يغطي هذا الدرس في سلسلة "مدرسة المهوس" الخاصة بنا Process Explorer ، ربما هو التطبيق الأكثر استخدامًا وفائدة في مجموعة أدوات SysInternals. ولكن ما مدى معرفتك لهذه الأداة؟

ملاحة المدرسة
  1. ما هي أدوات SysInternals وكيف تستخدمها؟
  2. فهم عملية اكسبلورر
  3. باستخدام عملية اكسبلورر لاستكشاف وتشخيص
  4. فهم عملية المراقبة
  5. باستخدام عملية مراقبة لاستكشاف وإصلاح المأجورون التسجيل
  6. استخدام Autoruns للتعامل مع عمليات بدء التشغيل والبرامج الضارة
  7. استخدام BgInfo لعرض معلومات النظام على سطح المكتب
  8. باستخدام PsTools للسيطرة على أجهزة الكمبيوتر الأخرى من سطر الأوامر
  9. تحليل وإدارة الملفات والمجلدات ومحركات الأقراص
  10. التفاف واستخدام الأدوات معا

تم تشغيل Process Explorer ، وهو مدير مهام وتطبيقات مراقبة النظام ، منذ عام 2001 ، وبينما كان يعمل حتى في Windows 9x ، فإن الإصدارات الحديثة تدعم XP والإصدارات الأحدث فقط ، وقد تم تحديثها باستمرار بميزات للإصدارات الحديثة من شبابيك. إنه معيار defacto للتعامل مع عمليات استكشاف الأخطاء وإصلاحها.

ما الذي يمكن أن يفعله مستكشف العمليات؟

تتضمن بعض الميزات الأفضل التالية ، على الرغم من أن هذه ليست بأي حال قائمة شاملة. هذا التطبيق يحتوي على العديد من الميزات ، وكثير من تلك المدفونة في عمق الواجهة. من المدهش أيضًا أنه ملف صغير جدًا.

  • يُظهر عرض الشجرة الافتراضي العلاقة الأصل الهرمي بين العمليات ، ويعرض باستخدام الألوان لفهم العمليات بسهولة في لمح البصر.
  • استخدام دقيق للغاية لتتبع وحدة المعالجة المركزية للعمليات.
  • يمكن استخدامه لاستبدال Task Manager ، وهو مفيد بشكل خاص في XP و Vista و Windows 7.
  • يمكن إضافة رموز علبة متعددة لمراقبة وحدة المعالجة المركزية ، القرص ، GPU ، الشبكة ، وأكثر من ذلك.
  • معرفة أي عملية تحميل ملف DLL.
  • اكتشف أي عملية تقوم بتشغيل نافذة مفتوحة.
  • اكتشف أي عملية تحتوي على ملف أو مجلد مفتوح ومغلق.
  • عرض بيانات كاملة عن أي عملية ، بما في ذلك المواضيع ، واستخدام الذاكرة ، والمقابض ، والكائنات ، وأي شيء آخر يجب معرفته.
  • يمكن أن تقتل شجرة عملية كاملة ، بما في ذلك أي عمليات بدأها الشخص الذي اخترت قتله.
  • يمكن تعليق عملية ، تجميد جميع المواضيع حتى لا يفعلوا شيئا.
  • يمكن أن نرى أي موضوع في عملية هو في الواقع تعظيم خارج وحدة المعالجة المركزية.
  • أحدث نسخة (V16) يدمج فايروس توتال في واجهة حتى تتمكن من التحقق عملية للبحث عن الفيروسات دون أن تترك عملية اكسبلورر.

في أي وقت لديك مشكلة في تطبيق ما ، أو شيئًا ما يحتفظ بتجميده على جهاز الكمبيوتر الخاص بك ، أو ربما تحاول معرفة ما هو ملف DLL معين يستخدم ، يعد Process Explorer أداة لهذه المهمة.

فهم عرض الشجرة

عند تشغيل Process Explorer لأول مرة ، يتم تقديم الكثير من البيانات المرئية مباشرة - فهناك عرض تسلسلي هرمي للعمليات التي يتم تشغيلها على الكمبيوتر ، بما في ذلك استخدام CPU وذاكرة الوصول العشوائي باستخدام القيم العددية لكل عملية. هناك بعض الرسوم البيانية الصغيرة للنشاطات الصغيرة التي تعمل في الجزء العلوي في شريط الأدوات ، والتي تعرض لك استخدام وحدة المعالجة المركزية ، والتي يمكن النقر عليها لعرضها في نافذة منفصلة.

