الصفحة الرئيسية » مدرسة » فهم عملية إكسبلورر

    فهم عملية إكسبلورر

    يغطي هذا الدرس في سلسلة "مدرسة المهوس" الخاصة بنا Process Explorer ، وهو ربما أكثر التطبيقات استخدامًا وفائدة في مجموعة أدوات SysInternals. ولكن إلى أي مدى تعرف حقا هذه الأداة?

    ملاحة المدرسة
    1. ما هي أدوات SysInternals وكيف يمكنك استخدامها?
    2. فهم عملية إكسبلورر
    3. باستخدام عملية اكسبلورر لاستكشاف وتشخيص
    4. فهم عملية المراقبة
    5. باستخدام عملية مراقبة لاستكشاف واكتشاف هاك التسجيل
    6. استخدام Autoruns للتعامل مع عمليات بدء التشغيل والبرامج الضارة
    7. استخدام BgInfo لعرض معلومات النظام على سطح المكتب
    8. باستخدام PsTools للسيطرة على أجهزة الكمبيوتر الأخرى من سطر الأوامر
    9. تحليل وإدارة الملفات والمجلدات ومحركات الأقراص
    10. التفاف واستخدام الأدوات معا

    تم تشغيل Process Explorer ، وهو مدير مهام وتطبيقات مراقبة النظام ، منذ عام 2001 ، وبينما كان يعمل حتى في Windows 9x ، فإن الإصدارات الحديثة تدعم XP والإصدارات السابقة فقط ، وقد تم تحديثها باستمرار بميزات للإصدارات الحديثة من شبابيك. انها معيار defacto للتعامل مع عمليات استكشاف الأخطاء وإصلاحها.

    ماذا يمكن أن يفعل مستكشف الأشياء?

    تتضمن بعض الميزات الأفضل التالية ، على الرغم من أن هذه ليست بأي حال قائمة شاملة. هذا التطبيق يحتوي على العديد من الميزات ، والعديد من تلك المدفونة في عمق الواجهة. من المدهش أيضًا أنه ملف صغير جدًا.

    • يُظهر عرض الشجرة الافتراضي العلاقة الأصل الهرمي بين العمليات ، ويعرض باستخدام الألوان لفهم العمليات بسهولة في لمح البصر.
    • استخدام دقيق للغاية لتتبع وحدة المعالجة المركزية للعمليات.
    • يمكن استخدامه لاستبدال Task Manager ، وهو مفيد بشكل خاص في XP و Vista و Windows 7.
    • يمكن إضافة رموز علبة متعددة لمراقبة وحدة المعالجة المركزية ، القرص ، GPU ، الشبكة ، وأكثر من ذلك.
    • معرفة أي عملية تحميل ملف DLL.
    • اكتشف أي عملية تقوم بتشغيل نافذة مفتوحة.
    • اكتشف أي عملية تحتوي على ملف أو مجلد مفتوح ومغلق.
    • عرض بيانات كاملة عن أي عملية ، بما في ذلك المواضيع ، واستخدام الذاكرة ، والمقابض ، والكائنات ، وأي شيء آخر يجب معرفته.
    • يمكن أن تقتل شجرة عملية كاملة ، بما في ذلك أي عمليات بدأها الشخص الذي اخترت قتله.
    • يمكن تعليق عملية ، وتجميد جميع المواضيع حتى لا يفعلوا شيئا.
    • يمكن أن نرى أي موضوع في عملية هو في الواقع تعظيم خارج وحدة المعالجة المركزية.
    • يدمج أحدث إصدار (v16) VirusTotal في الواجهة حتى تتمكن من التحقق من وجود عملية للفيروسات دون ترك Process Explorer.

    في أي وقت لديك مشكلة في تطبيق ما ، أو شيئًا ما يحتفظ بتجميده على جهاز الكمبيوتر الخاص بك ، أو ربما تحاول معرفة ما الذي يستخدمه ملف DLL معين ، يعد Process Explorer أداة مهمة.

    فهم عرض الشجرة

    عند تشغيل Process Explorer لأول مرة ، يتم تقديم الكثير من البيانات المرئية على الفور - هناك طريقة عرض تسلسل هرمي للعمليات التي تعمل على جهاز الكمبيوتر الخاص بك ، بما في ذلك استخدام CPU و RAM باستخدام القيم العددية لكل عملية. هناك بعض الرسوم البيانية الصغيرة للنشاطات الصغيرة التي تعمل في الجزء العلوي في شريط الأدوات ، والتي تعرض لك استخدام وحدة المعالجة المركزية ، والتي يمكن النقر عليها لعرضها في نافذة منفصلة.

