Process explorer v16.43

Процессы Windows — практика по работе с ними

Дабы выявить и убить какой-либо вредоносный процесс мы делаем следующее:

• С помощью Starter, Process Explorer или любой другой программы, способной выводить список процессов, открываем список с текущими процессами;
• Находим в списке тот или иной процесс, кажущийся нам подозрительным и проверяем есть ли у него подпись автора;
• Если процесс не подписан, подписан по Вашему мнению кем-то левым, подписан именем известной компании, но с опечатками, дружно бежим в Google (Яндекс или чем там кто пользуется) и ищем информацию об этом процессе (как правило, если он вирусный об этом уже написано и зачастую есть инструкция по удалению сопряженных файлов\процессов);
• Если оказалось, что процесс гадкий и вредный, то переходим в папку\ветку реестра с этим процессом (путь, можно посмотреть в информации о процессе, в графе исполняемый файл, нажав, например, в Starter «проводник к папке процесса») и, предварительно завершив процесс, либо удаляем файл этого процесса, либо, если не уверены, что он гадкий, то просто прячем файлик в другую папку, на всякий случай, переименовав его (можно даже сменить расширение, чтобы наверняка).

В двух словах, пожалуй, как-то так.

Если же заниматься выявлением вирусов самостоятельно Вам сложно и лениво, то проще, конечно же, воспользоваться антивирусной утилитой, вроде AVZ.

Теперь, думаю, можно переходить к послесловию.

Процессы Windows теория по работе с ними

Теперь немного поговорим о том, как можно пользоваться столь подробной информацией в целях диагностики, точнее говоря, скажем, защиты от вирусов.

Дело в том, что любой процесс, как правило, подписан его разработчиком, ибо последний заинтересован в том, чтобы его знали, почитали и к нему возвращались.

Не подписывает обычно процессы только тот, кто:

• Собрал процесс «на коленке», т.е. это какая-нибудь маленькая утилитка, вполне вероятно полезная, но написанная влет и не с расчетом на широкие массы\популярность;
• Решил Вам навредить, т.е. является вирусописателем и вообще вредной врединой;
• Забыл подписаться или попросту в этом не было необходимости (такое бывает, но редко).

Как Вы понимаете, в данный момент (в целях диагностики и выявлении зловредов) нас интересуют именно вторые люди, а точнее говоря их процессы.

Возможности

Программа для мониторинга процессов по своему назначению схожа со стандартной утилитой Windows, но сильно отличается от нее по наполнению и возможностям. Process Explorer предлагает более подробную информацию о каждом процессе, целый набор действий и настроек и даже поиск, которого так не хватает «Диспетчеру задач».

О превосходстве Process Explorer вы можете судить по списку возможностей, представленному ниже:

• отслеживание процессов в иерархическом дереве;
• определение системных и сторонних веток;
• сбор информации о каждом запущенном приложении;
• предоставление информации о влиянии каждого процесса на производительность ПК;
• заморозка, остановка, закрытие отдельного приложения/древа/потока и так далее;
• изменение приоритета;
• проверка сертификатов;
• графики состояния системы;
• анализ безопасности;
• анализ занимаемой памяти тем или иным приложением.

Выше представлены только основные функции, которые пригодятся любому пользователю. С их помощью вы сможете узнать, какие библиотеки в данный момент используются, определить утечку памяти, найти вредоносные приложения и многое другое. Process Explorer будет полезен для разрешения самых разнообразных проблем с ПК. Софт постоянно обновляется создателями, поэтому функционал совершенствуется и ориентируется на новые издания Windows и их особенности.

Итак, что может сделать Process Explorer?

Некоторые из лучших функций включают следующие, хотя это ни в коем случае не исчерпывающий список. Это приложение имеет множество функций, и многие из них скрыты глубоко внутри интерфейса. Удивительно, но это всё помещается в маленький файл.