من المؤكد أن هناك الكثير مما يجري ، وسيكون من السهل التغلب على كل شيء على الشاشة.

يمنحك العرض الأولي مجموعة من الأعمدة التي تتضمن:

  • معالجة - اسم الملف القابل للتنفيذ مع الرمز الموجود إذا كان موجودًا.
  • وحدة المعالجة المركزية - النسبة المئوية لوقت وحدة المعالجة المركزية في الثانية الأخيرة (أو أيًا كانت سرعة التحديث مضبوطة)
  • وحدات البايت الخاصة - مقدار الذاكرة المخصصة لهذا البرنامج وحده.
  • طقم العمل - مقدار ذاكرة الوصول العشوائي الفعلية المخصصة لهذا البرنامج من قبل Windows.
  • PID - معرف العملية.
  • وصف - الوصف ، إذا كان التطبيق يحتوي على واحد.
  • اسم الشركة - هذا واحد أكثر فائدة مما تعتقد. إذا كان هناك شيء غير صحيح ، فابدأ بالبحث عن العمليات التي لا تقوم بها Microsoft.

يمكنك تخصيص هذه الأعمدة وإضافة العديد من الخيارات الأخرى ، أو يمكنك فقط النقر فوق أي من الأعمدة للفرز حسب هذا الحقل. إذا سبق لك استخدام مدير المهام من قبل ، فقد تكون قد قمت بفرزها حسب الذاكرة أو وحدة المعالجة المركزية ، ويمكنك القيام بذلك هنا أيضًا.

سيؤدي النقر فوق العملية إلى التنقل بين الفرز حسب اسم العملية ، أو العودة إلى طريقة عرض الشجرة الافتراضية ، وهو أمر مفيد للغاية عندما تعتاد عليه.

يتم تحديث طريقة العرض مرة واحدة كل ثانية ، ولكن يمكنك الانتقال إلى عرض -> سرعة التحديث وتخصيص عدد المرات التي يتم تحديثها ، وأقلها 0.5 ثانية والمستوى الأعلى 10 ثوانٍ. إذا كنت تستخدمه لاستكشاف الأخطاء وإصلاحها ، فقد تكون القيمة الافتراضية على ما يرام ، ولكن إذا كنت ترغب في استخدامها كشاشة وحدة المعالجة المركزية جالسة في علبة النظام ، فقد تستخدم 5 أو 10 ثوانٍ وحدة معالجة مركزية أقل أثناء تشغيلها في الخلفية.

يمكنك أيضًا إيقاف العرض أسفل القائمة الفرعية نفسها ، أو ببساطة عن طريق ضرب شريط الفضاء. سيؤدي هذا إلى تجميد العرض على هيئة لقطة في الوقت المناسب ، والتي يمكن أن تكون مفيدة إذا كنت تحاول تحديد عملية تبدأ ويموت بسرعة ، أو إذا قررت الفرز حسب استخدام وحدة المعالجة المركزية (CPU) وظلت جميع الصفوف تقفز.

ومع ذلك ، في حالة عملية الإغلاق السريع ، قد ترغب في إضافة أعمدة إضافية إلى طريقة العرض الافتراضية لأي شيء قد تحتاج إلى معرفته ، لأن النقر على عملية بحتة في القائمة لن يظهر كثيرًا في عرض التفاصيل إذا كان لا تعمل العملية ، حتى إذا قمت بإيقاف كل شيء مؤقتًا.

فهم كل تلك الألوان

هناك بالتأكيد الكثير من الألوان في قائمة مستكشف العمليات النموذجية ، والتي يمكن أن تكون مربكة قليلاً للمهوس المبتدئين. من المهم حقًا معرفة ما تعنيه كل هذه الألوان ، لأنها ليست متوفرة للعرض فقط - كل منها يعني شيئًا مهمًا.