    من المؤكد أن هناك الكثير مما يجري ، وسيكون من السهل التغلب على كل شيء على الشاشة.

    يمنحك العرض الأولي مجموعة من الأعمدة التي تتضمن:

    • معالجة - اسم الملف القابل للتنفيذ مع الرمز إذا كان موجودًا.
    • وحدة المعالجة المركزية - النسبة المئوية لوقت وحدة المعالجة المركزية في الثانية الأخيرة (أو أيًا كانت سرعة التحديث مضبوطة)
    • وحدات البايت الخاصة - مقدار الذاكرة المخصصة لهذا البرنامج وحده.
    • طقم العمل - كمية الذاكرة RAM الفعلية المخصصة لهذا البرنامج بواسطة Windows.
    • PID  - معرف العملية.
    • وصف - الوصف ، إذا كان التطبيق يحتوي على واحد.
    • اسم الشركة - هذا هو أكثر فائدة مما تظن. إذا لم يكن هناك شيء مناسب تمامًا ، فابدأ بالبحث عن العمليات التي لا تقوم بها Microsoft.

    يمكنك تخصيص هذه الأعمدة وإضافة العديد من الخيارات الأخرى ، أو يمكنك فقط النقر فوق أي من الأعمدة للفرز حسب هذا الحقل. إذا سبق لك استخدام مدير المهام من قبل ، فربما قمت بفرزها حسب الذاكرة أو وحدة المعالجة المركزية ، ويمكنك القيام بذلك هنا أيضًا.

    النقر على Process سوف ينقض بين الفرز حسب اسم العملية ، أو الرجوع إلى عرض الشجرة الافتراضي ، وهو أمر مفيد للغاية بمجرد التعود عليه.

    يتم تحديث طريقة العرض مرة واحدة كل ثانية ، ولكن يمكنك الانتقال إلى عرض -> سرعة التحديث وتخصيص عدد المرات التي يتم فيها التحديث ، ويكون أقلها 0.5 ثانية والمستوى الأعلى 10 ثوانٍ. إذا كنت تستخدمه لاستكشاف الأخطاء وإصلاحها ، فقد تكون القيمة الافتراضية على ما يرام ، ولكن إذا كنت ترغب في استخدامها كشاشة وحدة المعالجة المركزية جالسة في علبة النظام ، فقد تستخدم 5 أو 10 ثوانٍ وحدة معالجة مركزية أقل أثناء تشغيلها في الخلفية..

    يمكنك أيضًا إيقاف العرض أسفل القائمة الفرعية نفسها ، أو ببساطة عن طريق ضرب شريط الفضاء. سيؤدي هذا إلى تجميد العرض على هيئة لقطة في الوقت المناسب ، والتي يمكن أن تكون مفيدة إذا كنت تحاول تحديد عملية تبدأ ويموت بسرعة ، أو إذا قررت الفرز حسب استخدام وحدة المعالجة المركزية (CPU) وظلت جميع الصفوف تقفز حول.

    ومع ذلك ، في حالة عملية الإغلاق السريع ، قد ترغب في إضافة أعمدة إضافية إلى العرض الافتراضي لأي شيء قد تحتاج إلى معرفته ، لأن النقر على عملية بحتة في القائمة لن يظهر كثيرًا في عرض التفاصيل إذا كان لا تعمل العملية ، حتى لو قمت بإيقاف كل شيء مؤقتًا.

    فهم كل تلك الألوان

    هناك بالتأكيد الكثير من الألوان في قائمة Explorer Process النموذجي ، والتي يمكن أن تكون مربكة قليلاً للمهوس المبتدئين. من المهم حقًا معرفة ما تعنيه كل هذه الألوان ، لأنها ليست متوفرة للعرض فقط - كل منها يعني شيئًا مهمًا.

    عندما لا تتذكر ما تعنيه إحدى الألوان ، يمكنك الانتقال إلى خيارات -> تهيئة الألوان في القائمة لسحب مربع الحوار "تحديد اللون". هذا هو في الأساس ورقة الغش السريع إلى ما يعني كل شيء. استمر في القراءة ، لأننا سنشرحها هنا أيضًا.