• Древовидное представление по умолчанию показывает иерархические родительские отношения между процессами и отображает их с использованием цветов, чтобы легко понять процессы с первого взгляда.
• Очень точное отслеживание использования ЦП для процессов.
• Может использоваться для замены диспетчера задач, что особенно полезно в XP, Vista и Windows 7.
• Можно добавить несколько значков на панели задач для мониторинга ЦП, диска, графического процессора, сети и т. д.
• Выясните, какой процесс загрузил файл DLL.
• Выясните, какой процесс запускает открытое окно.
• Выясните, в каком процессе файл или папка открыты и заблокированы для удаления и переименования.
• Просматривайте полные данные о любом процессе, включая потоки, использование памяти, дескрипторы, объекты и многое другое, что нужно знать.
• Может убить все дерево процессов, включая любые процессы, запущенные тем, что вы решили убить.
• Может приостановить процесс, заморозив все его потоки, чтобы они ничего не делали.
• Можно увидеть, какой поток в процессе фактически загружает процессор.
• Последняя версия (v16) интегрирует VirusTotal в свой интерфейс, поэтому вы можете проверять процесс на вирусы, не выходя из Process Explorer.

Каждый раз, когда у вас возникает проблема с приложением, или что-то продолжает зависать на вашем компьютере, или, может быть, вы пытаетесь выяснить, для чего используется конкретный файл DLL, Process Explorer — это инструмент как раз для этой работы.

Проверка идентичности приложения

Один действительно полезный параметр, который, к нашему удивлению, не включён по умолчанию, находится в разделе Options → Verify Image Signatures (Проверить подписи образа).

Эта опция проверяет цифровую подпись для каждого исполняемого файла в списке, что является неоценимым инструментом для устранения неполадок, когда вы смотрите на какое-то работающее подозрительное приложение этом в списке.

На данном этапе подавляющее большинство программного обеспечения с хорошей репутацией должно иметь цифровую подпись. Если что-то не так, вам следует очень внимательно подумать, следует ли вам его использовать.

Как пользоваться

После скачивания запустите исполнительный файл, который соответствует разрядности используемой ОС. В главном окне вы увидите разделение на две области:

• Верхняя часть – древо с процессами. Здесь отображаются запущенные программы. В таблице присутствует название исполнительного файла, нагрузка на процессор, используемая оперативная память, краткое описание и название компании. Все данные меняются в режиме реального времени.
• Нижняя часть – вариативная область, содержимое которой зависит от выбранного пользователем режима. Например, в нижнем окне может находиться информация обо всех загруженных DLL библиотеках или открытых дескрипторах. Данные меняются в зависимости от выбранного процесса в верхнем окне.

Управление запущенными программами в Process Explorer очень простое. Почти все действия можно выполнить через контекстное меню, вызываемое нажатием ПКМ. Выделив любое приложение, вы можете выбрать вариант закрытия, перезапуска, создания дампа, перехода в окно папки, отображения свойств и так далее.

1 Что такое explorer.exe

Итак, разберёмся что произошло. Вируса, скорее всего, они родимые, подменили нам процесс ”explorer.exe” (графическая оболочка Windows).

Задача которого состоит в том, чтобы правильно отображать меню пуск, рабочий стол, панель инструментов и файловый менеджер. Откуда взялись такие умные вирусы, вопрос к вам.

Но для примера могу сказать, онлайн флеш-игры, посещение различных сомнительных ресурсов + неправильно настроенный антивирус обеспечат вам букет неприятных ошибок в подарок, при следующем запуске Windows.

В нашем случае система подлежит восстановлению, в большинстве случаев может быть наоборот.

Как пользоваться программой System Explorer?

Программа System Explorer имеет то же предназначение, что и стандартный менеджер процессов Windows «Диспетчер устройств», а именно — отображение (мониторинг) всех запущенных на компьютере процессов и управление ими. Однако System Explorer предоставляет более подробную информацию о процессах — вплоть до вывода списка всех связанных с ними программных модулей (исполнимых EXE-файлов и динамических DLL-библиотек).

Из программы System Explorer пользователь может выполнять все необходимые действия над процессами (помимо получения информации о них):

• Принудительное завершение процесса.
• Принудительное завершение дерева процессов (т.е. закрытие основной программы и всех процессов, вызванных ею).
• Перезапуск текущего и запуск нового процесса.
• Изменение приоритета выбранного процесса (низкий, средний, высокий и др. варианты). Также программа может запоминать выданный пользователем приоритет тому или иному процессу. При задействовании этой функции System Explorer будет автоматически выдавать процессу ранее сохраненный приоритет, если тот был изменен системой или другой программой без ведома пользователя.
• А также — приостановка работы выбранного процесса.