عندما لا يمكنك تذكر ما تعنيه إحدى الألوان ، يمكنك الانتقال إلى خيارات -> تهيئة الألوان في القائمة لسحب مربع حوار تحديد اللون. هذا هو في الأساس ورقة الغش السريع إلى ما يعني كل شيء. تابع القراءة ، لأننا سنشرحها هنا أيضًا.

استنادًا إلى الألوان الواردة في الصورة أعلاه ، إليك ما تعنيه كل عنصر من العناصر المحددة (الأخرى غير مهمة حقًا).

  • كائنات جديدة (أخضر ساطع) - عندما تظهر عملية جديدة في Process Explorer ، فإنها تبدأ باللون الأخضر الساطع.
  • الكائنات المحذوفة (الحمراء) - عندما تقتل العملية أو تغلقها ، عادةً ما تومض باللون الأحمر قبل الحذف.
  • العمليات الخاصة (أزرق فاتح) - العمليات التي تعمل كحساب المستخدم نفسه كبرنامج Explorer Process.
  • الخدمات (وردي فاتح) - عمليات خدمة Windows ، على الرغم من أنه تجدر الإشارة إلى أنها قد يكون لديها عمليات فرعية يتم إطلاقها كمستخدم مختلف ، وقد يكون لونًا مختلفًا.
  • عمليات معلقة (رمادي داكن) - عندما يتم تعليق العملية ، لا يمكنها فعل أي شيء. يمكنك بسهولة استخدام Process Explorer لتعليق أحد التطبيقات. في بعض الأحيان ، تظهر التطبيقات المحطمة لفترة قصيرة باللون الرمادي بينما يتعامل Windows مع التحطم.
  • عملية غامرة (الأزرق الساطع) - هذه مجرد طريقة رائعة للقول بأن هذه العملية هي تطبيق Windows 8 باستخدام واجهات برمجة التطبيقات الجديدة. في لقطة الشاشة في وقت سابق قد تكون لاحظت WSHost.exe ، وهي عملية "Windows Store Host" التي تقوم بتشغيل تطبيقات Metro. لسبب ما سوف تظهر أيضا Explorer.exe ومدير المهام كما غامرة.
  • صور معبأة (بنفسجي) - قد تحتوي هذه العمليات على تعليمات برمجية مضغوطة مخفية داخلها ، أو على الأقل يعتقد Process Explorer أنها تعمل باستخدام الأساليب البحثية. إذا رأيت عملية أرجوانية ، فتأكد من فحصها بحثًا عن برامج ضارة!

نظرًا لوجود بعض التداخل الواضح بين هذه السيناريوهات المختلفة ، سيتم تطبيق الألوان بترتيب الأسبقية. إذا كانت إحدى الخدمات عبارة عن خدمة وتم تعليقها ، فستظهر باللون الرمادي الداكن لأن هذا اللون أكثر أهمية.

من خلال ما تعلمناه أثناء البحث ، تم تعليق الطلب> معبأة> غامرة> الخدمات -> العمليات الخاصة.

التحقق من هوية التطبيق

هناك خيار واحد مفيد حقًا يفاجأنا أنه لا يتم تمكينه افتراضيًا في الخيارات -> التحقق من تواقيع الصور.

سيتحقق هذا الخيار من التوقيع الرقمي لكل ملف قابل للتنفيذ في القائمة ، وهو أداة استكشاف الأخطاء وإصلاحها لا تقدر بثمن عندما تنظر إلى بعض التطبيقات المشبوهة التي يتم تشغيلها في القائمة.

يجب توقيع الغالبية العظمى من البرامج ذات السمعة الطيبة رقميًا في هذه المرحلة. إذا لم يكن هناك شيء ، فيجب أن تنظر بعناية شديدة في ما إذا كان ينبغي عليك استخدامه.

