[ 应急响应基础篇 ] 使用 Process Explorer 进程分析工具分析系统进程(附Process Explorer安装教程)

news2024/12/24 2:27:24

🍬 博主介绍

👨‍🎓 博主介绍:大家好,我是 _PowerShell ,很高兴认识大家~
✨主攻领域:【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯(一键三连)😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限,欢迎各位大佬指点,相互学习进步!

文章目录

  • 🍬 博主介绍
  • 一、环境介绍
  • 二、Process Explorer介绍
  • 三、Process Explorer下载
  • 四、Process Explorer使用
    • 1、替换任务管理器
      • 1.操作步骤
      • 2.替换成功
      • 3.taskmgr打开
      • 4.Ctrl+Shift+Del打开
    • 2、查看当前系统中运行的进程
      • 1.树形图展示进程
      • 2.颜色标示不同状态的进程
      • 3.选择显示不同字段
    • 3、查看进程的详细信息
    • 4、查看文件正在被什么进程占用
    • 5、实时监控系统的性能
    • 6、获取Dump文件
    • 7、官方文档
  • 五、相关资料

一、环境介绍

在应急响应过程中,进程分析是至关重要的。
这里简单介绍一下windows官方提供的进程分析工具Process Explorer,包含他的简单介绍,下载及其简单使用。

二、Process Explorer介绍

Process Explorer可以看成是一个加强版的任务管理器。
在较早的Windows版本中,任务管理器提供的功能是非常简单的(比如查看CPU、内存的使用情况,强制结束进程等),很难满足我们高级一些的需求。在这种情况下,Process Exploere就应运而生了,大大的方便了我们工作中监测进程和排除故障的工作。
这里我会从实际应用的角度对Process Explorer的一些功能点进行简单的介绍。

三、Process Explorer下载

Process Explorer是微软官方提供的,直接在官网下载就可以了
官网下载:

https://learn.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

四、Process Explorer使用

1、替换任务管理器

Process Explorer提供了相对与任务管理器更加强大实用的功能,所以有的时候就会想着直接把任务管理器给替换掉得了。
Process Explorer提供了这样一个功能,可以在用户触发打开任务管理器的操作的时候直接打开Process Explorer。

1.操作步骤

选项(Options) --> 替换任务管理器(Replace Task Manager)

在这里插入图片描述

2.替换成功

之后在我们运行任务管理器打开的就是Process Explorer了。

3.taskmgr打开

taskmgr

在这里插入图片描述

4.Ctrl+Shift+Del打开

Ctrl+Shift+Del的时候打开任务管理器

在这里插入图片描述

2、查看当前系统中运行的进程

1.树形图展示进程

Process Explorer对进程以树形图的形式进行展示,这样方便我们观察父子进程之间的关系。从这里我们可以看出来,绝大部分的窗体应用程序都是wininit.exe的子进程

在这里插入图片描述

2.颜色标示不同状态的进程

Process Explorer会以不同的颜色标示不同状态的进程

在这里插入图片描述

这里我弄了一个中英文对照,因为我有汉化版,汉化版下载链接在文末给出

在这里插入图片描述

3.选择显示不同字段

我们还可以通过右键点击右侧列头选择显示我们感兴趣的属性

在这里插入图片描述

这里我弄了一个中英文对照,因为我有汉化版,汉化版下载链接在文末给出

在这里插入图片描述

3、查看进程的详细信息

如果我们对某个进程的感兴趣,我们可以双击这个进程查看它的详细信息Command line和Current directory这两个属性比较重要。

Command line: 
启动进程的时候调用的命令。从这里我们可以了解怎么样去调用这个进程,和有关当前进程启动的详细信息。
Current directory: 
当前进程活动所在的文件夹。

在这里插入图片描述

4、查看文件正在被什么进程占用

我们在操作文件(删除、重命名等)的时候遇到错误提示,说文件正在被其他进程占用,无法执行操作。这个时候可以打开Process Explorer对文件进行查找:

Ctrl + f

输入要查找的文件名就可以看到有那些进程正在使用这个文件了,双击搜到的进程Process Explorer会在下面高亮显示出对应的文件句柄。
从这里我们可以强制关闭对应的句柄以达到不让文件被继续占用的目的。

