Как найти программный процесс, который связан с запущенной программой
Обновлено: 2023-03-22
Каждая программа, работающая на компьютере, имеет связанный с ней процесс. Если программа не отвечает (то есть «зависает»), для решения этой проблемы полезно знать, какой процесс связан с этой программой.
Например, после того как вы узнали, что какой-то процесс связан с программой, которая не отвечает, можно завершить этот процесс и таким образом выйти из программы:
- Откройте Диспетчер задач.
- Перейдите на вкладку Приложения, щелкните правой кнопкой мыши программу, для которой необходимо определить процесс, после чего выберите команду Перейти к процессу. Процесс, связанный с программой, будет выделен на вкладке «Процессы».
Примечания:
- Чтобы выяснить, какие службы используются в определенном процессе, например svchost.exe, щелкните процесс правой кнопкой мыши и выберите команду Перейти к службам. Службы, связанные с процессом, выделены на вкладке «Службы». Если выделенных служб нет, с процессом не связана ни одна служба.
- Чтобы просмотреть в диспетчере задач дополнительные сведения о любой запущен процесс, щелкните правой кнопкой мыши и выберите пункт Свойства. В диалоговом окне «Свойства» можно просмотреть сведения о процессе, в частности его расположения и объем памяти.
Содержание
- Как получить подробные сведения о процессах в Windows 7
- Как узнать PID (идентификатор процесса) в Windows
- Как узнать PID (идентификатор процесса) в диспетчере задач
- Как узнать PID (идентификатор процесса) в командной строке
- Finding the process ID
- Task Manager
- The tasklist command
- TList utility
- The .tlist debugger command
- PowerShell Get-Process command
- CSRSS and user-mode drivers
- Как узнать какой порт использует программа
- Определения порта программы стандартными средствами Windows
- Поиск идентификатора процесса PID
- Поиск порта процесса
- Программы для просмотра сетевых соединений
- TCPView
- CurrPorts
- Поиск и сравнение процесса
- Решение
Как получить подробные сведения о процессах в Windows 7
В статье «Анализ использования памяти с помощью Монитора ресурсов Windows 7» я рассказывал, как использовать Монитор ресурсов (Resource Monitor) для анализа распределения памяти в Windows 7. При этом я упомянул, что графа «Образ» (Image) в таблице «Процессы» (Processes) на вкладке «Память» (Memory) позволяет идентифицировать процессы приложений по имени исполняемого файла. Например, процесс «notepad.exe» со всей очевидностью принадлежит Блокноту (Notepad).
Однако далеко не все процессы можно так легко опознать, и я получил уже немало вопросов от читателей по этому поводу. С идентификацией менее очевидных процессов поможет Диспетчер задач (Task Manager), и в этой статье я расскажу, как его использовать.
Запуск Диспетчера задач
Запустить Диспетчер задач в Windows 7 можно несколькими способами. Во-первых, можно нажать на панели задач правой кнопкой мыши и выбрать опцию «Запустить диспетчер задач» (Start Task Manager). Во-вторых, можно воспользоваться клавишной комбинацией [Ctrl]+[Shift]+[Esc]. И наконец в-третьих, можно запустить исполняемый файл Диспетчера задач из строки поиска меню «Пуск» (Start) — для этого введите taskmgr и нажмите [Enter]. В открывшемся окне выберите вкладку «Процессы» (Processes).
На вкладке «Процессы» есть графа «Описание» (Description, рис. A), в которой приводятся подробные сведения о каждом процессе.
Добавление столбцов на вкладке «Процессы»
Чтобы получить более подробные сведения о процессах Windows 7, воспользуйтесь командой «Выбрать столбцы» (Select Columns) в меню «Вид» (View). Появится диалоговое окно «Выбор столбцов страницы процессов» (Select Process Page Columns), показанное на рис. B. Отсюда можно добавить на вкладку «Процессы» дополнительные колонки — например, столбец «Путь к образу» (Image Path Name), в котором указывается полный путь к файлу, инициировавшему запущенный процесс Windows 7, или графу «Командная строка» (Command Line), где приводится полная команда для запуска процесса со всеми параметрами и переключателями.
Помимо этих столбцов, на вкладку «Процессы» можно добавить и многие другие. Всего в окне «Выбор столбцов страницы процессов» доступно более 30 опций, описание которых не входит в задачи данной статьи. Узнать о назначении всех колонок можно из справочной статьи «Что означают столбцы памяти Диспетчера задач?» на сайте Microsoft.