اتخاذ إجراء على عملية

يمكنك اتخاذ إجراء سريع على أي عملية بالنقر بزر الماوس الأيمن عليها واختيار أحد الخيارات ، أو باستخدام مفاتيح الاختصار إذا كنت تفضل ذلك. هذه الخيارات تشمل:

  • نافذة او شباك - لديها خيارات بما في ذلك Bring to Front ، والتي يمكن أن تكون مفيدة للمساعدة في تحديد النافذة المرتبطة بعملية ما. إذا لم تكن هناك نوافذ لهذه العملية ، فستظهر باللون الرمادي.
  • يضع أولويات - يمكنك استخدام هذا لتهيئة أولوية العملية. هذا مفيد في الغالب لترويض عملية جامدة لا تريد قتلها.
  • عملية قتل - مثلما تتخيل ، هذا يقتل هذه العملية بسرعة.
  • قتل شجرة عملية - هذا لا يقتل فقط العنصر في القائمة ، ولكن أيضا الأطفال في تلك العملية الرئيسية.
  • إعادة بدء - مفيد للغاية أثناء الاختبار ، وهذا فقط يقتل العملية ثم إعادة تشغيله. تجدر الإشارة إلى أن عمليات القتل قد تؤدي إلى فقدان البيانات.
  • تعليق - يعد هذا الخيار مفيدًا لتحرّي الخلل وإصلاحه عندما تكون إحدى العمليات خارجة عن نطاق السيطرة. يمكنك ببساطة تعليق العملية بدلاً من قتلها والتحقق لمعرفة ما إذا كان أي شيء خارج اللعبة.
  • تحقق من VirusTotal - هذا خيار جديد سنشرحه أكثر. إنه مفيد للغاية حقًا ، حيث يتحقق من عملية البحث عن الفيروسات.
  • البحث على الانترنت - سيؤدي هذا إلى البحث في الويب عن اسم العملية.

ومن الواضح أنك إذا فتحت "خصائص" ستأخذك إلى معلومات أكثر فائدة حول هذه العملية ، والتي سنتناول الكثير منها في الدرس التالي. 

ملحوظة: اختبرنا خيار Temp ولكن لم يكن لدينا أي فكرة عما يفعله.

يعمل كمسؤول

على الرغم من أنك لست مضطرًا مطلقًا إلى تشغيل Process Explorer كمسؤول ، بدون عمل الكثير من الميزات المفيدة ، ولن تتمكن من رؤية أكبر قدر ممكن من المعلومات حول كل عملية.

إذا كنت تستخدم نظام التشغيل Windows XP أو Windows 2003 ، فستحتاج إلى أن تعمل كحساب له حقوق المسؤول الكاملة لاستخدام معظم الميزات. ربما لا يمثل هذا مشكلة بالنسبة لمعظم الناس ، لأن XP أعطت الامتيازات الكاملة للحساب الافتراضي على أي حال ، ولكن إذا كنت تحاول استخدام هذا في العمل دون وصول المسؤول ، فإنه لن يعمل بشكل جيد كذلك.

نظرًا لأن معظم قرائنا يستخدمون Windows 7 أو 8.x أو حتى Vista ، فمن المحتمل أن تكون على دراية بتشغيل التطبيق كمسؤول. إنه أمر سهل حقًا ... انقر بزر الماوس الأيمن واختر الخيار من القائمة.

حقيقة ممتعة: يستخدم برنامج Explorer في الواقع امتياز برامج Debug ، والذي يقطع شوطا طويلا لتفسير سبب قوته.

إجبار مستكشف العمليات على فتح دائمًا كمسؤول

إذا كنت تريد التأكد من أن Process Explorer يفتح دومًا كمسؤول دون الحاجة إلى تذكر النقر بزر الماوس الأيمن عليه ، فيمكنك فرضه إما عن طريق إنشاء اختصار خاص يتطلب وضع المسؤول ، أو عن طريق فتح خصائص لـ procexp.exe ، الذهاب إلى التوافق ، ثم اختيار الخيار "تشغيل هذا البرنامج كمسؤول".

في كلتا الحالتين ستعمل على ما يرام ، أو يمكنك أيضا تعطيل UAC إذا كنت تفضل ذلك ، الأمر الذي يجعل كل شيء يعمل كمسؤول طوال الوقت. نحن لا نوصي بذلك ، ولكن يمكنك فعل ذلك.

باستخدام عملية اكسبلورر لاستبدال إدارة المهام

منذ فترة طويلة ، تم استخدام Process Explorer كبديل قوي لتطبيق برنامج Task Manager الذي كان سابقًا في كل إصدار من Windows قبل Windows 8 ، وعلى افتراض أنك تريد بعض القوة الحقيقية بين يديك ، فإنه يعمل بشكل جيد كبديل في هذا الإصدار أيضًا.

