Административные Права

Procexp не абсолютно требует административных прав, но большая информация о системе доступна только, работая с поднятыми полномочиями, особенно для процессов, не работающих в сеансе входа в систему текущего пользователя. Procexp зависит от полномочия Программ Отладки (который предоставляют Администраторам по умолчанию) сделать это. Среды, которые принимают политику безопасности, которая не предоставляет полномочие Программ Отладки Администраторам, не будут в состоянии в полной мере воспользоваться возможностями Просекспа. Procexp делает максимальные усилия, чтобы вывести на экран информацию, что это может, и это оставляет незаполненные поля или сообщает "о доступе запрещен", когда это не может.

Примечание. На Windows Vista и более новых, даже полных административных правах не достаточны, чтобы считать подробную информацию из защищенных процессов. Audiodg.exe и Системные процессы защищаются процессы, о которых Просексп сообщает на странице безопасности диалогового окна Свойств процесса.

Чтобы выполнить Procexp с административными правами на Windows XP и Сервере 2003, если Вы не уже зарегистрированы как администратор, следует использовать RunAs, чтобы запустить Procexp, или запустить Procexp с другой программы (такой так Cmd.exe), который уже работает как ­администратор. На Windows Vista и более новый, опция Run As Administrator может служить эквивалентной цели.

На Windows Vista и более новый, Procexp предлагает две дополнительных опции. Если Procexp работает, неподнятые, выбирающие Выставочные Детали Для Всех Процессов из меню File перезапускает Procexp с Управлением Учетной записью пользователя (UAC) повышение. Вторая опция должна запустить Procexp с/e параметра командной строки, который также запрашивает повышение UAC. (Конечно, следует работать в контексте, в котором повышение возможно.)

См. "Административные Права" раздел в Главе 2 для получения дополнительной информации о RunAs и повышении UAC.

Главное окно.

Список процесса - таблица, в которой каждая строка представляет процесс на системе, и столбцы представляют непрерывно обновляемые атрибуты тех процессов. Можно измениться, какие атрибуты выводятся на экран, изменяют размеры и переупорядочивают столбцы, и сохраняют наборы столбца для более позднего использования. Панель инструментов Procexp включает кнопки для того, чтобы выполнить общие действия и графики, представляющие метрики в масштабе всей системы. Наконец, строка состояния показывает выбираемые пользователем системные метрики. Каждая из этих функций будет описана поочередно.

Список процесса.

Каждая строка в списке процесса представляет рабочий процесс на локальном компьютере. Фактически, это не технически точно. Как мой друг и соавтор Windows Internals Дэвиду Соломону нравится указывать, процессы не работают — только распараллеливает, может работать. Потоки — не процессы — являются объектами, которые Windows планирует для выполнения и которые используют время ЦП. Процесс - просто контейнер для ряда ресурсов, включая один или более потоков. Это также не с точностью до, обращаются к "активным процессам" или к "процессам с выполнением потоков,", потому что много процессов тратят большинство своих времен жизни ни с одним из их выполнения потоков или запланированный для выполнения. Таким образом, каждая строка в списке процесса действительно представляет объект процесса на системе, у которой есть ее собственное виртуальное адресное пространство и один или более потоков, которые очевидно могли выполнить код в некоторый момент. И поскольку мы обсудим позже, первые три строки в (древовидном) представлении по умолчанию - исключения. Продвижение, я буду именовать их как рабочие процессы.

Выделение процесса.

Одной из первых вещей, которая выделяется в списке процесса, является использование цвета, выделяющегося, чтобы отличить различные типы процессов. Хотя можно сконфигурировать, какие типы процесса выделяются и в том, какой цвет, они - значения по умолчанию:

■                Голубой Эти процессы ("собственные процессы") являются процессами, которые работают в той же самой учетной записи пользователя как Procexp. Отметьте, что, хотя они работают в той же самой учетной записи пользователя, они могли бы быть в различных Властях Локальной защиты (LSA) сеансами входа в систему, уровнями целостности, или терминальными сеансами, и поэтому все обязательно не работают в том же самом контексте защиты. Также отметьте, что, если Вы запустили Procmon как различный пользователь, другие приложения на рабочем столе не будут выделены как "собственные процессы."

■                Розовый Определяет службы. Они - процессы, содержащие одну или более служб Windows.

