使用 Process Explorer 觀察作業系統中的 Process 與 Thread

2021-04-09

筆記關於 Windows Server Process, Thread, Protected Process 以及使用 Process Explorer 觀察的方式。

持續編輯中 🧙‍♂️

logo

說明

更清楚的理解作業系統發生了什麼事情,有助於 Trouble Shooting 以及檢查是否存在資訊安全的問題,因此特別針對作業系統中的 Process, Thread 進行學習,並搭配 Sysinternals 的 Prcoess Explorer 進行實驗,提升對於作業系統的認識。

名詞解釋

Process

擁有獨立的記憶體支援,Prcoess 之間不會相互干擾,在 Windows 作業系統中,Process 擁有 1 個以上的 Thread 負責實際進行運算。

Kernal Mode

System Driver 使用的模式,取用的權限較高。

User Mode

Thread

執行緒,實際負責執行程式的邏輯與運算工作。

Protected Process

DLL

動態連結程式庫,將程式碼模組化的封裝,可以節省程式重複使用的資源、使用模組化的開發與維護架構並且易於在不同的環境轉移。

何謂 DLL

Handles

Process 所使用到的資料目錄、檔案、事件、機碼與 Threads 等資源,用於確認與 Process 所相關的資源資訊。

Process Explorer

與 Task Manager 的比較

預設下 Windows 作業系統中已經有 Task Manager 可以觀察 Process 與資源的使用情形,但是為什麼還需要使用 Process Explorer?

  1. Process Explorer 可以觀察到 Thread
  2. Process Explorer 可以用階層的關係表示 Prcoess 之間的關係
  3. Process Explorer 可以更精準的計算資源(CPU)使用的情形

Elevate

在尚未提升權限之前,所能夠觀察到的 Prcoess 有限,必須要藉由使用管理者的身分執行才能夠完整地進行檢視

優化的設定

Process 狀態變化更保持時間
Process 狀態變化的刷新頻率
選擇要觀察的 Process Columns

操作技巧

暫停 Prcoess 觀察與恢復 Process 觀察
使用 Pointer 從視窗找到 Process

參考資料

Pluralsight - Troubleshooting Processes with Sysinternals Process Explorer

#Windows #Sysinternals #OS