درک فرآیند کاوشگر (Process Explorer) – بخش اول

در این مقاله ما به آموزش ابزار Process Explorer پرداخته‌ایم. این ابزار شاید پرکاربردترین و کاربردی‌ترین برنامه در مجموعه ابزارهای SysInternals است. اما واقعاً درباره این ابزار چقدر می‌دانید؟

ابزار Process Explorer یک برنامه مدیریت وظایف و برنامه مانیتور کردن سیستم است. این ابزار از سال 2001 ارائه شده است. گرچه این نرم‌افزار حتی در ویندوز 9x هم کار می‌کرد، اما نسخه‌های مدرن آن فقط از XP و بالاتر پشتیبانی می‌کنند و آنها به طور مداوم با ویژگی‌های نسخه‌های جدید ویندوز به‌روز می‌شوند. این ابزار استاندارد، بالقوه برای برخورد با فرایندهای عیب‌یابی است.


ابزار Process Explorer چه کاری می‌تواند انجام دهد

برخی از ویژگی‌های اصلی این ابزار شامل موارد زیر است، اگرچه این لیست به هیچ وجه جامع نیست. این نرم‌افزار دارای ویژگی‌های بسیاری است و بسیاری از آن‌ها در عمق رابط کاربری پنهان شده‌اند. به طرز شگفت انگیزی این ابزار یک فایل بسیار کوچک نیز هست.

  • نمای پیش فرض درختی، رابطه سلسله مراتبی والد و فرزندی را بین پردازش‌ها نشان می‌دهد. این ابزار برای درک آسان فرآیندها در یک نگاه از رنگ‌ها استفاده می‌کند.
  • ردیابی بسیار دقیق استفاده از پردازنده برای پردازش‌ها.
  • می‌توان از این ابزاربه جای Task Manager استفاده کرد. این ابزار به خصوص در ویندوزهای XP ، Vista و 7 بسیار مفید است.
  • می‌تواند چندین آیکون سینی را برای نظارت بر پردازنده، دیسک،GPU ، شبکه و موارد دیگر اضافه کند.
  • می‌توانید بفهمید کدام فایل، کدام فایل DLL را بارگیری کرده است.
  • می‌توانید بفهمید کدام فرآیند در حال باز کردن یک پنجره است.
  • می‌توانید کشف کنید که کدام فرایند دارای یک پرونده (فایل) یا پوشه باز و قفل شده است.
  • اطلاعات کامل مربوط به هر فرآیند، از جمله رشته‌ها، استفاده از حافظه، دسته‌ها، وسایل و تقریباً هر چیز دیگری را که می‌توانید بدانید را مشاهده کنید.
  • می‌توان یک درخت کامل فرآیند را از بین برد، از جمله هر فرایندی که توسط یکی از کاربران برای حذف کردن آغاز شده است.
  • می‌توان یک فرآیند را به حالت تعلیق درآورد، تمام رشته‌های آن را مسدود کرد تا آنها کاری انجام ندهند.
  • می‌توانید ببینید که کدام بخش از پردازش در واقع حجم پردازش CPU را افزایش می‌دهد.
  • این ابزارآخرین نسخه VirusTotal (v16) را در رابط کاربری ادغام می‌کند، بنابراین می‌توانید بدون ترک پردازشگر اکسپلورر، فرآیند ویروس‌ها را بررسی کنید.

هر زمان که با یک برنامه مشکلی داشته باشید، یا فرایندی در کامپیوتر شما متوقف شود، یا شاید بخواهید بفهمید که یک فایل DLL خاص برای چه کاری استفاده می‌شود، ابزارProcess Explorer  بسیار مفید خواهد بود.


درک نمای درختی ابزار Process Explorer

نشان دهنده نمای کلی از ابزار Process Explorer است.

هنگام شروع به کار با این ابزار، بلافاصله داده‌های تصویری زیادی به شما ارائه می‌شود. این داده‌ها یک نمای سلسله مراتبی از پردازش‌های در حال اجرا در کامپیوتر شما را ارائه می‌دهد. از جمله این داده‌ها می‌توان به استفاده از CPU و RAM با استفاده از مقادیر عددی برای هر فرآیند اشاره کرد. چند نمودار فعالیت کوچک در بالای نوار ابزار وجود دارد که میزان استفاده از پردازنده را به شما نشان می‌دهد. شما می‌توانید با کلیک بر روی آنها در یک پنجره جداگانه آن را نمایش دهید.

