实验目的
1、了解Process Explorer的使用方法
预备知识
Process Explorer(可执行文件名为procexp.exe)是一款由Sysinternals开发的Windows系统和应用程序监视工具,目前Sysinternals已经被微软收购,此款不仅结合了文件监视和注册表监视两个工具的功能,还增加了多项重要的增强功能,此工具支持64位Windows系统,是很多windows开发工程师极力推荐的一款编码和调试中使用的工具。
实验环境
Windows 7-32实验台。
实验内容和步骤
任务描述:使用Process Explorer查看Windows系统和应用程序信息
1、桌面打开“ProcessExplorer工具使用实验”文件夹,启动Process Explorer,查看其树形结构界面,如下图所示。
2、标记进程颜色
通过 Options->Configure colors 可以选择进程的颜色标记,通过颜色可以判断次进程处于的状态和类型,是挂起还是正在退出,是服务进程还是普通进程。
3、调整字体
Process Explorer的默认字体较小,一般需要先调整一下字体,在Options->Fonts 里面修改字体为11号。
4、显示进程的系统信息
右键点击View->Select Columns,选择要观察进程的某种特定信息,这里在默认的基础上勾选“Image Path”
点击确定,在主界面上看到新增的Image Path,如图
一些常用的系统信息有:
Image Path:显示进程的文件路径
Command Line:显示进程命令行参数
Image Type:显示进程是64位进程还是32位的(64位系统运行时可选)
session ID:显示进程当前所在的Session ID
User Name:显示进程当前的权限,是系统用户权限还是网络管理员权限还是普通管理员权限
5、显示当前进程所加载的DLL
选择View->lower Pane View->Dlls
此时在面板下方会显示加载的dll
6、显示当前进程所占用的系统资源句柄
1)可用来查看当前进程所占用的资源句柄表
2)可以检查自己的程序是否有内核句柄泄露
7、操控进程以及显示进程的内部信息(这类信息是属于当前进程的)
选定一个进程,右键
1)可以结束当前进程,或者当前进程树
2)可以挂起、重启、从挂起中恢复一个进程
3)查看进程信息(选择Properties)
8、查看进程信息
选定一个进程,右键->Properties
1)可以看到当前进程的用户组信息
2)可以看到当前进程申请了哪些特权
3)选择Environment选项卡,可以看到当前进程的环境变量,如果自动化编译或者使用一些开源软件,查看其环境变量是很重要的一环。
9、搜索功能(Ctrl+F)
搜索功能在很多地方都可以用到,编码的时候可以查看哪个事件被谁占用了,直接搜事件名称就可以了,如果像删除一个目录怎么也删除不掉,就是说某某文件被占用,则搜索一下需要删除的目录路径。
比如c盘根目录新建一个目录1,里面新建一个2.txt,用记事本打开2.txt,此时目录1无法删除,在搜索栏中输入c:\1即可发现占用此目录句柄的资源,如图。
Process Explorer还有很多其他的功能,可以在学习中慢慢尝试。文章来源地址https://uudwc.com/A/4rpx
文章来源:https://uudwc.com/A/4rpx
