Process Explorer工具

process explorer工具是一款功能强大的进程管理软件，它能快速查看或结束系统进程，它可以提供详细的应用程式清单、监控程式的运作，藉此可用来判断病毒或者后门程式，与 windows自带的进程管理相比，它拥有简洁友好的操作界面，使用方法简单易懂。欢迎下载。

process explorer简介：

Process Explorer进程管理神器，免费专业增强型任务管理器，系统和应用程序监视工具。它能管理隐藏在后台运行的进程，可以监视/挂起/重启/强行终止任何程序，包括系统级的不允许随便终止的关键进程等。

Process Explorer是由Sysinternals开发的windows系统和应用程序监视工具，目前已并入微软旗下。不仅结合了Filemon（文件监视器）和Regmon（注册表监视器）两个工具的功能，还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、进程树对话框（增加了进程存活时间图表）、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像（DLL和内核模式驱动程序）加载、系统引导时记录所有操作等。

它能让使用者了解看不到的在后台执行的处理程序，可以使用它方便地管理你的程序进程。 能监视，挂起，重启，强行终止任何程序，包括系统级别的不允许随便终止的关键进程和十分隐蔽的顽固木马。

process explorer使用图文教程

这是一款由sysinternals开发的windows系统和应用程序监视工具，目前sysinternals已经被微软收购，此款不仅结合了文件监视和注册表监视两个工具的功能，还增加了多项重要的增强功能，此工具支持64位windows系统

很多人可能把这款工具只当成taskmanager(任务管理器)的替代品，其实这样只能说是高射炮打蚊子，大材小用了，作为windows开发工程师，我极力推荐在编码和调试过程中使用此工具，下面介绍一下process explorer在开发过程中的用处。

一、process explorer的树形结构界面

1.准确的显示的进程的父子关系

2.通过颜色可以判断此进程处于的状态和类型，是挂起还是正在退出，是服务进程还是普通进程。

二、显示进程的系统信息

右键单击标题栏-选择select columns项，选择你要观察进程的某种特定的信息，这里有几个选项，常用的有process image和process memory这两个选项卡，其他的我就不截图举例了!

1.显示进程的文件路径（image path）

2.显示进程命令行参数(command line)

3.显示进程是64位进程还是32位的（image type）

4.显示进程当前所在的session id（session id）

5.显示进程当前的权限，是系统用户权限还是网络管理员权限还是普通管理员权限（user name）

6.显示当前进程的gdi对象个数，内核对象个数，线程个数。

三、显示当前进程所加载的dll

选择view —> lower pane view —> dlls 

1.通过这种方式可以观察，我们的进程是否被其他程序注入dll

2.通过这种方式了解当前进程使用了那些编程技术，如图可见当前进程用到了gdi+

3.可以修改pane view的选项卡，让其显示更多的内容，比如dll基地址，dll内存相关信息等

四、显示当前进程所占用的系统资源句柄

选择view —> lower pane view —> dlls 

1.查看当前进程所占用的资源句柄表

2.可以分析进程的逻辑：如图当前teamviewer的服务进程创建了一个event事件，并且占用一个log文件

3.可以检查自己的程序是否有内核句柄泄露。

五、操控进程以及显示进程的内部信息（这类信息是属于当前进程的）

右键单击进程

1.可以结束当前进程，或者当前进程树

2.可以挂起、重启、从挂其中恢复一个进程

3.查看进程信息（如图-选择properties）

1.可以看到当前进程的用户组信息

2.可以看到当前进程申请了哪些特权

选择environment选项卡，可以看到当前进程的环境变量，如果自动化编译或者使用一些开源软件，查看其环境变量是很重要的一环。

六、搜索功能（ctrl+f）

为什么搜索功能单独拉出来说呢，我个人觉得这个功能在很多地方都可以用到，编码的时候可以查看哪个事件被谁占用了，你直接搜事件名称就可以了，如果你像删除一个目录怎么也删除不掉，就是说某某文件被人占用，那你可以搜索一下你需要删除的目录路径

如上图：teamviewer这个文件夹正在被一个服务占用，这样我只需要把这个服务停止，就可以删除了，常见的还有u盘被占用不让卸载等等!

Process Explorer主要特点

1.显示被执行的映像文件各种信息

2.显示进程安全令牌和权限

3.显示作业中的进程，以及作业的细节

4.显示运行。NET/WinFX应用的进程，以及与.NET相关的细节

5.显示进程和线程的启动时间

6.显示内存映射文件的完整列表

7.加亮显示进程和线程列表中的变化

8.能够挂起一个进程

9.能够杀死一个线程

10.显示进程的Virus Total安全性

关于汉化

1：基于Process Explorer官方16.21版汉化

2：汉化标准资源和非标准资源，完全满足英语盲的使用

3：汉化32和64位嵌入式执行文件，32位和64位完美中文界面

4：绿色单执行文件，2.5MB大小，不加壳反应速度快，方便携带！

process explorer中文版更新：

对部分内容进行了优化。