При необходимости пользователь сможет заменить «Диспетчер задач» на System Explorer, задействовав соответствующую опцию в настройках программы. В этом случае при вызове стандартного менеджера процессов Windows любым способом (например, при использовании комбинации клавиш «Ctrl + Alt + Esc») будет запускаться System Explorer.

Process Explorer управление запущенными процессами 16.32 Portable by Portable

Process Explorer — утилита управления запущенными в системе процессами, превосходящая по своим параметрам Диспетчер задач Windows. Программа отображает в своем окне подробную информацию о процессе, включая полный путь, инициализатор автозапуска, показатель выявления на VirusTotal, статистику использования памяти, процессора, диска и сети, учетную запись пользователя, атрибуты безопасности и многое другое. Просматривая конкретный процесс, Вы можете просмотреть список DLL или дескрипторов используемые этим процессом. Опция поиск — предоставляет возможность поиска процесса использующего ресурс, такой как файл, каталог или ключ реестра, или просмотреть список процессов, использующих ту или иную загруженную DLL. Имеется «найти цель» — это мишень которую можно перетащить на любое окно и в окне Process Explorer сразу выделится процесс, хозяин этого окна. Тип информации отображаемой в Process Explorer может быть полностью перестроен. Можно переупорядочить столбцы и определить, какие данные будут отображаться в верхнем окне и в каждой вкладке нижнего окна, а также отображаемую информацию в строке состояния, можно, выбрав опцию меню «Вид|Выбрать столбцы» или щелкнуть правой кнопкой мыши по заголовку столбца и выбрать опцию «Выбор столбцов». В результате чего откроется окно редактирования заголовков, в котором Вы сможете определить какая информация будет отображаться. ProcExp не всегда требует наличия прав администратора, однако значительная часть сведений о системе доступна только при работе с повышенным уровнем разрешений.Системные требования:• Windows Vista и выше (включая архитектуру IA64)• Windows Server 2008 и выше (включая архитектуру IA64)Торрент Process Explorer управление запущенными процессами 16.32 Portable by Portable подробно:Основные функции:• отображение дерева родства процессов;• цветовая подсветка различных типов процессов, таких как: службы, процессы .NET, процессы, работающие под той же учетной записью пользователя, что и Procexp, процессы, являющиеся частью задания, и упакованные образы;• отображение в подсказках информации о командной строке и других процессах;• выделение новых и недавно завершившихся процессов;• более точное отображение утилизации ЦП, благодаря чему процессы, потребляющие менее 1% времени ЦП, не отображаются как бездействующие;• более точные показания загруженности ЦП на основе счетчиков циклов ЦП и переключений контекста;• дублирование функций Диспетчера задач, который Process Explorer вполне заменяет;• возможность определить процесс, которому принадлежит то или иное видимое окно на рабочем столе;• возможность найти окно, принадлежащее указанному процессу, активировать его или закрыть;• идентификация всех DLL и проецируемых файлов, загруженных процессом, а также всех описателей объектов ядра, открытых процессом;• поиск процессов с открытыми описателями к объектам ядра, в частности, файлам и папкам;• поиск процессов, загружавших DLL, идентификация ее пути и других атрибутов;• графическое представление активности ЦП, выделения памяти и активности ввода-вывода как для системы в целом, так и для отдельных процессов;• подробные метрики использования памяти и активности ввода-вывода;• подробная информация о контексте защиты процесса;• подробная информация о конечных точках TCP/IP для процесса;• просмотр потоков процесса, их начальных адресов и стеков;• выгрузка процесса.Особенности Portable:Опубликовано 11.05.2020• Программа от Portable RUS.• Портативная утилита работает с любых внешних или встроенных носителей информации. После работы и отключения все следы и настройки самой программы из системы будут удалены.• Запуск Process Explorer 32-битной версии в русскоязычном варианте возможен только в операционной системе 32-bit.
Скриншоты Process Explorer управление запущенными процессами 16.32 Portable by Portable торрент:

Скачать Process Explorer управление запущенными процессами 16.32 Portable by Portable через торрент:

process-explorer-16_32-portable-by-portable-rus_exe.torrent (cкачиваний: 61)

Как скачать, установить и запустить?