在这里插入图片描述

5、实时监控系统的性能

通过视图(View) --> 系统信息(System Info)我们可以打开Performance窗口查看过去一段时间内系统的性能数据

在这里插入图片描述

我们也可以通过设置把感兴趣的性能数据固定在任务栏里显示

在这里插入图片描述

6、获取Dump文件

Dump文件是进程的内存镜像,通常在进程没有反应或者崩溃的时候我们需要借助Dump文件来分析进程里面发生了什么,Process Explorer提供了一个快捷的方式来获取Dump文件。
直接右键,创建就可以了Create Dump
我们可以根据需要选择获取最小的dump还是完整的dump文件。

在这里插入图片描述

7、官方文档

Process Explorer是很强大的,还有很多的功能这里就不详细介绍了,有需要的可以看官方文档,链接如下

https://windowsexplored.com/2012/01/31/resolve-symbols-in-process-explorer-monitor-without-installing-the-debugging-tools/

五、相关资料

1、Process Explorer英文版
2、Process Explorer中文版
3、Process Explorer官方文档

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/417365.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

《C Primer Plus》第17章复习题与编程练习

《C Primer Plus》第17章复习题与编程练习复习题1. 定义一种数据类型涉及哪些内容?2. 为什么程序清单17.2只能沿一个方向遍历链表?如何修改struct film定义才能沿两个方向遍历链表?3. 什么是ADT?4. QueueIsEmpty()函数接受一个指向…

OpenAI创始人:GPT-4的研究起源和构建心法

OneFlow编译 翻译|杨婷、贾川、徐佳渝 三十年前,互联网(Web 1.0)时代开启。人们只能在笨重的电脑上用鼠标点击由HTML编写的网页文本,随后开始支持插入图片,可以上传视频,于是有了网络新闻、搜索…

MapReduce之WordCount案例实操

目录 前期准备: 本机测试: mapper阶段: Reduce阶段: Driver类: 集群测试: 前期准备: 因为MapReduce中案例比较多,所以需要单独创建一个工程 准备工作 创建工程后先改maven仓…

ssh远程端口转发

ssh远程转发的原理:内网主机开了一个程序去连接外网的服务器,一直等待外网的服务器来连接。 应用场景 设备 IP 备注 系统 内网电脑C 192.168.10.129 内网,可访问外网。SSH登陆端口为22。 linux 个人电脑A 动态变化 无公网IP Linux…

Java的Idea怎么用ChatGpt,让些代码变丝滑?

发现两款idea的AI插件神器,和一个AI编辑器 1、tabnine https://zhuanlan.zhihu.com/p/343938113 当提示代码出现后,其中 按tab键就可以通用提示出的代码了,alt[ 是换提示代码,试用期限为14天。(注意标红的&#xff0…

获美国企业认可,中国大飞机取得重大突破,已具备挑战波音的实力

日前消息指美国通用电气资本航空服务公司订购了20架中国商飞C919客机,这是中国大飞机首次获得美国航空企业的认可,代表着中国大飞机的重大突破,证明中国的大飞机已达到国际先进水平。通用电气资本航空服务公司是全球最大的飞机租赁公司&#…

初学C++,坚决不能挂!

目录 1、C++相对于C语言的不同 2、类(class) 3、类与实例(对象)的关系 4、头文件 5、命名空间 6、输入输出 7、位运算 8、基本数据类型 9、结构体和三目运算符 10、for循环 11、const 12、类型别…

SEEM:微软基于 CV 大模型新作,分割“瞬息全宇宙”

文 | 智商掉了一地交互式视觉分割新作,具有语义感知的新模型~自从 Meta 发布了“分割一切”的 SAM 之后,各种二创如雨后春笋般冒出,昨天微软的一篇论文又在推特上引起讨论,虽然最开始吸引小编的是它的名字——分割“瞬息全宇宙”&…

让技术造福残障人士,让开发助力无障碍

前言 随着互联网技术的快速发展,越来越多的领先技术运用到公益领域中来。运用科技来造福残障人士,比如前几年比较智能化的自动行走轮椅,盲人阅读器,以及聋哑人助听器等,都是通过科技来帮助残障人士方便生活的例子。作为…

OpenAI文档翻译——在不通的场景下如何更好的设计ChatGPT提示词

概述 OpenAI可以被广泛的应用于各种任务,他为各种模型提供使用简单而功能强大的API。你可以输入一些文本作为提示词,OpenAI则会生成对应的提示词补全,在使用过程中这就是会话形式以及能够记住上下文的体现。探索如何生成提示词的最好方法就是…

