loader

Entendiendo el Explorador de Procesos

Anonim

Esta lección de nuestra serie Geek School cubre Process Explorer, quizás la aplicación más utilizada y útil en el kit de herramientas SysInternals. ¿Pero qué tan bien conoces esta utilidad?

NAVEGACION ESCOLAR

  1. ¿Qué son las herramientas de SysInternals y cómo las usa?
  2. Entendiendo el Explorador de Procesos
  3. Uso de Process Explorer para solucionar problemas y diagnosticar
  4. Comprensión del monitor de proceso
  5. Uso de Process Monitor para solucionar problemas y encontrar trucos de registro
  6. Uso de Autoruns para lidiar con procesos de inicio y Malware
  7. Uso de BgInfo para mostrar información del sistema en el escritorio
  8. Uso de PsTools para controlar otras PC desde la línea de comandos
  9. Analizar y administrar sus archivos, carpetas y unidades
  10. Envolviendo y usando las herramientas juntas

Process Explorer, un administrador de tareas y una aplicación de monitor de sistema, ha existido desde 2001, y aunque solía funcionar incluso en Windows 9x, las versiones modernas solo son compatibles con XP y superiores, y se han actualizado continuamente con funciones para versiones modernas de Windows Es el estándar de facto para tratar con los procesos de resolución de problemas.

Entonces, ¿qué puede hacer Process Explorer?

Algunas de las mejores características incluyen las siguientes, aunque esto no es de ninguna manera una lista exhaustiva. Esta aplicación tiene muchas características, y muchas de ellas están enterradas profundamente dentro de la interfaz. Sorprendentemente también es un archivo muy pequeño.

  • La vista de árbol predeterminada muestra la relación jerárquica principal entre procesos y muestra el uso de colores para comprender fácilmente los procesos de un vistazo.
  • Seguimiento de uso de CPU muy preciso para procesos.
  • Se puede usar para reemplazar el Administrador de tareas, que es especialmente útil en XP, Vista y Windows 7.
  • Puede agregar varios iconos de bandeja para monitorear CPU, Disco, GPU, Red y más.
  • Averigüe qué proceso ha cargado un archivo DLL.
  • Averigua qué proceso está ejecutando una ventana abierta.
  • Averigüe qué proceso tiene un archivo o carpeta abierto y bloqueado.
  • Vea datos completos sobre cualquier proceso, incluidos subprocesos, uso de memoria, identificadores, objetos y casi cualquier otra cosa que deba saber.
  • Puede matar un árbol de procesos completo, incluidos los procesos iniciados por el que elija matar.
  • Puede suspender un proceso, congelando todos sus hilos para que no hagan nada.
  • Puede ver qué hilo en un proceso realmente está maximizando la CPU.
  • La última versión (v16) integra VirusTotal en la interfaz para que pueda comprobar si hay virus en un proceso sin salir de Process Explorer.

Cada vez que tiene un problema con una aplicación, o algo se congela en su computadora, o tal vez está tratando de averiguar para qué se usa un archivo DLL en particular, Process Explorer es la herramienta para el trabajo.

Entendiendo la vista de árbol

Cuando inicia Process Explorer por primera vez, se le presentan una gran cantidad de datos visuales de inmediato: hay una vista de árbol jerárquico de los procesos que se ejecutan en su computadora, incluido el uso de CPU y RAM utilizando valores numéricos para cada proceso. Hay algunos pequeños mini gráficos de actividad que se ejecutan en la parte superior de la barra de herramientas, que muestran el uso de la CPU, que se puede hacer clic para mostrar en una ventana separada.

Definitivamente, están sucediendo muchas cosas, y sería fácil sentirse abrumado por todo lo que aparece en la pantalla.