Для того, чтобы скачать и установить Process Explorer, выполните следующее:

1. зайдите на страницу Process Explorer;
2. скачайте и распакуйте файл ProcessExplorer.zip (прямая ссылка для скачивания – http://download.sysinternals.com/Files/ProcessExplorer.zip);
3. запустите файл procexp.exe (3,38МБ);
4. в окне с лицензионным соглашением Process Explorer License Agreement нажмите Agree.

Важно. Программу рекомендуется запускать от имени администратора.. После запуска программы в области уведомлений Панели задач появляется характерный значок, при наведении на него курсора мыши появляется всплывающая подсказка с информацией о загрузке центрального процессора и о том, какой процесс больше всего загружает CPU

После запуска программы в области уведомлений Панели задач появляется характерный значок, при наведении на него курсора мыши появляется всплывающая подсказка с информацией о загрузке центрального процессора и о том, какой процесс больше всего загружает CPU.

Диспетчер задач встроен в Windows, поэтому часто отключается вирусами. Process Explorer — это автономная программа, которая может быть запущена, даже если диспетчер задач отключен.

Колонки в главном окне

Для каждого процесса:

Имя процесса
Владелец процесса, я использую сортировку по этому полю, чтобы первыми шли пользовательские процессы, потом системные
Загрузка CPU процессом
Суммарное затраченное время CPU, интересно иногда обращать на это внимание, полезен для таймирования
Private bytes — объем занимаемой процессом памяти (реально выделенные страницы, исключая shared)
Peak private bytes — пиковое значение Private bytes, интересно иногда взглянуть до чего дело доходило
I/O read bytes — суммарный объем считанных с диска данных, по изменению видна активность
I/O write bytes — суммарный объем записанных на диск данных, по изменению видна активность
Network receive bytes — суммарный объем считанных из сети данных, по изменению видна активность
Network send bytes — суммарный объем переданных в сеть данных, по изменению видна активность
Описание процесса
Название компании
Полный путь к образу процесса (тут можно точно понять откуда стартовал процесс)
Командная строка запуска процесса

Что означают цвета в Process Explorer

В типичном списке Process Explorer определённо много цветов, что может немного сбивать с толку начинающего компьютерщика

Очень важно узнать, что означают все эти цвета, потому что они предназначены не только для красоты — каждый из них имеет своё значение.. Если вы не можете вспомнить, что означает один из цветов, вы можете перейти в меню Options → Configure Colors, чтобы открыть диалоговое окно «Color Selection»

По сути, это краткая шпаргалка что какой цвет означает. Продолжайте читать, так как мы собираемся объяснить здесь значение всех цветов Process Explorer.

Если вы не можете вспомнить, что означает один из цветов, вы можете перейти в меню Options → Configure Colors, чтобы открыть диалоговое окно «Color Selection». По сути, это краткая шпаргалка что какой цвет означает. Продолжайте читать, так как мы собираемся объяснить здесь значение всех цветов Process Explorer.

Основываясь на цветах на картинке выше, вот что означает каждый из выбранных элементов (остальные на самом деле не важны).

• New Objects — Новые объекты (ярко-зеленый) — когда новый процесс появляется в Process Explorer, он начинается с ярко-зеленого цвета.
• Deleted Objects — Удалённые объекты (красный) — когда процесс завершается или закрывается, он обычно мигает красным прямо перед удалением.
• Own Processes — Собственные процессы (светло-голубой) — процессы, выполняемые под той же учётной записью, что и Process Explorer.
• Services — Службы (светло-розовый) — процессы служб Windows, хотя стоит отметить, что у них могут быть дочерние процессы, которые запускаются от имени другого пользователя, и они могут быть другого цвета.
• Suspended Processes — Приостановленные процессы (тёмно-серый) — когда процесс приостановлен, он ничего не может сделать. Вы можете легко использовать Process Explorer, чтобы приостановить приложение. Иногда сбойные приложения на короткое время отображаются серым цветом, пока Windows обрабатывает сбой.
• Immersive Process — Иммерсивный процесс (ярко-синий) — это просто причудливый способ сказать, что процесс представляет собой приложение Windows 8, использующее новые API. На скриншоте ранее вы могли заметить WSHost.exe, который представляет собой процесс «Windows Store Host», который запускает приложения Metro. По какой-то причине Explorer.exe и диспетчер задач также будут отображаться как иммерсивные.
• Packed Images — Упакованные образы (фиолетовый) — эти процессы могут содержать скрытый сжатый код, или, по крайней мере, Process Explorer считает, что они содержат, используя эвристику. Если вы видите пурпурный процесс, обязательно выполните сканирование на наличие вредоносных программ!