Опция «Открыть место хранения файла»
Помимо добавления на вкладку столбцов «Путь к образу» и «Командная строка», можно нажать на процессе правой кнопкой мыши и выбрать опцию «Открыть место хранения файла» (Open File Location). При этом откроется папка со всеми файлами, относящимися к данному процессу. К примеру, для процесса «hqtray.exe» на моем компьютере открывается папка «VMware Player» (рис. C).
Еще один источник информации о процессе Windows 7 — окно свойств, которое можно вызвать, нажав на процессе правой кнопкой мыши и выбрав опцию «Свойства» (Properties). Полезные сведения содержатся на вкладке «Подробно» (Details, рис. D).
Если вас интересует процесс «Svchost.exe», можно воспользоваться утилитой командной строки Tasklist, чтобы узнать о нем поподробнее. «Svchost.exe» — общее имя процесса для всех служб, запускаемых из динамически подключаемых библиотек (DLL). Чтобы узнать, каким службам принадлежит этот процесс, откройте командную строку (Command Prompt) и выполните следующую команду:
Вы получите список всех запущенных процессов, в котором приводятся сведения о службах для каждого процесса «Svchost.exe» (рис. E).
Узнав имена служб, запомните идентификатор (PID) процесса «Svchost.exe». Теперь откройте вкладку «Службы» (Services) в Диспетчере задач и отсортируйте список по столбцу «ИД процесса» (PID). Найдите нужный идентификатор и посмотрите описание, чтобы понять назначение службы Windows 7 (рис. F).
Сведения, к сожалению, весьма скудные, но хотя бы позволяют понять, какая именно служба запустила процесс «Svchost.exe».
А вам приходилось использовать Диспетчер задач для поиска информации о запущенных процессах Windows 7? Поделитесь своим опытом в комментариях!
Автор: Greg Shultz
Перевод SVET
Оцените статью: Голосов
Источник
Как узнать PID (идентификатор процесса) в Windows
В данной статье показаны действия, с помощью которых можно узнать PID (идентификатор процесса) в операционной системе Windows.
Идентификатор процесса (process identifier, PID) — уникальный номер процесса в операционной системе Windows.
Все процессы имеют уникальные идентификаторы PID, которые автоматически присваиваются каждому процессу когда он создается в операционной системе, что позволяет ядру системы различать процессы.
При необходимости можно узнать PID (идентификатор процесса).
Как узнать PID (идентификатор процесса) в диспетчере задач
Теперь найдите нужный процесс, и в столбце ИД процесса будет отображен идентификатор соответствующего процесса.
Как узнать PID (идентификатор процесса) в командной строке
Также узнать PID (идентификатор процесса) можно используя командную строку.
Запустите командную строку и выполните следующую команду:
Найдите нужный процесс, в столбце PID будет отображен идентификатор процесса.
Также можно отобразить процессы в виде списка, для этого в командной строке выполните следующую команду:
Найдите нужный процесс, в строке PID будет отображен идентификатор процесса.
Используя рассмотренные выше действия, можно узнать PID (идентификатор процесса) в операционной системе Windows.
Источник
Finding the process ID
Each process running in Windows is assigned a unique decimal number called the process ID (PID). This number is used in a number of ways, for example to specify the process when attaching a debugger to it.
This topic describes how you can determine the PID for a given app using Task Manager, the tasklist Windows command, the TList utility, or the debugger.
Task Manager
Task Manager can be opened in a number of ways, but the simplest is to select Ctrl+Alt+Delete, and then select Task Manager.
In Windows 10, first click More details to expand the information displayed. From the Processes tab, select the Details tab to see the process ID listed in the PID column.
Click on any column name to sort. You can right click a process name to see more options for a process.
Some kernel errors may cause delays in Task Manager’s graphical interface.
The tasklist command
Use the built in Windows tasklist command from a command prompt to display all processes, their PIDs, and a variety of other details.
Use tasklist /? to display command line help.
TList utility
Task List Viewer (TList), or tlist.exe, is a command-line utility that displays the list of tasks, or user-mode processes, currently running on the local computer. TList is included in the Debugging Tools for Windows. For information on how to download and install the debugging tools, see Download Debugging Tools for Windows.
If you installed the Windows Driver Kit in the default directory on a 64 bit PC, the debugging tools are located here:
C:Program Files (x86)Windows Kits10Debuggersx64
When you run TList from the command prompt, it will display a list of all the user-mode processes in memory with a unique PID number. For each process, it shows the PID, process name, and, if the process has a window, the title of that window.
For more information, see TList.
The .tlist debugger command
If there’s already a user-mode debugger running on the system in question, the .tlist (List Process IDs) command will display a list of all PIDs on that system.
PowerShell Get-Process command
To work with automation scripts, use the Get-Process PowerShell command. Specify a specific process name, to see the process ID for that process.
For more information, see Get-Process.
CSRSS and user-mode drivers
To debug a user-mode driver running on another computer, debug the Client Server Run-Time Subsystem (CSRSS) process. For more information, see Debugging CSRSS.
Источник
Как узнать какой порт использует программа
На компьютере может быть установлено довольно много программ и все они резервируют в операционной системе определенный порт для взаимодействия с другим программным обеспечением по сети. В большинстве случаев пользователь заранее знает какой порт использует программа. Это может быть официально зарезервированный порт, под определенный сетевой протокол. Например почтовые программы используют для приема почты протокол POP3 и резервируют порт 110. Бывают неофициально резервируемые порты, например порт 1540 используемый агентом сервера 1С:Предприятие. Информацию об используемых неофициальных портах разработчики программного обеспечения указывают в документации.
Определения порта программы стандартными средствами Windows
Поиск идентификатора процесса PID
1. Открываем командную строку: сочетание клавиш и вводим команду CMD.
2. Запускаем tasklist и находим PID процесса.
Если необходимо отобразить полный список процессов, в том числе служебных и системных, необходимо использовать tasklist без аргументов.
Команда tasklist /fi «status eq running» найдет только те процессы, которые были запущенны программами. Это сократит список процессов и облегчит поиск.
Находим в списке нужную программу, например OneDrive.exe и запоминаем соответствующий PID.
Поиск порта процесса
Для получения списка используемых портов воспользуемся утилитой командной строки netstat.
B netstat были использованы слtдующие аргументы:
В результате будет получен довольно крупный список активных сетевых соединений, среди которых необходимо найти соединение с нужным PID.
В найденных результатах видно, что процесс c PID 15304 (программа OneDrive.exe) использует несколько сетевых портов: 11906, 11907, 11908.
Обращайте внимание на то, для какого траспортного протокола открыт порт: ТСР или UDP. Это информация будет важна, когда будете пробрасывать порт через межсетевой экран.
Программы для просмотра сетевых соединений
Этот способ подойдет для тех, кто не хочет погружаться в работу утилит командной строки Windows, а желает быстро и просто получить информацию о портах, которые использует программа, в графическом интерфейсе.
TCPView
CurrPorts
Из плюсов программы следует отметить наличие русского языка. Чтобы русифицировать программу нужно скачать отдельный файл русификации и положить его в папку с программой.
Источник
Поиск и сравнение процесса
Помощь в написании контрольных, курсовых и дипломных работ здесь.
Поиск процесса на c++
ПОМОГИТЕ ПЛИЗ. Программирую на с++ builder 6. Задача: 1-е проверить наличие процесса.
Поиск процесса по имени
Такой вопрос: я ввожу с клавиатуры имя процесса и можно ли проверить, запущен ли процесс с таким.
Поиск процесса по имени
Помогите написать программу поиска процесса по имени на MS Visual Studio 2010.
Добавлено через 1 час 0 минут
Модифицированный вариант с поиском файла в произвольной папке и обработкой каждого найденного PID для найденного имени файлапроцесса:
Решение
Добавлено через 5 минут
что-то типа
чтобы точнее, надо поизучать help по wmic process
Добавлено через 1 минуту
под XP wmic работает,
a ежели чо, проверить наличие SP3.
Добавлено через 4 часа 6 минут
ну вот, появился у меня windows под рукой, поэтому,
чтобы перезапустить процесс, зная его исполняемый путь
doit.bat:
Поиск окон процесса
Привет, подскажите пожалуйста какие функции надо использовать в моем случае, никак не могу найти.
Поиск процесса по имени
Здравствуйте, помогите пожалуйста перевести с Lua код поиск процесса по имени, на язык.
Поиск процесса по имени
Нужно написать функцию которая будет искать запущен ли процесс (имя процесса за ранние известно).
поиск скрытого процесса.
у меня в системе завёлся скрытый процесс я знаю только имя файла «000.exe» мне надо на нулевом.
Источник
В последнее время Microsoft выпускает довольно много обновлений для Windows 11. Начиная с «моментального» обновления 22H2, эти новые функции, такие как вкладки «Проводник» и параметры макета меню «Пуск», предлагают небольшие корректировки, которые делают работу с Windows 11 намного лучше.
Диспетчер задач — одна из таких областей, которая получила важные обновления. Помимо того, что диспетчер задач доступен из контекстного меню панели задач, он недавно получил очень востребованное обновление функции: панель поиска. Давайте посмотрим на эту разработку и на то, как она может упростить вашу задачу при поиске процесса.
Диспетчер задач (наконец-то) получает поисковый фильтр [November 2022]
Диспетчер задач всегда был популярным приложением для уничтожения задач, когда они перестают отвечать, или для запуска новых задач. Но если вы хотели найти конкретный запущенный процесс, вам приходилось самостоятельно просматривать список.
Теперь это изменится. С добавлением окна фильтра поиска вы теперь сможете фильтровать список процессов и искать один процесс.
Это, согласно блог Майкрософтбыл «главным запросом от наших пользователей» и является долгожданным улучшением качества жизни.
Как фильтровать процессы в диспетчере задач
Вот как использовать параметр процессов фильтрации в диспетчере задач.
Требования:
- По состоянию на 21 ноября 2022 г.:
- Сборка для разработчиков программы предварительной оценки Windows: 25247
- Бета-версия программы предварительной оценки Windows: 22621.891 и 22623.891
- Еще не выпустить на стабильной версии
Пошаговое руководство:
Во-первых, щелкните правой кнопкой мыши на панели задач и выберите «Диспетчер задач», чтобы открыть его.
Вы также можете использовать комбинацию клавиш Ctrl+Shift+Esc для доступа к диспетчеру задач. После открытия вы увидите окно поиска вверху.
Чтобы начать поиск, щелкните поле и найдите процесс. Вы можете фильтровать процессы, используя:
-
Двоичное имя — это фактическое имя процесса, которое отображается в диспетчере задач.
-
PID — это идентификационный номер или идентификатор процесса конкретного процесса. Каждый процесс имеет свой уникальный PID.
-
Имя издателя — это имя издателя (разработчика) приложения/процесса.
Когда вы вводите запрос в поле поиска, диспетчер задач сразу фильтрует процессы и выделяет те, которые соответствуют ключевым словам.
Это весьма полезная функция, поскольку она позволяет отслеживать производительность и использование ресурсов искомого процесса.
Вы также можете выделить окно поиска диспетчера задач, нажав комбинацию клавиш Alt+F.
Совет: выберите тему для диспетчера задач
Последнее обновление также содержит параметры персонализации для диспетчера задач. Хотя это и не совсем утилитарно, это помогает диспетчеру задач гармонировать с общей эстетикой Windows 11.
Теперь у вас есть возможность выбрать светлую тему, темную тему или продолжить системную тему. Чтобы получить к нему доступ, щелкните значок гамбургера в левом верхнем углу диспетчера задач.
Выберите Настройки.
Теперь выберите тему в теме приложения.
Часто задаваемые вопросы
Вот ответы на несколько часто задаваемых вопросов о последней функции поиска в диспетчере задач.
Как фильтровать в диспетчере задач?
Чтобы отфильтровать процесс в диспетчере задач, щелкните поле поиска вверху. Затем отфильтруйте по имени процесса, PID или имени издателя. Лучшие совпадения будут выделены и отображены немедленно.
Как искать в диспетчере задач?
Чтобы выполнить поиск в диспетчере задач, щелкните поле поиска, как показано выше. Кроме того, вы также можете использовать сочетание клавиш Alt + F, чтобы выделить окно поиска. Затем найдите свой процесс.
После множества обновлений в моментном обновлении 22H2 Microsoft незаметно выпускает новые функции и обновления в своих последних сборках. Чтобы получать последние обновления, проверяйте наличие обновлений в приложении «Параметры Windows» или присоединяйтесь к программе предварительной оценки Windows и будьте в числе первых, кто получит новые функции и обновления.
Диспетчер задач является инструментом, который позволяет иметь информацию о процессах или задачах, которые выполняются на нашем компьютере в любое время. Это группируется по вкладкам, в которых вы можете видеть определенную информацию о каждом из запущенных процессов, однако во многих случаях трудно понять, что представляет собой каждый из процессов и каков путь их установки. Я покажу вам, как можно узнать путь каждого процесса в диспетчере задач Windows.
Первое, что нам нужно сделать, это открыть диспетчер задач. Для этого просто нажмите комбинацию клавиш Ctrl + Shift + Escape или нажмите Ctrl + Alt + Delete, затем нажмите “Диспетчер задач”. Как только он откроется, у нас есть несколько способов узнать путь процесса запущенного на компьютере или ноутбуке.
Показать пути всех процессов в Диспетчере Задач
1. Способ. Разберем наиболее дедовский способ. Узнаем путь индивидуально для одного процесса.
- Откройте диспетчер задач Ctrl + Shift + Escape и перейдите во вкладку “Процессы“.
- Далее нажмите правой кнопкой мыши на интересующим вам процессе и в открывшимся меню выберите “Открыть расположение файла“.
- У вас открылся проводник windows с месторасположением файла процесса.
- Нажмите на адресную строку проводника мышкой один раз и вы узнаете путь процесса.
2. Способ. Мы можем еще создать отдельный столбец с указанием пути к местонахождению файла в самом диспетчере задач, что на мой взгляд является более рентабельнее и практичным. Это полезно тем, что к примеру в “диспетчере задач” во вкладке “Автозагрузка“, нет возможности посмотреть индивидуально путь, как описывал выше. По этому и разберем второй способ что делать с такими процессами когда в меню нельзя открыть расположение файла.
- В диспетчере задач во вкладке к примеру “Автозагрузка” или любой другой, которая вам нужна, нажмите Правой кнопкой мыши на “Имя” и выберите “Командная строка“. После чего появится справа столбец с путями всех процессов к местонахождению файла.
Добрый день.
Большинство вирусов в ОС Windows стараются скрыть свое присутствие от глаз пользователя. Причем, что интересно, иногда вирусы очень хорошо маскируются под системные процессы Windows да так, что даже опытному пользователю с первого взгляда не найти подозрительный процесс.
Кстати, большинство вирусов можно найти в диспетчере задач Windows (во вкладке процессы), а затем посмотреть их месторасположение на жестком диске и удалить. Только вот какие из всего многообразия процессов (а их там иногда несколько десятков) — нормальные, а какие считать подозрительными?
В этой статье расскажу, как я нахожу подозрительные процессы в диспетчере задач, а так же, как потом удаляю вирусную программу с ПК.
1. Как войти в диспетчер задач
Нужно нажать сочетание кнопок CTRL + ALT + DEL или CTRL + SHIFT + ESC (работает в Windows XP, 7, 8, 10).
В диспетчере задач можно просмотреть все программы, которые в данный момент запущены компьютером (вкладки приложения и процессы ). Во вкладке процессы можно увидеть все программы и системные процессы, которые работают в данный момент на компьютере. Если какой-то процесс сильно грузит центральный процессор (далее ЦП) — то его можно завершить.
Диспетчер задач Windows 7.
2. AVZ — поиск подозрительных процессов
В большей кучи запущенных процессов в диспетчере задач не всегда просто разобраться и определить где нужные системные процессы, а где «работает» вирус, маскирующийся под один из системных процессов (например, очень много вирусов маскируется, называя себя svhost.exe (а ведь это системный процесс, необходимый для работы Windows)).
На мой взгляд, очень удобно искать подозрительные процессы с помощью одной антивирусной программы — AVZ (вообще, это целый комплекс утилит и настроек для обеспечения безопасности ПК).
AVZ
Сайт программы (там же и ссылки на скачивание) : http://z-oleg.com/secur/avz/download.php
Для начала работ, просто извлеките содержимое архива (который скачаете по ссылке выше) и запустите программу.
В меню сервис есть две важных ссылки: диспетчер процессов и менеджер автозапуска .
AVZ — меню сервис.
Рекомендую сначала зайти в менеджер автозапуска и посмотреть, какие же программы и процессы грузятся при старте Windows. Кстати, на скриншоте ниже вы можете заметить, что некоторые программы помечены зеленым цветом (это проверенные и безопасные процессы, внимание уделите тем процессам, которые черного цвета: нет ли среди них чего-нибудь, что вы не устанавливали ?).
AVZ — менеджер автозапуска.
В диспетчере процессов картина будет похожей: тут отображаются процессы, которые работают в данный момент на вашем ПК. Особое внимание уделите процессам черного цвета (это те процессы, за которые поручиться AVZ не может).
AVZ — Диспетчер процессов.
Например, на скриншоте ниже показан один подозрительный процесс — он вроде системный, только о нем AVZ ничего не знает… Наверняка, если не вирус — то какая-нибудь рекламная программа, открывающая какие-нибудь вкладки в браузере или показывая баннеры.
Вообще, лучше всего при нахождении подобного процесса: открыть его место хранения (щелкнуть правой кнопкой мышки по нему и выбрать в меню «Открыть место хранение файла»), а затем завершить этот процесс. После завершения — удалить все подозрительное из места хранения файла.
После подобной процедуры проверить компьютер на вирусы и adware (об этом ниже).
Диспетчер задач Windows — открыть место расположение файла.
3. Сканирование компьютера на вирусы, Adware, трояны и пр.
Чтобы просканировать компьютер на вирусы в программе AVZ (а сканирует она достаточно хорошо и рекомендуется в качестве дополнения к вашему основному антивирусу) — можно не задавать никаких особенных настроек…
Достаточно будет отметить диски, которые будут подвергнуты сканированию и нажать кнопку «Пуск».
Антивирусная утилита AVZ — санирование ПК на вирусы.
