实验目的 1、了解Process Explorer的使用方法预备知识 Process Explorer(可执行文件名为procexp.exe)是一款由Sysinternals开发的Windows系统和应用程序监视工具,目前Sysinternals已经被微软收购,此款不仅结合了文件监视和注册表监视两个工具的功能,还增加了多项重要的增强功能,此工具支持64位Windows系统,是很多windows开发工程师极力推荐的一款编码和调试中使用的工具。实验环境 Windows 7-32实验台。实验内容和步骤任务描述:使用Process Explorer查看Windows系统和应用程序信息 1、桌面打开“ProcessExplorer工具使用实验”文件夹,启动Process Explorer,查看其树形结构界面,如下图所示。 2、标记进程颜色 通过 Options->Configure colors 可以选择进程的颜色标记,通过颜色可以判断次进程处于的状态和类型,是挂起还是正在退出,是服务进程还是普通进程。 3、调整字体 Process Explorer的默认字体较小,一般需要先调整一下字体,在Options->Fonts 里面修改字体为11号。 4、显示进程的系统信息 右键点击View->Select Columns,选择要观察进程的某种特定信息,这里在默认的基础上勾选“Image Path” 点击确定,在主界面上看到新增的Image Path,如图 一些常用的系统信息有: Image Path:显示进程的文件路径 Command Line:显示进程命令行参数 Image Type:显示进程是64位进程还是32位的(64位系统运行时可选) session ID:显示进程当前所在的Session ID User Name:显示进程当前的权限,是系统用户权限还是网络管理员权限还是普通管理员权限 5、显示当前进程所加载的DLL 选择View->lower Pane View->Dlls 此时在面板下方会显示加载的dll 6、显示当前进程所占用的系统资源句柄 1)可用来查看当前进程所占用的资源句柄表 2)可以检查自己的程序是否有内核句柄泄露 7、操控进程以及显示进程的内部信息(这类信息是属于当前进程的) 选定一个进程,右键 1)可以结束当前进程,或者当前进程树 2)可以挂起、重启、从挂起中恢复一个进程 3)查看进程信息(选择Properties) 8、查看进程信息 选定一个进程,右键->Properties 1)可以看到当前进程的用户组信息 2)可以看到当前进程申请了哪些特权 3)选择Environment选项卡,可以看到当前进程的环境变量,如果自动化编译或者使用一些开源软件,查看其环境变量是很重要的一环。 9、搜索功能(Ctrl+F) 搜索功能在很多地方都可以用到,编码的时候可以查看哪个事件被谁占用了,直接搜事件名称就可以了,如果像删除一个目录怎么也删除不掉,就是说某某文件被占用,则搜索一下需要删除的目录路径。 比如c盘根目录新建一个目录1,里面新建一个2.txt,用记事本打开2.txt,此时目录1无法删除,在搜索栏中输入c:\1即可发现占用此目录句柄的资源,如图。 Process Explorer还有很多其他的功能,可以在学习中慢慢尝试。
参考链接
发表评论