    بناءً على الألوان الواردة في الصورة أعلاه ، إليك ما تعنيه كل عنصر من العناصر المحددة (الآخرون ليسوا مهمين حقًا).

    • كائنات جديدة (أخضر ساطع) - عندما تظهر عملية جديدة في Process Explorer ، فإنها تبدأ باللون الأخضر الساطع.
    • الكائنات المحذوفة (الحمراء) - عند قتل عملية ما أو إغلاقها ، عادةً ما تومض باللون الأحمر قبل الحذف.
    • العمليات الخاصة (أزرق فاتح) - العمليات التي تعمل كحساب المستخدم نفسه مثل مستكشف العمليات.
    • الخدمات (وردي فاتح) - عمليات خدمة Windows ، على الرغم من أنه تجدر الإشارة إلى أنها قد تكون لديها عمليات فرعية يتم إطلاقها كمستخدم مختلف ، وقد يكون لونًا مختلفًا.
    • العمليات المعلقة (رمادي داكن) - عندما يتم تعليق العملية ، لا يمكنها فعل أي شيء. يمكنك بسهولة استخدام Process Explorer لتعليق أحد التطبيقات. في بعض الأحيان ، تظهر التطبيقات المحطمة لفترة قصيرة باللون الرمادي بينما يتعامل Windows مع التحطم.
    • عملية غامرة (الأزرق الساطع) - هذه مجرد طريقة رائعة للقول بأن هذه العملية هي تطبيق Windows 8 باستخدام واجهات برمجة التطبيقات الجديدة. في لقطة الشاشة في وقت سابق قد تكون لاحظت WSHost.exe ، وهي عملية "Windows Store Host" التي تقوم بتشغيل تطبيقات Metro. لسبب ما سوف تظهر أيضا Explorer.exe وإدارة المهام كما غامرة.
    • صور معبأة (بنفسجي) - قد تحتوي هذه العمليات على تعليمات برمجية مضغوطة مخفية داخلها ، أو على الأقل يعتقد Process Explorer أنها تعمل باستخدام الأساليب البحثية. إذا رأيت عملية أرجوانية ، فتأكد من فحصها بحثًا عن برامج ضارة!

    نظرًا لوجود بعض التداخل الواضح بين هذه السيناريوهات المختلفة ، سيتم تطبيق الألوان بترتيب الأسبقية. إذا كانت إحدى الخدمات عبارة عن خدمة وتم تعليقها ، فستظهر باللون الرمادي الداكن لأن هذا اللون أكثر أهمية.

    من ما تعلمناه أثناء البحث ، تم تعليق الطلب> معبأة> غامرة> الخدمات -> العمليات الخاصة.

    التحقق من هوية التطبيق

    هناك خيار واحد مفيد حقًا لا يدهشنا ولا يتم تمكينه افتراضيًا في الخيارات -> التحقق من تواقيع الصور.

    سيتحقق هذا الخيار من التوقيع الرقمي لكل ملف قابل للتنفيذ في القائمة ، وهو أداة استكشاف الأخطاء وإصلاحها لا تقدر بثمن عندما تنظر إلى بعض التطبيقات المشبوهة التي يتم تشغيلها في القائمة.

    يجب توقيع الغالبية العظمى من البرامج ذات السمعة الطيبة رقميًا في هذه المرحلة. إذا لم يكن هناك شيء ما ، يجب أن تنظر بعناية في ما إذا كان يجب أن تستخدمه.

    اتخاذ إجراء على عملية

    يمكنك اتخاذ إجراء سريع على أي عملية بالنقر بزر الماوس الأيمن عليها واختيار أحد الخيارات ، أو باستخدام مفاتيح الاختصار إذا كنت تفضل ذلك. هذه الخيارات تشمل:

    • نافذة او شباك - يحتوي على خيارات بما في ذلك Bring to Front ، والتي يمكن أن تكون مفيدة للمساعدة في تحديد النافذة المرتبطة بعملية ما. إذا لم تكن هناك نوافذ لهذه العملية ، فستظهر باللون الرمادي.
    • يضع أولويات - يمكنك استخدام هذا لتكوين أولوية العملية. هذا مفيد في الغالب لترويض عملية هارب لا تريد قتلها.
    • عملية قتل - مثلما كنت تتخيل ، هذا يقتل هذه العملية بسرعة.
    • قتل شجرة عملية - هذا لا يقتل فقط العنصر في القائمة ، ولكن أيضا الأطفال في تلك العملية الرئيسية.
    • إعادة بدء - مفيدة بشكل مذهل أثناء الاختبار ، وهذا يقتل فقط العملية ومن ثم إعادة تشغيله. تجدر الإشارة إلى أن عمليات القتل قد تؤدي إلى فقدان البيانات.
    • تعليق - يعتبر هذا الخيار مفيدًا لتحرّي الخلل وإصلاحه عندما تكون إحدى العمليات خارجة عن السيطرة. يمكنك ببساطة تعليق العملية بدلاً من قتلها والتحقق لمعرفة ما إذا كان أي شيء خارج اللعبة.
    • تحقق من VirusTotal - هذا هو خيار جديد سنشرحه أكثر. إنه سهل للغاية بالفعل ، لأنه يتحقق من عملية الفيروسات.
    • البحث على الانترنت - سيؤدي هذا إلى البحث في الويب عن اسم العملية.

    ومن الواضح أنه إذا فتحت الخصائص التي ستأخذك إلى معلومات أكثر فائدة حول هذه العملية ، فإن الكثير منها سوف ندخل في الدرس القادم.

    ملحوظة: اختبرنا خيار Temp ولكن لم يكن لدينا أي فكرة عما يفعله.

    يعمل كمسؤول

    على الرغم من أنك لست مضطرًا مطلقًا إلى تشغيل Process Explorer كمسؤول ، دون عمل الكثير من الميزات المفيدة ، ولن تتمكن من رؤية أكبر قدر ممكن من المعلومات حول كل عملية.

    إذا كنت تستخدم نظام التشغيل Windows XP أو Windows 2003 ، فستحتاج إلى أن تعمل كحساب له حقوق المسؤول الكاملة لاستخدام معظم الميزات. قد لا يمثل هذا مشكلة بالنسبة لمعظم الناس ، لأن XP أعطت الامتيازات الكاملة للحساب الافتراضي على أي حال ، ولكن إذا كنت تحاول استخدام هذا في العمل دون وصول المسؤول ، فإنه لن يعمل بشكل جيد أيضًا.

    نظرًا لأن معظم قرائنا يستخدمون Windows 7 أو 8.x أو حتى Vista ، فمن المحتمل أن تكون على دراية بتشغيل التطبيق كمسؤول. إنه سهل بالفعل ... فقط انقر بزر الماوس الأيمن واختر الخيار من القائمة.

    حقيقة ممتعة: يستخدم برنامج Explorer في الواقع امتياز برامج Debug ، والذي يقطع شوطا طويلا لتفسير سبب قوته.

    إجبار مستكشف العمليات على فتح دائمًا كمسؤول

    إذا كنت تريد التأكد من أن Process Explorer يفتح دائمًا كمسؤول دون الحاجة إلى تذكر النقر بزر الماوس الأيمن عليه ، فيمكنك فرضه إما عن طريق إنشاء اختصار خاص يتطلب وضع المسؤول ، أو عن طريق فتح خصائص لـ procexp.exe ، الذهاب إلى التوافق ، ثم اختيار خيار "تشغيل هذا البرنامج كمسؤول".

    في كلتا الحالتين ستعمل على ما يرام ، أو يمكنك أيضا تعطيل UAC إذا كنت تفضل ذلك ، الأمر الذي يجعل كل شيء يعمل كمسؤول طوال الوقت. نحن لا نوصي بذلك ، ولكن يمكنك فعل ذلك.

    باستخدام عملية اكسبلورر لاستبدال إدارة المهام

    لطالما استخدم برنامج إكسبلورر Process Process كإستبدال قوي لتطبيق إدارة المهام الذي كان سابقًا في كل إصدار من Windows قبل Windows 8 ، وعلى افتراض أنك تريد بعض القوة الحقيقية بين يديك ، فإنه يعمل بشكل جيد كبديل في هذا الإصدار أيضا.