Сканирование достаточно быстрое: на проверку диска в 50 ГБ — на моем ноутбуке потребовалось минут 10 (не более).
После полной проверки компьютера на вирусы, я рекомендую проверить компьютер еще такими утилитами, как: Чистилка, ADW Cleaner или Mailwarebytes.
Чистилка — ссылка на оф. сайт: https://chistilka.com/
AdwCleaner — сканирование ПК.
4. Исправление критических уязвимостей
Оказывается, не все настройки Windows по умолчанию безопасны. Например, если у вас разрешен автозапуск с сетевых дисков или сменных носителей — при подключении оных к вашему компьютеру — они могут его заразить вирусами! Чтобы этого не было — нужно отключить автозапуск. Да, конечно, с одной стороны неудобно: диск теперь не будет авто-проигрываться, после его вставки в CD-ROM, зато ваши файлы будут в безопасности!
Для изменения таких настроек, в AVZ нужно перейти в раздел файл , а затем запустить мастер поиска и устранения проблем . Далее просто выбираете категорию проблем (например, системные), степень опасности и затем сканируете ПК. Кстати, здесь же можно и очистить систему от мусорных файлов и подчистить историю посещения различных сайтов.
Каждая программа, работающая на компьютере, имеет связанный с ней процесс. Если программа не отвечает (то есть «зависает»), для решения этой проблемы полезно знать, какой процесс связан с этой программой.
Например, после того как вы узнали, что какой-то процесс связан с программой, которая не отвечает, можно завершить этот процесс и таким образом выйти из программы:
- Откройте Диспетчер задач.
- Перейдите на вкладку Приложения, щелкните правой кнопкой мыши программу, для которой необходимо определить процесс, после чего выберите команду Перейти к процессу. Процесс, связанный с программой, будет выделен на вкладке «Процессы».
Содержание
- Отслеживать, какая программа запускает определенный процесс?
- 3 ответа
- Метод 1 — WMIC
- Метод 2 — Монитор процесса
- 1. Информация о командной строке в диспетчере задач
- 2. Информация о процессе в Process Explorer
- 3. Приостановка процесса
- 4. Пользовательская программа
- 5. Планировщик заданий
- 6. Инфекционная чистка
- Как узнать, от имени какого пользователя в Windows 10 запущен тот или иной процесс
- Как найти вирус в списке процессов Windows
Отслеживать, какая программа запускает определенный процесс?
Существует определенный процесс, который меня беспокоит, который непрерывно запускается примерно через минуту после его убийства через командную строку или диспетчер задач.
В настоящее время я собираюсь использовать метод Batch-файла каждые 15 секунд, убивая его, если он есть. Тем не менее, я бы очень хотел остановить то, что его запускает.
Существуют ли какие-либо методы для Windows 7 для отслеживания запуска процесса?
3 ответа
Есть вещь, называемая PPID (идентификатор родительского процесса), но относительно «сложно» найти в Windows, потому что это не столбец, отображаемый в диспетчере задач, и я даже не вижу его для столбцов в проводнике процессов.
Два способа сделать это
Оба эти метода довольно быстрые
Метод 1 — WMIC
И это делает остальную часть этого довольно простого
Остальное довольно очевидно.
Итак, давайте предположим, что вы хотите найти, кто запустил calc.exe
и calc.exe вы видите из диспетчера задач, это PID 7384
WMIC показывает ассоциации между PID и PPID. Затем найдите 10896 в диспетчере задач (10896 — это PPID, указанный для идентификатора calc.exe 7384), а в диспетчере задач я вижу, что процесс с PID 10896 — это cmd.exe, который является процессом, который я использовал для запуска calc. exe И действительно, cmd.exe является родительским процессом, который породил calc.exe
Метод 2 — Монитор процесса
Вы можете сделать это на мониторе процесса sysinternals.
нажмите filter..filter в строке меню и добавьте фильтр, фильтрующий имя или путь или PID процесса, например. имя процесса calc.exe или фильтр для пути и введите c: windows system32 calc.exe
Мне удалось использовать имя процесса
>
Сделайте OK .. и файл..capture, если он еще не захвачен.
Дважды щелкните правой кнопкой мыши, чтобы в этом случае загрузилось изображение calc.exe и появилось диалоговое окно свойств, щелкните правильную вкладку, «процесс», и вы увидите PID и PPID (идентификатор родительского процесса).
И, конечно, когда вы знаете PPID, как сейчас, вы можете найти его в диспетчере задач, чтобы узнать, какой процесс породил его.
Если это был процесс, который выполнялся в фоновом режиме, я бы, вероятно, использовал Process Explorer или wmic подходы к процессу, обозначенные —- +: = 2 =: + —- или Barlop . Если процесс является переходным и запускает /выдает очень быстро, оставляя недостаточно времени для выполнения необходимых кликов и нажатий клавиш, я бы использовал Process Monitor, как описано nixda.
Я немного опаздываю на эту вечеринку, но ради завершения:
Другая альтернатива этому (если по какой-либо причине вы не хотите использовать Process Monitor), необходимо использовать встроенное отслеживание процессов. Это можно активировать, выбрав:
Панель управления -> Администрирование -> Локальная политика безопасности -> Локальная политика -> Политика аудита . Если в панели управления нет средств администрирования, другой способ открыть локальную политику безопасности — нажать кнопку «Пуск» и набрать secpol.msc .
Вы должны увидеть несколько параметров аудита, включая отслеживание процессов аудита . Включите это для категории Успех .
>
Теперь в Event Viewer -> Журналы Windows -> Безопасность , вы увидите событие для «создания процесса» (это идентификатор события 4688) и имя /путь создаваемого процесса и поле под названием Идентификатор процесса создания . Это содержит шестнадцатеричное представление PID процесса, который создал этот процесс (его можно легко преобразовать, используя calc.exe в представлении Programmer ).
Несколько возможных предложений попробовать (в случайном порядке), некоторые из которых могут не дать допустимых результатов или ваших попыток уже. Я не пробовал их самостоятельно, поэтому я просто предлагаю идеи, которые другие могут пропустить. Мозговой штурм . Имейте в виду, что большинство моих предложений направлены на устранение проблем, а не на решение его по первопричине. они представляют собой так называемые отчаянные меры или план Z .
1. Информация о командной строке в диспетчере задач
Вы отметили столбец Command в диспетчере задач, предоставил ли он эту информацию? Полагаю, вы уже пробовали это.
2. Информация о процессе в Process Explorer
Если Command пуст, я бы попробовал Process Explorer из SysInternals и посмотрел, получаю ли я больше информации об этом конкретном процессе.
3. Приостановка процесса
Если вы не можете найти корень своей проблемы, вы можете попробовать приостановить процесс, чтобы он все еще присутствовал, но он ничего не делает. Вы можете сделать это либо с помощью Монитора ресурсов
или SysInternals Process Explorer
Неизвестный процесс, который запускает его, скорее всего, проверяет процессы (по имени), и если он видит, что его нет, он запускает его. Если вы приостановите его, он будет существовать, поэтому этот процесс инициализации может не порождать новый экземпляр.
Это может привести к сбою, если в процессе инициализации используются другие средства обнаружения процессов (межпроцессная связь), но этот тип обнаружения процесса намного сложнее, поэтому более легкие варианты выигрывают.
4. Пользовательская программа
Мы можем иметь дело с двумя процессами здесь. Первый , который проверяет существование второго процесса и начинает его (что вы убиваете). Когда второй запускается, вы можете увидеть свою командную строку, но зная, что это не поможет вам даже не запускать ее, и вы скорее можете после первого процесса, который фактически инициирует все. Жесткая удача.
Но поскольку вы, кажется, сообразительны в компьютере, вы можете заменить второй процесс (если известна командная строка) своим собственным исполняемым файлом, который ничего не делает и просто сидит там. Он должен иметь одно и то же имя процесса. Он также может начинаться и заканчиваться сразу же.
Если вы действительно хороши в разработке ОС на низком уровне, вы можете написать второй процесс, чтобы также проверить, кто его запустил, если это возможно. Я не уверен, но Windows API должен предоставить такую информацию. Тогда это приведет вас к корню вашей проблемы.
5. Планировщик заданий
Возможно, ваш процесс не генерируется другими процессами, а определенная заданная задача задания заданий выполняется каждую минуту. Я не уверен, что вы уже проверили это, но это может быть так.
6. Инфекционная чистка
Рассмотрена вирусная инфекция? Попробуйте обнаружить его и очистить.
Как узнать, от имени какого пользователя в Windows 10 запущен тот или иной процесс
Windows 10 является многопользовательской системой, и означает это не только возможность создания в ней нескольких пользовательских профилей, но также и возможность одновременного запуска приложений. Примером тому являются системные службы, работающие под своей особой учетной записью с наивысшими правами, также в Windows могут запускаться на выполнение созданные администратором в планировщике заданий задачи.
А вот и другой пример. Если на компьютере имеется как минимум две активные учетные записи, то, находясь в одной учетке, можно запустить программу от имени другой прямо из контекстного меню Проводника. Для этого при клике ПКМ по ярлыку приложения нужно зажать клавишу Shift и выбрать в меню опцию запуска от имени другого пользователя. Как узнать, какой именно пользователь запустил тот или иной процесс? Есть два способа это сделать: с помощью Диспетчера задач и с помощью командной строки.