Поскольку, очевидно, что один и тот же процесс может иметь свойства более чем одной описанной группы, цвета будут применяться в порядке приоритета. Если процесс является сервисом и приостановлен, он будет отображаться тёмно-серым цветом, поскольку этот цвет более важен.

Порядок приоритета процессов, который нам удалось составить во время исследования программы: Suspended → Packed → Immersive → Services → Own Processes (то есть Приостановлено → Упаковано → Иммерсивное → Службы → Собственные процессы).

Понимание древовидного представления процессов

Когда вы запускаете Process Explorer, вам сразу же предоставляется множество визуальных данных — по умолчанию показывается иерархическое древовидное представление процессов, запущенных на вашем компьютере, среди прочего для каждого процесса показывается использование ЦП и ОЗУ. В верхней части панели инструментов есть несколько небольших мини-графиков, показывающих использование ЦП, которые можно щёлкнуть для отображения в отдельном окне.

Определённо много чего происходит, и при первом взгляде происходящее на экране может ошеломить.

Давайте начнём разбираться с каждым из элементов того, что показывает Process Explorer.

На начальном экране отображается набор столбцов, в который входят:

• Process — имя исполняемого файла вместе со значком, если он существует.
• CPU — процент процессорного времени за последнюю секунду (или независимо от установленной скорости обновления)
• Private Bytes — объем памяти, выделенный только этой программе.
• Working Set — фактический объем оперативной памяти, выделенной этой программе Windows.
• PID — идентификатор процесса.
• Description — описание, если оно есть в приложении.
• Company Name — это полезнее, чем вы думаете. Если что-то не так, начните с поиска процессов, которые не принадлежат Microsoft.

Вы можете настроить эти столбцы и добавить множество других параметров, или вы можете просто щёлкнуть любой из столбцов для сортировки по этому полю. Если вы когда-либо использовали Диспетчер задач раньше, вы, вероятно, сортировали по памяти или ЦП, и вы также можете сделать это здесь.

При нажатии на «Process» выполняется переключение между сортировкой по имени процесса или возвратом к древовидному представлению, которое мы видим по умолчанию, что очень полезно, когда вы к этому привыкнете.

Выводимая информация обновляется один раз в секунду, но вы можете перейти в меню View → Update Speed и настроить частоту обновления: минимальное значение составляет 0,5 секунды, а верхний уровень — 10 секунд. Если вы используете его для устранения неполадок, значение по умолчанию, вероятно, подойдёт, но если вы хотите использовать его в качестве монитора ЦП, находящегося на панели задач, то чтобы программа потребляла меньше процессорного времени, то можно выбрать частоту обновления в 5 или 10 секунд.

Вы также можете приостановить просмотр в том же подменю или просто нажав клавишу пробел. Это заморозит экран программы и вы получите моментальный снимок, что может быть полезно, если вы пытаетесь определить процесс, который запускается и быстро умирает, или если вы решили отсортировать по загрузке ЦП, а все строки продолжают прыгать.

Для запущенного процесса можно открыть подробное представление и детально изучить все столбцы. Вам нужно знать, что если вы нажали на паузу и экран не обновляется, то хоть вы и сможете видеть процесс, который завершил свою работу, в подробном представлении для завершённых процессов не показывается дополнительная информация. По этой причине следует заранее добавить дополнительные столбцы в окно программы, если вы отлавливаете и изучаете процесс, который быстро завершает свою работу.

Process Explorer — основные возможности

Нашел в интернете возможности проги, давайте посмотрим что умеет:

1. Получать подробную инфу о процессах, которые запущены в Windows.
2. Управлять можно не только процессами, но и службами — остановка, приостановка, возобновить и перезапустить. Ну не думаю что особо полезная функция, потому что похожее есть и в штатном диспетчере задач.
3. В проге процесс можно не только завершить, но и заморозить (Suspend) и потом возобновить (Resume). А вот это уже думаю полезная функция.
4. Можно управлять не только процессами, но и потоками. Поток, это вроде бы внедряемая библиотека DLL. Интересная опция, но думаю что без опыта опция может быть опасной — например если вносить изменения в работу процесса svchost.exe, то думаю могут быть глюки в Windows.
5. Изменение приоритетов процесса, права доступа, разрешения, разрешать использовать только указанное количество ядер.
6. Запуск новых процессов с разными правами — например от имени Система, от имени пользователя, администратора. Хорошая опция, хотя вряд ли особо нужна, учитывая что процесс спокойно можно запустить от имени администратора, достаточно просто по файлу нажать правой кнопкой и выбрать пункт запуска от администратора.
7. В любое время при необходимости можете создать дамп памяти (Minidump или Fill Dump) с сохранением в выбранный файл.
8. Завершение работы Windows, завершение сеанса пользователя, переход в спящий режим, режим гибернации, блокировка рабочего стола. Все хорошо, но вроде бы эти опции есть и у самой Windows, например чтобы заблокировать рабочий стол достаточно нажать Win + L.

Итак, что может сделать Process Explorer?

Некоторые из лучших функций включают следующие, хотя это ни в коем случае не исчерпывающий список. Это приложение имеет множество функций, и многие из них скрыты глубоко внутри интерфейса. Удивительно, но это всё помещается в маленький файл.

• Древовидное представление по умолчанию показывает иерархические родительские отношения между процессами и отображает их с использованием цветов, чтобы легко понять процессы с первого взгляда.
• Очень точное отслеживание использования ЦП для процессов.
• Может использоваться для замены диспетчера задач, что особенно полезно в XP, Vista и Windows 7.
• Можно добавить несколько значков на панели задач для мониторинга ЦП, диска, графического процессора, сети и т. д.
• Выясните, какой процесс загрузил файл DLL.
• Выясните, какой процесс запускает открытое окно.
• Выясните, в каком процессе файл или папка открыты и заблокированы для удаления и переименования.
• Просматривайте полные данные о любом процессе, включая потоки, использование памяти, дескрипторы, объекты и многое другое, что нужно знать.
• Может убить все дерево процессов, включая любые процессы, запущенные тем, что вы решили убить.
• Может приостановить процесс, заморозив все его потоки, чтобы они ничего не делали.
• Можно увидеть, какой поток в процессе фактически загружает процессор.
• Последняя версия (v16) интегрирует VirusTotal в свой интерфейс, поэтому вы можете проверять процесс на вирусы, не выходя из Process Explorer.

Каждый раз, когда у вас возникает проблема с приложением, или что-то продолжает зависать на вашем компьютере, или, может быть, вы пытаетесь выяснить, для чего используется конкретный файл DLL, Process Explorer — это инструмент как раз для этой работы.

Process Explorer

Вы предпочитаете загруженный, но информативный дисплей Process Explorer, более чистому, но почти пустому диспетчеру задач? Пожалуйста, для этого имеется свой параметр. А именно, в программе Process Explorer, выберите меню «Параметры» и затем «Заменить диспетчер задач» (для внесения этого изменения вам потребуются учётные данные администратора). После этого, нажатие клавиш Ctrl+Shift+Esc, вместо диспетчера задач Windows, откроет инструмент Sysinternals.

На примере ниже чётко видно, что Process Explorer очень активен. Для идентификации каждого процесса по типу, он использует цветовое кодирование, а для привлечения внимания к начинающимся и заканчивающимся процессам — анимацию.

Вид группировки по умолчанию в Process Explorer обрабатывает процессы родитель-потомок и использует цветовое кодирование для выявления различных типов процессов.

Цветовое кодирование, вы можете настроить самостоятельно. Для этого, нажмите «Опции» и выберите «Настройка цветов».

Параметры по умолчанию следующие:

 Зелёный цвет указывает на новые объекты, а насыщенный красный — момент удаления объектов. Оба этих цвета появляются на короткое время, в момент начала и окончания процесса.

