超强任务管理器Process Explorer的使用

一、关于Process Explorer

Process Explorer让使用者能了解看不到的在后台执行的处理程序，能显示目前已经载入哪些模块，分别是正在被哪些程序使用着，还可显示这些程序所调用的DLL进程，以及他们所打开的句柄。Process Explorer最大的特色就是可以中终任何进程，甚至包括系统的关键进程！

二、下载地址

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

三、如何使用

1、Process Explorer主界面

树形结构，准确的显示的进程的父子关系。

通过颜色可以判断此进程处于的状态和类型，是挂起还是正在退出，是服务进程还是普通进程。

2、显示进程的系统信息

右键Process标题栏-选择Select Columns项，选择你要观察进程的某种特定的信息，这里有几个选项，常用的有Process Image和Process Memory这两个选项卡

1.显示进程当前的权限，是系统用户权限还是网络管理员权限还是普通管理员权限（User Name）

2.显示进程的文件路径（Image Path）

3.显示进程是64位进程还是32位的（Image Type）

4.显示进程当前所在的Session ID（session）

5.显示进程命令行参数(Command Line)

…

显示当前进程的GDI对象个数，内核对象个数，线程个数。

GDI是Graphics Device Interface的缩写，含义是图形设备接口，它的主要任务是负责系统与绘图程序之间的信息交换，处理所有Windows程序的图形输出。

在Windows操作系统下，绝大多数具备图形界面的应用程序都离不开GDI，我们利用GDI所提供的众多函数就可以方便的在屏幕、打印机及其它输出设备上输出图形，文本等操作。

3、显示当前进程所加载的DLL

选择View - Lower Pane View - DLLs

通过这种方式可以观察，我们的进程是否被其他程序注入DLL，了解当前进程使用了那些编程技术。

我们可以修改DLL的选项卡让其显示更多的内容，比如DLL基地址，DLL内存相关信息等

4、显示当前进程所占用的系统资源句柄

选择View - Lower Pane View - Handles

我们查看当前进程所占用的资源句柄表，分析进程的逻辑：如图下图SunloginClient.exe进程创建了一个Event事件，并且占用一个Log文件，可以检查自己的程序是否有内核句柄泄露。

5、操控进程以及显示进程的内部信息

操控进程，杀掉进程、重启进程、挂起进程等

显示进程的内部信息

查看线程信息

查看当前进程的环境变量

6、搜索功能（Ctrl+F）

有时候我们删除某个文件或文件夹的时候，会提示被某个服务占用，无法删除，这个时候，就可以使用搜索功能知道它被谁占用了，比如shell.20200608-082337.log文件被SunloginClient.exe占用了