ملحوظة: تم تحسين إدارة مهام Windows 8 بشكل كبير من الإصدارات السابقة. لا يزال ذلك غير قويًا مثل "مستكشف العمليات" ، ولكن ربما يكون من الأسهل على الأشخاص العاديين استخدامه. لذا لا تغيّر جهاز الكمبيوتر الخاص بالأم بشكل افتراضي إلى Process Explorer.

لجعل Process Explorer يحل محل Task Manager ، كل ما عليك فعله هو اختيار Options -> Replace Task Manager Manager من القائمة. هذا هو.

بمجرد الانتهاء من ذلك ، سيؤدي استخدام CTRL + SHIFT + ESC أو النقر بزر الماوس الأيمن فوق شريط المهام إلى تشغيل Explorer Process بدلاً من إدارة المهام. قراءة سهلة؟

تحذير: إذا قمت باستبدال Task Manager (إدارة المهام) ، تأكد تمامًا أنك قد وضعت Process Explorer في مكان لن تقوم بنقله أو حذفه عن طريق الخطأ. وإلا ، فستظل عالقًا بنظام لا يستطيع تشغيل أي مدير مهام.

استخدام عملية إكسبلورر كمراقب أيقونة رهيبة

واحدة من أفضل ميزات برنامج Explorer Process هي القدرة على تصغيرها إلى علبة النظام ، ولكن بدلاً من مجرد رمز واحد ، يمكن تقليلها إلى مجموعة كاملة من الأيقونات التي يمكنها مراقبة وحدة المعالجة المركزية ، الإدخال / الإخراج ، القرص ، الشبكة ، وحدة معالجة الرسومات وذاكرة الوصول العشوائي أو أي مزيج منها. يمكنك تهيئتها لعرضها بشكل منفصل ، أو عدم عرضها على الإطلاق ، إذا كنت تفضل ذلك.

لإعداد هذا ، افتح قائمة الخيارات ، وانتقل إلى قسم أيقونات الدرج ، ثم انقر فوق لتمكين كل من رموز الدرج التي ترغب في رؤيتها.

يمكنك فقط تشغيل Process Explorer في كل مرة تبدأ فيها بتشغيل الكمبيوتر ، ثم تصغيره إلى علبة النظام بحيث يكون دائمًا موجودًا لك. وبالطبع ، إذا استخدمت خيار استبدال مدير المهام ، يمكنك الوصول إليه بسرعة في أي وقت باستخدام مفتاح الاختصار - على الرغم من أنك قد ترغب في استخدام خيار "السماح بالواحد فقط" للتأكد من عدم فتح حفنة من نوافذ منفصلة.

استخدام عملية اكسبلورر للبحث بسرعة عن VirusTotal

إذا كنت تعمل على مشكلة في جهاز الكمبيوتر وترغب في معرفة ما إذا كانت إحدى العمليات عبارة عن فيروس ، فيمكنك توفير بعض الوقت باستخدام Process Explorer الإصدار 16 أو ما بعده ، لأنهم أضافوا إضافة VirusTotal مباشرة إلى التطبيق. فقط انقر بزر الماوس الأيمن على أي شيء في القائمة لرؤية الخيار.

في المرة الأولى التي تقوم فيها بتشغيلها ، سيُطلب منك قبول شروط استخدام VirusTotal ، ولكن بعد القيام بذلك ، سترى نتائج VirusTotal تظهر هنا في القائمة.

يمكنك النقر فوق النتيجة للانتقال إلى VirusTotal والاطلاع على التفاصيل. إنها إضافة جديدة رائعة لواحدة من أفضل المرافق على الإطلاق.

الدرس القادم: استخدام مستكشف العمليات لتحري الخلل وإصلاحه وتشخيصه

في الدرس القادم في سلسلة أعمالنا ، سنتعمق أكثر في كيفية استخدام Process Explorer في بعض سيناريوهات العالم الحقيقي لاستكشاف المشكلات الشائعة مثل البرامج الضارة والبرامج الخبيثة. تأكد من ضبطها لبقية السلسلة.

أعلى نصائح:
التعليقات: