我们的极客学校系列中的这一课将介绍Process Explorer，它可能是Sysinterals工具包中最常用和最有用的应用程序。但是您对这个实用程序了解多少呢？

Process Explorer是一个任务管理器和系统监视器应用程序，自2001年以来一直存在，虽然它过去甚至可以在Windows9x上运行，但现在的版本只支持XP和更高版本，并且它们一直在不断更新，添加了适用于Windows现代版本的功能。它是处理故障排除流程的事实标准。

那么Process Explorer可以做些什么呢？

一些更好的特性包括以下内容，尽管这绝不是一个详尽的列表。这个应用程序有很多功能，其中很多功能都深埋在界面中。令人惊讶的是，它也是一个非常小的文件。

默认的树状视图显示流程之间的层次父级关系，并使用颜色显示，以便一目了然地了解流程。 非常准确地跟踪进程的CPU使用情况。 可用于取代任务管理器，后者在XP、Vista和Windows 7上特别有用。 可以添加多个托盘图标来监控CPU、磁盘、GPU、网络等。 找出哪个进程加载了DLL文件。 找出哪个进程正在运行打开的窗口。 找出哪个进程打开并锁定了文件或文件夹。 查看有关任何进程的完整数据，包括线程、内存使用情况、句柄、对象以及几乎所有要知道的信息。 可以终止整个进程树，包括由您选择终止的进程启动的任何进程。 可以挂起一个进程，冻结它的所有线程，这样它们就什么都不做了。 可以看到进程中的哪个线程实际上正在耗尽CPU。 最新版本(V16)将VirusTotal集成到界面中，因此您可以在不退出Process Explorer的情况下检查进程中的病毒。

任何时候，只要您的应用程序出现问题，或者计算机上的某些东西持续冻结，或者您试图弄清楚某个特定的DLL文件的用途，Process Explorer就是执行此任务的工具。

了解树视图

当您第一次启动Process Explorer时，您会立即看到大量的可视数据-您的计算机上运行的进程有一个分层树状视图，包括使用每个进程的数字值的CPU和RAM使用率。工具栏顶部运行着一些小型活动图表，向您显示CPU使用情况，您可以单击这些图表以在单独的窗口中显示。

肯定会有很多事情发生，而且很容易被屏幕上的所有东西压得喘不过气来。

初始显示为您提供一组列，其中包括：

进程-可执行文件的文件名以及图标(如果存在)。 CPU-上一秒内CPU时间的百分比(或更新速度设置为任何值)。 专用字节-仅分配给此程序的内存量。 工作集-Windows分配给此程序的实际RAM大小。 PID-进程标识符。 说明-如果应用程序有说明，则说明。 公司名称--这个比你想象的更有用。如果有不太正确的地方，可以从查找不是Microsoft开发的进程开始。

您可以自定义这些列并添加许多其他选项，或者只需单击任何列即可按该字段排序。如果您以前使用过Task Manager，那么您可能已经按内存或CPU进行过排序，在这里也可以这样做。

单击Process将在按进程名称排序或返回到默认树视图之间切换，一旦您习惯了默认树视图，这将非常有用。

视图每秒更新一次，但您可以进入View->Update Speed自定义更新频率，最低为0.5秒，最高为10秒。如果您将其用于故障排除，则默认值可能没问题，但如果您希望将其用作系统托盘中的CPU监视器，则在后台运行时，5秒或10秒可能会占用较少的CPU。

您也可以在同一子菜单下暂停视图，或者只需按空格键。这将在时间上将视图冻结为快照，如果您试图识别启动和快速终止的进程，或者如果您已决定按CPU使用情况排序并且所有行都在不断跳转，这将非常有用。

但是，对于快速关闭的进程，您可能希望在默认视图中为您可能需要了解的任何内容添加额外的列，因为如果进程没有运行，即使您暂停了所有操作，单击列表中已停用的进程也不会在详细信息视图中显示太多内容。

了解所有这些颜色

典型的Process Explorer列表中肯定有很多颜色，这可能会让初学者感到有点困惑。了解所有这些颜色的含义真的很重要，因为它们不只是为了炫耀-它们每一个都意味着一些重要的东西。

当您记不清其中一种颜色的含义时，可以转到菜单上的选项->配置颜色来弹出颜色选择对话框。这基本上是了解一切意义的快速小抄。请继续阅读，因为我们也将在这里解释它。

根据上图中的颜色，下面是所选的每一项的含义(其他项并不重要)。

新对象(亮绿色)-当新进程显示在Process Explorer中时，它以亮绿色开始。 已删除对象(红色)-当进程被终止或关闭时，它通常会在删除前闪烁红色。 自己的进程(淡蓝色)-以与Process Explorer相同的用户帐户运行的进程。 服务(浅粉色)-Windows服务进程，不过值得注意的是，它们可能具有以不同用户身份启动的子进程，并且这些子进程可能是不同的颜色。 挂起的进程(深灰色)-当进程挂起时，它无法执行任何操作。您可以轻松地使用Process Explorer挂起应用程序。有时，在Windows处理崩溃时，崩溃的应用程序会短暂显示为灰色。 沉浸式进程(亮蓝)--这只是一种花哨的说法，表示该进程是使用新API的Windows8应用程序。在前面的屏幕截图中，您可能已经注意到WSHost.exe，它是一个运行Metro应用程序的“Windows应用商店主机”进程。出于某种原因，Explorer.exe和任务管理器也会显示为沉浸式。 压缩图像(紫色)-这些流程可能包含隐藏在其中的压缩代码，或者至少Process Explorer认为它们是通过使用试探法来实现的。如果您看到紫色进程，请务必扫描是否有恶意软件！

由于这些不同的场景之间显然有一些重叠，因此颜色将按优先顺序应用。如果进程是服务并挂起，它将显示为深灰色，因为该颜色更重要。

根据我们在调研过程中了解到的信息，订单是挂起>打包>沉浸式>服务->自己的流程。

验证应用程序标识

在Options->Verify Image Signature(选项->验证图像签名)中可以找到一个非常有用的选项，它在默认情况下没有启用。

此选项将检查列表中每个可执行文件的数字签名，当您查看列表中正在运行的某些可疑应用程序时，这是一个非常有价值的故障排除工具。

在这一点上，绝大多数信誉良好的软件都应该进行数字签名。如果有些东西不是，你应该非常仔细地看看你是否应该使用它。

对流程采取行动

您可以通过右键单击任何进程并从其中一个选项中进行选择，或使用快捷键(如果您愿意)来快速对该进程执行操作。这些选项包括：

窗口-包含带到最前面的选项，这有助于识别与进程相关联的窗口。如果没有该进程的窗口，它将呈灰色显示。 设置优先级-您可以使用它来配置进程的优先级。这对于驯服您不想杀死的失控进程非常有用。 终止进程-就像您想象的那样，这很快就会终止该进程。 终止进程树-这不仅会终止列表中的项目，还会终止该父进程的子进程。 重新启动-在测试时非常有用，这只会终止进程，然后重新启动它。值得注意的是，终止进程可能会导致数据丢失。 挂起-这个方便的选项非常适合在进程失控时进行故障排除。您可以简单地挂起进程，而不是终止它，然后检查是否有什么不正常的地方。 检查VirusTotal-这是一个新选项，我们将进一步解释。这真的很方便，因为它检查过程中是否有病毒。 在线搜索-这将仅在Web上搜索进程名称。

显然，如果您打开属性，您将获得有关该过程的更多有用信息，我们将在下一课中介绍其中大部分内容。

注意：我们测试了TEMP选项，但完全不知道它的作用。

以管理员身份运行

虽然您完全不必以管理员身份运行Process Explorer，但如果不这样做，许多有用的功能将不起作用，并且您将无法看到有关每个进程的大量信息。

如果您在Windows XP或2003上运行，则需要以具有完全管理员权限的帐户运行才能使用大多数功能。这对大多数人来说可能不是问题，因为XP无论如何都会给默认帐户提供完全权限，但是如果您试图在没有管理员访问权限的情况下在工作中使用它，它就不会工作得很好。

由于我们的大多数读者使用的是Windows7、8.x甚至Vista，因此您可能熟悉以管理员身份运行应用程序。这真的很容易，…。只需右键单击并从菜单中选择选项即可。

有趣的事实：Process Explorer实际上使用Debug Programs权限，这在很大程度上解释了它为什么如此强大。

强制Process Explorer始终以管理员身份打开

如果要确保Process Explorer始终以管理员身份打开，而不必记得右击它，您可以通过创建需要管理员模式的特殊快捷方式，或通过打开procexp.exe的属性，转到兼容性，然后选择“以管理员身份运行此程序”选项来强制执行。

无论采用哪种方式都可以很好地工作，或者如果您愿意，也可以禁用UAC，这将使所有内容始终以管理员身份运行。我们不推荐那样做，但你可以这么做。

使用Process Explorer替换任务管理器

长期以来，在Windows 8之前的每个Windows版本中，Process Explorer一直被用作以前功能不强的任务管理器应用程序的强大替代品，假设您希望手中掌握一些真正的功能，那么在该版本中它也可以很好地替代它。

注意：Windows8的任务管理器比以前的版本有了很大的改进。它仍然不如Process Explorer功能强大，但对于普通人来说可能更容易使用。因此，不要将妈妈的计算机更改为默认使用Process Explorer。

要使Process Explorer替换任务管理器，您只需从菜单中选择选项->替换任务管理器选项。就这样。

完成此操作后，使用CTRL+SHIFT+ESC或右键单击任务栏都将启动Process Explorer，而不是任务管理器。很简单，对吧？

警告：如果确实要替换任务管理器，请绝对确保已将Process Explorer放置在不会意外移动或删除文件的位置。否则，您的系统将无法启动任何任务管理器。

将Process Explorer用作令人敬畏的托盘图标监视器

Process Explorer的最佳功能之一是能够将其最小化到系统任务栏中，但它可以最小化为全套图标，以监视CPU、I/O、磁盘、网络、GPU和RAM或它们的任意组合，而不仅仅是单个图标。如果愿意，您可以将它们配置为单独显示或根本不显示。

要进行此设置，请打开选项菜单，转到托盘图标部分，然后单击以启用您想要查看的每个托盘图标。

您可以在每次开始运行计算机时运行Process Explorer，然后将其最小化到系统任务栏中，以便它始终在那里。当然，如果您使用该选项来替换任务管理器，您可以随时使用快捷键快速访问它-尽管您可能希望使用“只允许一个实例”选项来确保您不会打开一堆独立的窗口。

使用Process Explorer快速搜索VirusTotal

如果您在有问题的PC上工作，并且想要确定某个进程是否为病毒，则使用Process Explorer版本16或更高版本可以节省一些时间，因为它们已将VirusTotal集成直接添加到应用程序中。只需右键单击列表中的任何内容即可查看该选项。

第一次运行它时，系统会要求您接受VirusTotal使用条款，但这样做之后，您将看到VirusTotal结果显示在列表中。

你可以点击结果转到VirusTotal查看详细信息。这是有史以来最好的公用事业之一的一个很棒的新功能。

下一课：使用Process Explorer进行故障排除和诊断

在本系列的下一课中，我们将更深入地介绍如何在一些实际场景中使用Process Explorer来排除恶意软件和垃圾软件等常见问题。确保在接下来的系列节目中保持关注。