景及代码案例测试运行Demo 基本概念 C 中有四种强制转换方式,分别是: static_cast:用于基本数据类型之间的转换,以及具有继承关系的指针或引用之间的转换。static_cast 在编译时进行类型检查,…

计算机视觉的热门研究方向与发展趋势

计算机视觉产业链 工业界:对学术研究提出需求 最火的两个概念:自动驾驶和元宇宙 相关热点研究方向: (1)建图技术:三维重建技术,包括SLAM、定位、建图、更新等技术;(2&…

基于LDA+SVM实现人脸识别模型

基于LDASVM实现人脸识别模型 描述 人脸识别(图像识别)是机器学习领域十经典的应用,在本质上,人脸识别属于监督学习中的分类问题。前面章节中我们已经学习了支持向量机(SVM),该算法在图像分类领…

又一科研利器诞生!能对话的论文阅读器,hammerScholar

文|智商掉了一地 hammerScholar 新升级,用对话式读论文工具提升科研生产力~ 不得不说,自从 AIGC 这个概念出现以来,它极强的内容理解与生成能力也推动着各种生产力工具层出不穷,除了一些浏览器和代码插件以外&#xff…

26岁转行网络安全,成功上岸安全开发!

前言 我是去年 9 月 22 日才正式学习网络安全的,之前在国营单位工作了 4 年,在长沙一个月工资只有 5000 块,而且看不到任何晋升的希望,如果想要往上走,那背后就一定要有关系才行。 而且国营单位的气氛是你干的多了&a…

我去蔚来试驾了

前面写了比亚迪汉、小鹏P7i的试驾体验,链接如下: 小鹏P7I试驾体验! 今天接着分享蔚来ET5的试驾体验,实话实说,我是蔚来ET5的颜粉,颜值也是ET5最大的卖点之一。 我身边不少朋友,不管是男生还是女…

物联网安全性测试和常见漏洞

物联网安全性测试和常见漏洞 尽管物联网(IoT)重新定义了我们的生活并带来了很多好处,但它的攻击面很大,并且在安全之前是不安全的。如果没有适当的保护,物联网设备很容易成为网络犯罪分子和黑客的目标。您可能会遇到财…

VMware ESXi 8.0U1 发布 - 领先的裸机 Hypervisor

请访问原文链接:https://sysin.org/blog/vmware-esxi-8-u1/,查看最新版。原创作品,转载请保留出处。 作者主页:sysin.org 2023-04-18, VMware vSphere 8.0U1 发布。 详见:VMware vSphere 8 Update 1 新增功能 产品简…

【Leetcode -263.丑数 -268.丢失的数字】

Leetcode Leetcode -263.丑数Leetcode -268.丢失的数字 Leetcode -263.丑数 题目:丑数就是只包含质因数 2、3 和 5 的正整数。 给你一个整数 n ,请你判断 n 是否为 丑数 。如果是,返回 true ;否则,返回 false 。 示例…

VMware SD-WAN 5.1 - 软件定义的 WAN

请访问原文链接:https://sysin.org/blog/vmware-sd-wan-5/,查看最新版。原创作品,转载请保留出处。 作者主页:sysin.org 产品概述 软件定义的 WAN (SD-WAN) SD-WAN 的功能特性 简化的 SD-WAN 了解软件定义的 WAN (SD-WAN) 的概…

时光煮雨,岁月缝花

时光煮雨,岁月缝花 作者丨兰馨 人皆苦炎热,我爱夏日长。熏风自南来,殿阁生微凉。 六月,初夏缓缓归,仲夏盈盈来。树木葱茏,山峦峻秀,槐花飘雪,石榴含笑,蔷薇浮动&#xf…

Vue3中readonly 与 shallowReadonly的使用区别?

文章目录 前言readonly强行修改readonly:shallowReadonlyshallowReadonly强行修改结果: 前言 readonly: 让一个响应式数据变为只读的(深只读)。 shallowReadonly: 让一个响应式数据变为只读的(浅只读&…

HTTP与HTTPS的区别;TLS握手过程

一、HTTP协议与HTTPS 我们都知道当客户端与服务端需要进行通信时,需要根据一套协议来进行通信。 HTTP全程是超文本传输协议(Hyper Text Transfer Protocol,HTTP)是一个简单的请求-响应协议,它通常运行在TCP之上。它指…