    ملحوظة: تم تحسين إدارة مهام Windows 8 بشكل كبير من الإصدارات السابقة. لا يزال هذا البرنامج غير قوي مثل Explorer Process ، ولكنه ربما يكون أسهل للاستخدام العادي. لذا لا تقم بتغيير جهاز الكمبيوتر الخاص بالأم إلى الوضع الافتراضي لـ Process Explorer.

    لجعل عملية إكسبلورر إكسبلورر تستبدل مدير المهام ، كل ما عليك فعله هو اختيار خيارات -> خيار استبدال مدير المهام من القائمة. هذا هو.

    بمجرد القيام بذلك ، سيؤدي استخدام CTRL + SHIFT + ESC أو النقر بزر الماوس الأيمن فوق شريط المهام إلى تشغيل Explorer Process بدلاً من إدارة المهام. قراءة سهلة?

    تحذير: إذا قمت باستبدال Task Manager (إدارة المهام) ، تأكد تمامًا أنك قمت بوضع Process Explorer في مكان لن تقوم بنقله أو حذفه بطريق الخطأ. وإلا فسوف تكون عالقاً بنظام لا يستطيع تشغيل أي مدير مهام.

    استخدام عملية اكسبلورر كمراقب أيقونة رهيبة

    واحدة من أفضل ميزات Process Explorer هي القدرة على تصغيرها إلى علبة النظام ، ولكن بدلاً من مجرد رمز واحد ، يمكن تقليلها إلى مجموعة كاملة من الرموز التي يمكنها مراقبة وحدة المعالجة المركزية (CPU) ، I / O ، القرص ، الشبكة ، GPU وذاكرة الوصول العشوائي أو أي مزيج منها. يمكنك تهيئتها لعرضها بشكل منفصل ، أو عدم عرضها على الإطلاق ، إذا كنت تفضل ذلك.

    لإعداد هذا ، افتح قائمة الخيارات ، وانتقل إلى قسم أيقونات الدرج ، ثم انقر فوق لتمكين كل من رموز الدرج التي ترغب في رؤيتها.

    يمكنك فقط تشغيل Process Explorer في كل مرة تبدأ فيها بتشغيل جهاز الكمبيوتر الخاص بك ، ثم تصغيره إلى علبة النظام بحيث يكون دائمًا متاحًا لك. وبالطبع ، إذا استخدمت خيار استبدال مدير المهام ، فيمكنك الوصول إليه بسرعة في أي وقت باستخدام مفتاح الاختصار - على الرغم من أنك قد ترغب في استخدام خيار "السماح بالواحد فقط" للتأكد من عدم فتح حفنة من نوافذ منفصلة.

    باستخدام عملية اكسبلورر للبحث بسرعة

    إذا كنت تعمل على مشكلة في جهاز الكمبيوتر وترغب في معرفة ما إذا كانت إحدى العمليات عبارة عن فيروس ، فيمكنك توفير بعض الوقت باستخدام Process Explorer الإصدار 16 أو أعلى ، لأنهم أضافوا برنامج VirusTotal للتكامل مباشرة في التطبيق. فقط انقر بزر الماوس الأيمن على أي شيء في القائمة لرؤية الخيار.

    في المرة الأولى التي تقوم فيها بتشغيلها ، سيُطلب منك قبول شروط استخدام VirusTotal ، ولكن بعد القيام بذلك ، سترى نتائج VirusTotal تظهر هنا في القائمة.

    يمكنك النقر فوق النتيجة للانتقال إلى VirusTotal والاطلاع على التفاصيل. إنها إضافة جديدة رائعة لواحدة من أفضل المرافق على الإطلاق.

    الدرس القادم: استخدام مستكشف العمليات لتحري الخلل وإصلاحه وتشخيصه

    في الدرس التالي في سلسلة أعمالنا ، سنتعمق أكثر في كيفية استخدام Process Explorer في بعض سيناريوهات العالم الحقيقي لاستكشاف المشكلات الشائعة مثل البرامج الضارة والبرامج الخبيثة. تأكد من ضبطها لبقية السلسلة.

    فهم العنصر الزائف قبل وبعد
    فهم أجهزة التوجيه وأجهزة التبديل وأجهزة الشبكة
    فهم سرعات نقل بيانات شبكة LAN
    المادة التالية
    فهم عملية المراقبة
    المقال السابق
    فهم التفاعلات الدقيقة في تصميم تطبيقات الهاتف المحمول