مطمئناً اتفاقات زیادی در حال انجام است. صفحه اولیه ستونی را به شما ارائه می‌دهد که شامل موارد زیر است:

  • فرایند: نام پرونده (فایل) اجرایی همراه با نماد آن البته در صورت وجود نماد را به شما نمایش می‌دهد.
  • پردازنده: درصد زمان پردازنده (CPU) در ثانیه آخر (یا نسبت به سرعت بروزرسانی که تنظیم شده است)
  • گزینه Private Bytes: میزان حافظه اختصاص یافته به این برنامه به تنهایی.  
  • مجموعه کاری (Working Set): مقدار RAM واقعی که توسط ویندوز به این برنامه اختصاص داده شده است.
  • گزینه PID: شناسه فرآیند.  
  • توضیحات: اگر برنامه دارای یک مقدار توضیح باشد آن را نمایش می‌دهد.
  • نام شرکت: این گزینه بیشتر از آنچه فکر می‌کنید مفید است. اگر موردی در سیستم شما به درستی کار نمی‌کند و یا کاملاً درست نیست، با جستجوی فرآیندهایی که توسط مایکروسافت ارائه نشده‌اند شروع کنید.

می‌توانید این ستون‌ها را سفارشی کنید و گزینه‌های زیادی اضافه کنید، یا فقط می‌توانید روی هر یک از ستون‌ها کلیک کنید تا براساس آن گزینه قسمت مورد نظر مرتب شود. اگر قبلاً از Task Manager استفاده کرده‌اید، احتمالاً براساس حافظه یا CPU موارد را مرتب کرده‌اید و می‌توانید این کار را در اینجا نیز انجام دهید.

با کلیک بر روی گزینه پردازش می‌توانید موارد را براساس نام فرآیند مرتب‌سازی کنید و یا به نمای درخت پیش فرض بازگشت کنید. شما می‌توانید یک گزینه را انتخاب کنید، که اگر به حالت اول عادت کنید بسیار مفید است.

نمایش اطلاعات یک بار در ثانیه به روز می‌شود، اما می‌توانید به View > Update Speed بروید و تعداد دفعات به‌روزرسانی آن را تنظیم کنید. کمترین میزان آن 5/0 ثانیه و بالاترین حد آن 10 ثانیه است. اگر از آن برای عیب‌یابی استفاده می‌کنید، مقدار پیش فرض احتمالاً خوب است. اما اگر می‌خواهید از آن به عنوان ابزاری جهت بررسی CPU که در سینی سیستم جای گرفته استفاده کنید، ممکن است در 5 یا 10 ثانیه حجم استفاده از CPU کم باشد در حالی‌که پردازنده در پس زمینه اجرا می‌شود.

همچنین می‌توانید نمایش اطلاعات را در زیر منوی زیر متوقف کنید، یا فقط یک ضربه به Space bar بزنید. این کار باعث می‌شود که اطلاعات در حال نمایش به صورت یک عکس فوری (snapshot) در زمان متوقف شود. این شرایط باعث می‌شود که اگر بخواهید تلاش کنید که فرایندی دوباره شروع به کار کند و یا به سرعت یک فرایند را از بین ببرید، یا اگر تصمیم به مرتب‌سازی براساس استفاده از پردازنده مرکزی گرفته‌اید و همه ردیف‌ها در حال جابجا شدن هستند این کار می‌تواند مفید باشد.

با کلیک بر روی یک فرآیند از کار افتاده در لیست، در صورت عدم اجرای فرایند، در نمای جزئیات چیز زیادی نشان داده نمی شود.


درک همه رنگ‌ها

قطعاً رنگ‌های زیادی در یک لیست معمولی Process Explorer وجود دارد که می‌تواند برای یک مبتدی کمی گیج کننده باشد. واقعاً مهم است که بدانید معنی همه این رنگ‌ها چیست. زیرا آنها فقط برای زیبایی کار وجود ندارند و هر یک از آنها معنی خاص و مهمی دارند.

هر زمان که به یاد نیاوردید که معنی یکی از رنگ‌ها چیست، می‌توانید به آدرس گزینه‌ها > پیکربندی رنگ‌ها در منو بروید تا کادر گفتگوی انتخاب رنگ را نمایان کنید. این برگه اساساً یک برگه سریع جهت درک معنی همه رنگ‌ها است. در ادامه معنی این رنگ‌ها آورده شده است.

معنای رنگ‌های موجود در ابزار Process Explorer را نشان می‌دهد.