■                Фиолетовый Обозначает "упакованные изображения." Просексп использует простую эвристику, чтобы идентифицировать программные файлы, которые могли бы содержать исполнимый код в сжатой форме, зашифрованной форме, или обоих. Вредоносное программное обеспечение часто использует этот метод, чтобы уклониться от антивредоносного программного обеспечения и затем распаковать себя в памяти и выполниться. Отметьте, что иногда эвристика приводит к ложным положительным сторонам, обычно со сборками отладки приложений Microsoft Visual C++.

■                Браун Указывает на задания. Они - процессы, которые были связаны с заданием. Задание - конструкция Windows, которая позволяет одному или более процессам быть управляемыми как модуль. Заданиям можно было примениться к ограничениям их, таким как ограничения по времени выполнения и память.

Процесс может быть связан с самое большее одним заданием. Задания не выделяются по умолчанию.

■                Желтый Указывает на процессы СЕТИ. Они - процессы, которые используют Microsoft NET Framework.

■                Темно-серый Указывает на приостановленные процессы. Они - процессы, в которых все потоки приостанавливаются и не могут быть запланированы для выполнения. Процессы, которые отказали, могли бы появиться как приостановлено, в то время как Windows Error Reporting обрабатывает катастрофический отказ. (Не путайте эту серость с более светло-серым цветом, который, с цветовыми схемами Windows по умолчанию, указывает на выбранную строку, когда окно Procexp не фокусируется.)

Если процесс принадлежит больше чем одной из этих категорий, порядок приоритета Приостановлен, Упакован, СЕТЬ, Задания, Службы, Собственный Процесс. Например, если процесс размещает службу и использует Платформу СЕТИ, Procexp применяет цвет выделения, связанный с процессами СЕТИ, потому что у этого есть более высокий приоритет чем Службы. Procexp требует ­административных прав распознать упакованное изображение, процесс СЕТИ, или ассоциацию с заданием, если процесс работает на более высоком уровне целостности или в различной учетной записи пользователя от Procexp.

В дополнение к выделяющимся типам процесса Procexp выделяет новые процессы и процессы, которые только что вышли. По умолчанию, когда Procexp идентифицирует новый процесс, он выделяет свою строку в списке процесса с зеленым фоном в течение одной секунды. Когда процесс выходит, Procexp сохраняет его в списке в течение одной секунды, выделенной в красном. Отметьте, что даже при том, что процесс появляется в списке, если это выделяется в красном, процесс уже вышел и больше не существует. Можно сконфигурировать, сколько времени "выделение различия" длится, выбирая Продолжительность Выделения Различия из меню опций и вводя число от 0 до 9 в диалоговом окне. (См. рисунок 3-2.) Отмечают, что фактическая продолжительность также зависит от интервала обновления Procexp. Выделение различия изменяется только, когда дисплей обновляется.

Рис. 3-2. Различие, Выделяющее диалоговое окно Продолжительности.

Чтобы изменить, выделяются ли тип процесса или различие и в том, какой цвет, выберите, Конфигурируют Выделение от меню опций. Как обозначено рисунком 3-3, можно ­включить или отключить выделение изменений или обработать типы, выбирая соответствующие поля. Новые Объекты и Удаленные Объекты также обращаются к элементам, появляющимся в представлении DLL и представлении Дескриптора. Перемещенные DLL, который не выбирается по умолчанию, применяются только к представлению DLL. Щелкните по Кнопке изменения настроек, чтобы вывести на экран диалоговое окно палитры цветов, чтобы изменить выделяющийся цвет для соответствующего типа выделения. (Цвет выделения для приостановленных процессов не настраиваем.)

Рис. 3-3. Сконфигурируйте Выделяющееся диалоговое окно.

 

Обновление Дисплея.

По умолчанию Procexp обновляет динамические атрибуты в дисплее однажды в секунду. Динамические атрибуты - те, которые, вероятно, будут регулярно изменяться, такие как время ЦП. Можно приостановить обновление, нажимая клавишу "Пробел"; нажатие пространства снова возобновляет автоматическое обновление.

Можно инициировать одноразовое обновление всех выведенных на экран данных (динамические и статические атрибуты), нажимая F5 или щелкая по значку Refresh на панели инструментов. Наконец, можно изменить ­автоматическую продолжительность обновления через подменю Update Speed меню View. Доступные интервалы колеблются от 0.5 секунд до 10 секунд.