La pantalla inicial le da un conjunto de columnas que incluyen:

  • Proceso : el nombre de archivo del ejecutable junto con el icono, si existe.
  • CPU : el porcentaje de tiempo de CPU en el último segundo (o la velocidad de actualización establecida para)
  • Bytes privados : la cantidad de memoria asignada a este programa solo.
  • Conjunto de trabajo : la cantidad de RAM real asignada a este programa por Windows.
  • PID - el identificador de proceso.
  • Descripción - la descripción, si la aplicación tiene uno.
  • Nombre de la empresa : este es más útil de lo que crees. Si algo no está bien, comience por buscar procesos que no sean de Microsoft.

Puede personalizar estas columnas y agregar muchas otras opciones, o simplemente puede hacer clic en cualquiera de las columnas para ordenar por ese campo. Si alguna vez ha usado el Administrador de tareas, probablemente lo haya ordenado por Memoria o CPU, y también puede hacerlo aquí.

Al hacer clic en Proceso, se cambiará entre la clasificación por el nombre del proceso o volver a la vista de árbol predeterminada, lo cual es muy útil una vez que se haya acostumbrado.

La vista se actualiza una vez por segundo, pero puede ir a Ver -> Actualizar velocidad y personalizar la frecuencia con la que se actualiza, el más bajo es de 0, 5 segundos y el nivel superior es de 10 segundos. Si lo está utilizando para solucionar problemas, el valor predeterminado probablemente esté bien, pero si desea usarlo como un monitor de CPU que se encuentra en la bandeja del sistema, 5 o 10 segundos pueden usar menos CPU mientras se ejecuta en segundo plano.

También puede pausar la vista en el mismo submenú, o simplemente presionando la barra espaciadora. Esto congelará la vista como una instantánea en el tiempo, lo que puede ser útil si está tratando de identificar un proceso que comienza y muere rápidamente, o si ha decidido ordenar por uso de CPU y todas las filas siguen saltando.

Sin embargo, en el caso de un proceso de cierre rápido, desearía agregar columnas adicionales a la vista predeterminada para cualquier cosa que necesite saber, ya que hacer clic en un proceso inactivo en la lista no mostrará mucho en la vista de detalles si el El proceso no se está ejecutando, incluso si ha pausado todo.

Entendiendo todos esos colores

Definitivamente, hay una gran cantidad de colores en una lista típica de Process Explorer, lo que puede ser un poco confuso para el geek principiante. Es muy importante aprender qué significan todos estos colores, porque no están ahí solo para mostrar, cada uno significa algo importante.

Cuando no pueda recordar lo que significa uno de los colores, puede ir a Opciones -> Configurar colores en el menú para abrir el cuadro de diálogo Selección de color. Esto es básicamente una hoja de trucos rápida a lo que todo significa. Sigue leyendo, ya que aquí también lo explicaremos.

En función de los colores de la imagen de arriba, esto es lo que significa cada uno de los elementos seleccionados (los otros no son realmente importantes).

  • Nuevos objetos (verde brillante) : cuando aparece un nuevo proceso en Process Explorer, comienza como verde claro.
  • Objetos eliminados (rojo) : cuando un proceso finaliza o se cierra, generalmente parpadeará en rojo justo antes de eliminarlo.
  • Procesos propios (azul claro) : procesos que se ejecutan como la misma cuenta de usuario que Process Explorer.
  • Servicios (Rosa claro) : los procesos del Servicio de Windows, aunque vale la pena señalar que pueden tener procesos secundarios que se inician como un usuario diferente y que pueden ser de un color diferente.
  • Procesos suspendidos (gris oscuro) : cuando se suspende un proceso, no se puede hacer nada. Puede utilizar fácilmente Process Explorer para suspender una aplicación. A veces, las aplicaciones bloqueadas se mostrarán brevemente en gris mientras Windows se encarga de la falla.
  • Proceso inmersivo (azul brillante): esta es solo una manera elegante de decir que el proceso es una aplicación de Windows 8 que utiliza las nuevas API. En la captura de pantalla anterior, es posible que haya notado WSHost.exe, que es un proceso de "Windows Store Host" que ejecuta las aplicaciones de Metro. Por alguna razón, Explorer.exe y el Administrador de tareas también se mostrarán como inmersivos.
  • Imágenes empaquetadas (púrpura) : estos procesos pueden contener código comprimido oculto dentro de ellos, o al menos Process Explorer cree que sí mediante el uso de heurísticas. Si ves un proceso púrpura, ¡asegúrate de buscar malware!

Dado que obviamente hay cierta superposición entre estos diferentes escenarios, los colores se aplicarán en un orden de prioridad. Si un proceso es un servicio y está suspendido, se mostrará en gris oscuro porque ese color es más importante.

De lo que hemos aprendido mientras investigábamos, el pedido está Suspendido> Empacado> Inmersivo> Servicios -> Procesos propios.

Verificando la identidad de la aplicación

Una opción realmente útil que nos sorprende no está habilitada de forma predeterminada se encuentra en Opciones -> Verificar firmas de imagen.

Esta opción verificará la firma digital para cada archivo ejecutable en la lista, que es una herramienta invaluable para la solución de problemas cuando se observa alguna aplicación sospechosa que se está ejecutando en la lista.

La gran mayoría de los programas acreditados deben estar firmados digitalmente en este punto. Si algo no es así, debe mirar con mucho cuidado si debe usarlo.

Tomando acción en un proceso

Puede actuar rápidamente sobre cualquier proceso haciendo clic con el botón derecho en él y seleccionando una de las opciones, o usando las teclas de acceso directo, si lo prefiere. Esas opciones incluyen:

  • Ventana : tiene opciones que incluyen Traer al frente, que pueden ser útiles para ayudar a identificar la ventana asociada con un proceso. Si no hay ventanas para ese proceso, aparecerá en gris.
  • Establecer prioridad : puede usar esto para configurar la prioridad de un proceso. Esto es sobre todo útil para dominar un proceso fuera de control que no desea matar.
  • Proceso de eliminación : tal como lo imaginas, esto mata rápidamente ese proceso.
  • Matar el árbol de procesos : no solo elimina el elemento de la lista, sino también los elementos secundarios del proceso principal.
  • Reinicio : espectacularmente útil durante la prueba, esto solo detiene el proceso y luego lo reinicia. Vale la pena señalar que los procesos de matanza pueden dar lugar a datos perdidos.
  • Suspender : esta práctica opción es ideal para solucionar problemas cuando un proceso está fuera de control. Simplemente puede suspender el proceso en lugar de matarlo y verificar si hay algo fuera de control.
  • Compruebe VirusTotal : esta es una nueva opción que explicaremos más adelante. Es bastante útil realmente, ya que comprueba el proceso de virus.
  • Búsqueda en línea : esto solo buscará en la web el nombre del proceso.

Y, obviamente, si abre Propiedades que lo llevarán a información aún más útil sobre el proceso, gran parte de la cual veremos en la próxima lección.

Nota: probamos la opción Temp, pero no teníamos idea de lo que hace.

Ejecutando como administrador

Si bien no es absolutamente necesario ejecutar Process Explorer como administrador, sin hacer muchas de las funciones útiles no funcionará, y no podrá ver tanta información sobre cada proceso.

Si está ejecutando en Windows XP o 2003, tendrá que estar ejecutando como una cuenta que tiene todos los derechos de administrador para usar la mayoría de las funciones. Probablemente, esto no sea un problema para la mayoría de las personas, ya que de todos modos, XP otorgó los privilegios completos a la cuenta predeterminada, pero si intenta usar esto en el trabajo sin acceso de administrador, no funcionará tan bien.

Dado que la mayoría de nuestros lectores utilizan Windows 7, 8.x, o incluso Vista, es probable que esté familiarizado con la ejecución de una aplicación como Administrador. Es muy facil

simplemente haga clic derecho y elija la opción del menú.

Dato curioso: Process Explorer en realidad usa el privilegio de programas de depuración, que explica en gran medida por qué es tan poderoso.