地图和规则来啦!全国大学生智能汽车竞赛百度创意组正式发布

‍‍「全国大学生智能汽车竞赛」是教育部倡导的大学生科技A类竞赛,是2022年全国普通高校大学生竞赛榜单内竞赛,中国高等教育学会将其列为含金量最高的大学生竞赛之一。在全国数百所高校的支持下,全国大学生智能汽车竞赛至今已成功举办了十七届…

2023AE软件、Adobe After Effects下载、安装教程

最后附下载地址 2023AE软件是一款由Adobe公司开发的视频编辑软件,也被称为Adobe After Effects。它在广告、电影、电视和网络视频等领域广泛应用,用于制作动态图形、特效、合成和其他视觉效果。该软件支持多种视频和音频文件格式,具有丰富的…

一文了解vue3的toRef和toRefs?

文章目录toRef / toRefs首先toRef的使用toRefs的使用&#xff1a;总结reactive定义对象类型<template><h3>姓名&#xff1a;{{ person.name }}</h3><h3>年龄&#xff1a;{{ person.age }}</h3><h3>薪资&#xff1a;{{ person.job.j1.salar…

微软发布了 97 个漏洞的补丁,包括主动勒索软件漏洞

今天是本月的第二个星期二&#xff0c;微软发布了另一组安全更新&#xff0c;修复了影响其软件的97 个漏洞&#xff0c;其中一个漏洞已被广泛用于勒索软件攻击。 97 个错误中有 7 个被评为严重&#xff0c;90 个被评为重要。有趣的是&#xff0c;其中 45 个缺陷是远程代码执行…

抽象简单web

由于js中for循环大致可以包含为 简单的遍历数组 遍历对象的属性 遍历字符串 多层循环 使用 break 和 continue 使用 for...of 遍历数组 使用 forEach 遍历数组 那么由于水平问题&#xff0c;将会一个个精通后才出一图流 简单的遍历数组 在进行实践前&#xff0c;需要简单了解…

Redis 7 事务、管道、发布订阅、主从、哨兵、集群

一、事务 1、简介 可以一次执行多个命令&#xff0c;本质是一组命令的集合。一个事务中的所有命令都会序列化&#xff0c; 按顺序地串行化执行而不会被其他命令插入&#xff0c;不许加塞一个队列中&#xff0c;一次性、顺序性、排他性的执行一系列命令 2、实战 常用命令 正…

(学习日记)2023.4.12

写在前面&#xff1a; 由于时间的不足与学习的碎片化&#xff0c;写博客变得有些奢侈。 但是对于记录学习&#xff08;忘了以后能快速复习&#xff09;的渴望一天天变得强烈。 既然如此 不如以天为单位&#xff0c;以时间为顺序&#xff0c;仅仅将博客当做一个知识学习的目录&a…

在线安装rancher2.4管理K8S集群并部署服务

条件&#xff1a; 1. 准备至少3台机器&#xff1b; 2. 三台机器需要有网络&#xff1b; 3. 安装rancher和K8S集群&#xff1b; # master节点 [rootlocalhost ~]# hostnamectl set-hostname k8s-master && bash [rootk8s-master ~]# hostname k8s-master [rootk8s-ma…

【面试】Mysql主键索引普通索引索引和唯一索引的区别是什么?

前言 在 MySQL 中, 索引是在存储引擎层实现的, 所以并没有统⼀的索引标准, 由于 InnoDB 存储引擎在 MySQL数据库中使⽤最为⼴泛, 下⾯以 InnoDB 为例来分析⼀下其中的索引模型.在 InnoDB 中, 表都是根据主键顺序以索引的形式存放的, InnoDB 使⽤了 B 树索引模型&#xff0c;所…

WAF攻防-信息收集识别被动探针代理池仿指纹白名单

文章目录信息收集常见检测&#xff1a;信息收集常见方法&#xff1a;信息收集-被动扫描-黑暗引擎&三方接口信息收集-工具扫描-Awvs&Xray&Goby内置信息收集常见检测&#xff1a; 1、脚本或工具速度流量快 2、脚本或工具的指纹被识别 3、脚本或工具的检测Payload 信…