 Светло-голубой — определяет «собственные процессы», те, что работают под той же учётной записью, что и Process Explorer

Обратите внимание, что эти процессы могут выполняться в другом контексте безопасности чем учётная запись пользователя, под которой они были запущены

 Розовый цвет — выделяет процессы, которые содержат одну или более служб Windows. Когда вы наводите курсор на одну из этих строк, появляется подсказка, отображающая имена работающих в этом процессе отдельных служб. Что может быть полезным для определения какой экземпляр Svchost.exe за это отвечает.

 Фиолетовый (или тёмно-фиолетовый) — означает «Упакованные» (зашифрованные или сжатые) исполняемые программы. Это может означать потенциально вредоносные программы, особенно, если они связаны с неизвестным процессом.

 Бирюзовый — показывает иммерсивные процессы, которые связаны с приложениями Магазина Windows.

 Тёмно-серый — идентифицирует приостановленный процесс. Обычно это приложения Windows Store, которые вы ранее открыли, но уже не используете. Некоторые приложения Магазина Windows специально написаны так, что могут продолжать выполняться в фоновом режиме. Например, Groove Music будет продолжать проигрывать мелодии даже при переключении фокуса в другую программу.

Маленькие графики, в верхней части окна Process Explorer, отображают системную информацию в режиме реального времени. Чтобы увидеть все графики производительности в одном окне, нажмите Ctrl+I (как в информации) или, в строке меню, щёлкните «Вид» и выберите пункт «Сведения о системе». Ниже этот дисплей в действии.

Окно сведений о системе показывает графики производительности для текущей системы в режиме реального времени. А также, при наведении курсора на определённое место, детальные подсказки.

Каждая из отдельных вкладок — CPU, Memory, I/O и GPU — содержит дополнительные сведения об этой конкретной группе ресурсов. В частности, на вкладке GPU, добавлены детали, которые вы не найдёте на вкладке «Производительность» диспетчера задач.

Реальная сила Process Explorer становится очевидной, когда вы, чтобы раскрыть меню доступных параметров, щёлкните правой кнопкой мыши на отдельном процессе.

Первое место, где стоит смотреть, особенно, если вы хотите выяснить, что это за процесс — диалоговое окно «Свойства», которое отображает значительно больше информации, чем его коллега File Explorer.

Детали для запущенного процесса включают информацию о версии и запускается ли он автоматически.

Из этого диалогового окна «Свойства» или из списка процессов, вы можете отправить хэш-код этого файла в службу VirusTotal. Где на любом из отслеживаемых VirusTotal 50 с лишним антивирусов выяснить, не является ли он возможной вредоносной программой.

Нижняя панель окна Process Explorer обычно скрыта. С помощью сочетания клавиш Ctrl+L, вы можете сделать её видимой (или, в меню «Вид» выберите «Показать нижнюю панель»). Эта панель показывает одно из двух представлений для текущего процесса: библиотеки DLL или дескрипторы. Вы можете переключаться между двумя представлениями с помощью сочетаний клавиш Ctrl+D и соответственно Ctrl+H На рисунке ниже нижняя панель в представлении библиотеки DLL.

Нижняя панель может отображать связанный с выбранным процессом список библиотек DLL или список дескрипторов.

Что такое Process Monitor?

Process Monitor – это бесплатный расширенный инструмент мониторинга, включенный в набор утилит Windows Sysinternals. Он позволяет просматривать подробную информацию обо всех процессах, запущенных в вашей системе.

В частности, это подробности о событиях, запускаемых конкретными процессами.

Следующие поля информации о процессе выбираются по умолчанию при первом запуске приложения.

• Имя процесса
• Дорожка
• Деталь
• Результат
• Операция
• Время суток
• Идентификатор процесса (PID)

Есть 20 дополнительных полей, которые вы можете выбрать, чтобы увидеть еще больше информации о каждом процессе.

Вы не ограничены только просмотром информации о процессе с помощью этого инструмента. Вы также можете установить фильтры для любого поля, чтобы ограничить отображаемые данные, регистрировать события процесса для устранения неполадок и создать дерево процессов, которое позволяет увидеть взаимосвязь между родительскими и дочерними процессами.