Obligando a Process Explorer a abrirse siempre como administrador

Si desea asegurarse de que Process Explorer siempre se abra como Administrador sin tener que recordar hacer clic con el botón derecho sobre él, puede forzarlo haciendo un atajo especial que requiera el modo Administrador o abriendo las Propiedades para procexp.exe. vaya a Compatibilidad y luego elija la opción "Ejecutar este programa como administrador".

De cualquier manera, funcionará bien, o también puede deshabilitar UAC si lo prefiere, lo que hace que todo funcione como administrador todo el tiempo. No lo estamos recomendando, pero puedes hacerlo.

Uso de Process Explorer para reemplazar el Administrador de tareas

Process Explorer se ha utilizado durante mucho tiempo como un poderoso reemplazo para la aplicación anémica del Administrador de tareas en todas las versiones de Windows anteriores a Windows 8, y suponiendo que usted quiere algo de poder real en sus manos, también funciona como un reemplazo en esa versión.

Nota: el Administrador de tareas de Windows 8 se ha mejorado mucho con respecto a las versiones anteriores. Todavía no es tan poderoso como Process Explorer, pero probablemente sea más fácil de usar para las personas normales. Así que no cambies la computadora de mamá para que sea predeterminada a Process Explorer.

Para hacer que Process Explorer reemplace al Administrador de tareas, todo lo que tiene que hacer es elegir la opción Opciones -> Reemplazar el Administrador de tareas en el menú. Eso es.

Una vez que haya hecho eso, utilizando CTRL + MAYÚS + ESC o haciendo clic con el botón derecho en la barra de tareas, ambos iniciarán el Explorador de procesos en lugar del Administrador de tareas. Fácil, ¿verdad?

Advertencia : si reemplaza el Administrador de tareas, asegúrese de que haya colocado el Explorador de procesos en un lugar donde no vaya a mover o eliminar el archivo accidentalmente. De lo contrario, se quedará atascado con un sistema que no puede iniciar ningún Administrador de tareas.

Usando Process Explorer como un impresionante monitor de iconos de bandeja

Una de las mejores características de Process Explorer es la capacidad de minimizarlo en la bandeja del sistema, pero en lugar de un solo icono, puede minimizarlo en un conjunto completo de iconos que pueden monitorear la CPU, E / S, Disco, Red, GPU, y RAM, o cualquier combinación de ellos. Puede configurarlos para que se muestren por separado, o no, si lo prefiere.

Para configurarlo, abra el menú Opciones, vaya a la sección Iconos de la bandeja y luego haga clic para habilitar cada uno de los iconos de la bandeja que le gustaría ver.

Puede ejecutar Process Explorer cada vez que comience a ejecutar su computadora y luego minimizarlo en la bandeja del sistema para que siempre esté allí para usted. Y, por supuesto, si usó la opción para reemplazar el Administrador de tareas, puede acceder rápidamente en cualquier momento con una tecla de acceso directo, aunque es posible que desee usar la opción "Permitir solo una instancia" para asegurarse de no abrir una montón de ventanas separadas

Usando Process Explorer para buscar rápidamente VirusTotal

Si está trabajando en una PC con problemas y quiere saber si un proceso es un virus, puede ahorrar algo de tiempo utilizando la versión 16 o superior de Process Explorer, porque han agregado la integración de VirusTotal directamente en la aplicación. Simplemente haga clic derecho en cualquier elemento de la lista para ver la opción.

La primera vez que lo ejecute, se le pedirá que acepte los términos de uso de VirusTotal, pero después de hacerlo, verá que los resultados de VirusTotal aparecen allí mismo en la lista.

Puede hacer clic en el resultado para ir a VirusTotal y ver los detalles. Es una gran adición nueva a una de las mejores utilidades de todos los tiempos.

Lección siguiente: Uso de Process Explorer para solucionar problemas y diagnosticar

En la siguiente lección de nuestra serie, profundizaremos mucho más en cómo utilizar Process Explorer en algunos escenarios del mundo real para solucionar problemas comunes como malware y crapware. Asegúrate de estar atento al resto de la serie.

La Elección Del Editor