معنی هر یک از موارد انتخاب شده بر اساس رنگ‌های موجود در تصویر بالا در ادامه آورده شده است. (معنی رنگ‌هایی که آورده نشده است اصلا مهم نیستند).

  • موارد جدید (سبز روشن): وقتی فرآیند جدیدی در Process Explorer نشان داده می‌شود، با سبز روشن نمایش داده می‌شود.
  • موارد پاک شده (قرمز): وقتی فرایندی بسته می‌شود، معمولاً درست قبل از حذف قرمز رنگ می‌شود.
  • فرآیندهای خود (آبی روشن): فرآیندهایی که با همان حساب کاربری پردازشگر در حال اجرا هستند.
  • خدمات (صورتی روشن): فرآیندهای سرویس ویندوز. اگرچه شایان ذکر است که ممکن است دارای زیر فرآیندی باشند که به عنوان یک کاربر دیگر راه‌اندازی ‌شوند در نتیجه ممکن است رنگ دیگری داشته باشند.
  • فرآیندهای معلق (خاکستری تیره): وقتی فرآیندی به حالت تعلیق درآید، کاری از پیش نمی برد. برای به حالت تعلیق درآوردن یک برنامه می‌توانید به راحتی از Process Explorer استفاده کنید. برنامه‌هایی که خراب شده‌اند به طور خلاصه با رنگ خاکستری نشان داده می‌شوند. در حالی که ویندوز در حال بررسی خرابی به وجود آمده است. 
  • فرایند غوطه‌ور (Immersive Process) (آبی روشن): این فقط یک روش فانتزی است. می‌توان گفت این فرایند یک برنامه ویندوز 8 است که از API جدید استفاده می‌کند. در تصویر قبلی ممکن است متوجه WSHost.exe شده باشید، که یک فرآیند میزبان فروشگاه ویندوز (Windows Store Host) است که برنامه‌های مترو (Metro apps) را اجرا می‌کند. به دلایلی Explorer.exe و Task Manager نیز به عنوان فرایند غوطه‌ور نشان داده می‌شوند. جهت درک بهتر باید بیان کرد که منظور از Metro apps برنامه‌هایی برای صفحه لمسی هستند که ویژه برای رابط‌های برنامه‌نویسی WinRT مایکروسافت مانند Surface tablet نوشته شده‌اند.
  • تصاویر بسته‌بندی شده (بنفش): این فرایندها ممکن است حاوی کد فشرده شده‌ای باشد که در داخل فرایند پنهان شده است، یا حداقل Process Explorer فکر می‌کند که آنها با استفاده از پردازش‌های غیر مستدل کار می‌کنند. اگر فرآیند بنفش رنگی مشاهده کردید، حتماً آن فرایند را جهت یافتن بدافزار اسکن کنید.  

از آنجا که بدیهی است بین این حالت‌های مختلف تداخل وجود داشته باشد، رنگ‌ها به ترتیب اولویت اعمال می‌شوند. اگر فرآیندی یک سرویس باشد و به حالت تعلیق درآید، به رنگ خاکستری تیره نشان داده می‌شود زیرا این رنگ از اهمیت بیشتری برخوردار است.


تأیید هویت برنامه

یکی از گزینه‌های بسیار مفیدی که به طور پیش فرض وجود دارد گزینه امضاء تایید تصویر است (برای یافتن این گزینه به مسیر زیر بروید: Options > Verify Image Signatures).  

نشان دهنده گزینه Verify Image Signatures در منوی Options است.

این گزینه، امضای دیجیتال هر فایل اجرایی در لیست را بررسی می‌کند. این گزینه هنگامی‌که برخی از برنامه‌های مشکوک در لیست در حال اجرا هستند، یک ابزار عیب‌یابی بسیار مهم است.

نشان می‌دهد که یکی از برنامه ها دارای امضاء دیجیتال نیست.

اکثر قریب به اتفاق نرم‌افزارهای معتبر باید در این مرحله به صورت دیجیتالی امضا شوند. اگر چنین چیزی وجود ندارد باید خیلی دقیق بررسی کنید که آیا از آن برنامه استفاده کنید یا نه.




مطالبی که شاید برای شما مفید باشد

کدام سرویس‌های ویندوز را می‌توانید با خیال راحت غیرفعال کنید

نحوه غیر فعال کردن برنامه‌های راه‌اندازی در ویندوز

با استفاده از ابزار عیب‌یابی حافظه ویندوز، حافظه کامپیوتر خود را آزمایش کنید




Tags: , , ,

دیدگاهتان را بنویسید