Первый способ самый простой. Откройте Диспетчер задач, переключитесь на вкладку «Подробности», найдите интересующий вас процесс и посмотрите связанное с ним имя пользователя в одноименной колонке слева.
Перейти к нужному процессу на вкладке «Подробно» можно также из основной вкладки «Процессы», если кликнуть по нему правой кнопкой мыши и выбрать «Подробно».
Способ с командной строкой столь же прост, но не столь же удобен.
Запустите консоль CMD от имени администратора и выполните в ней команду tasklist /V | more .
При этом вы получите структурированный список всех работающих в системе процессов. Крайняя справа колонка как раз будет содержать полное имя пользователя, запустившего тот или иной процесс. Например, имя учетной записи, запустившей системные процессы будет выглядеть как NT AUTHORITY/СИСТЕМА , а процессы, запущенные встроенным администратором и прочими пользователями как Имя_Компьютера/Имя_пользователя .
Как найти вирус в списке процессов Windows
Когда в системе что-то не так или просто хочется проконтролировать эффективность установленного на компьютере антивируса, мы обычно нажимаем три заветные клавиши Ctrl, Alt, Del и запускаем Диспетчер задач, надеясь обнаружить вирус в списке процессов. Но в нем мы видим лишь большое количество работающих на компьютере программ, каждая из которых представлена своим процессом. И где же тут скрывается вирус? Ответить на этот вопрос вам поможет наша сегодняшняя статья
Для того чтобы определить, есть вирус в процессах или его там нет, нужно очень внимательно вглядеться в список процессов. В операционной системе Windows Vista в обязательном порядке нажмите кнопочку «Отображать процессы всех пользователей», иначе вы толком ничего и не увидите. Прежде всего, обратите внимание на описание процесса в столбике «Описание». Если описания нет или оно какое-то «корявенькое», это должно вас насторожить. Ведь разработчики программ имеют привычку подписывать свои творения на понятном русском или английском языках.
Отметив взглядом процессы с подозрительным описанием, обращаем взор на следующий столбик – «Пользователь». Вирусы обычно запускаются от имени пользователя, реже в виде служб и от имени системы — SYSTEM, LOCAL SERVICE или NETWORK SERVICE.
Итак, найдя процесс с подозрительным описанием, запускаемый от имени пользователя или непонятно от чьего имени, щелкните нему правой кнопкой мышки и в появившемся контекстном меню выберите пункт «Свойства». Откроется окошко со свойствами программы, которая запустила данный процесс. Особое внимание обратите на вкладку «Подробно», где указана информация о разработчике, версии файла и его описание, а также на пункт «Размещение» вкладки «Общие» — здесь указан путь к запущенной программе.
Если путь «Размещение» ведет в каталог Temp, Temporary Internet Files или еще в какое-либо подозрительное место (например, в папку некой программы каталога Program Files, но вы уверены, что такую программу вы не устанавливали), то, ВОЗМОЖНО, данный процесс принадлежит вирусу. Но все это лишь наши догадки, за подробной информацией, конечно же, лучше обратиться к интернету. Неплохие списки процессов есть на сайтах what-process.com http://www.tasklist.org и http://www.processlist.com . Если после всех поисков ваши опасения на счет подозрительного процесса подтвердятся, можете радоваться – на вашем компьютере поселился вирус, троян или другой зловред, которого нужно срочно ликвидировать.
Но окошко со свойствами запустившего процесс файла из Диспетчера задач может и не открыться. Поэтому помимо стандартных средств Windows нужно пользоваться различными полезными утилитами, способными выдать максимум информации о подозрительном процессе. Одну из таких программ – Starter – мы уже рассматривали (http://www.yachaynik.ru/content/view/88/).
В Starter на вкладкее«Процессы» представлена исчерпывающая информация о выделенном процессе: описание программы и имя файла, который запустил процесс, информация о разработчике, список модулей (программных компонентов), задействованных процессом.
Таким образом, нет нужды копаться в свойствах файла, запустившего процесс – всё и так, как на ладони. Тем не менее, это не мешает щелкнуть по подозрительному процессу правой кнопкой мышки и выбрать «Свойства», чтобы получить доскональные сведения о файле процесса в отдельном окошке.
Чтобы попасть в папку программы, который принадлежит процесс, щелкните по названию процесса правой кнопкой мыши и выберите «Проводник в папку процесса».
Но самая удобная опция в Starter – возможность начать поиск информации о процессе прямо из окна программы. Для этого щелкните правой кнопкой мышки по процессу и выберите «Искать в Интернет».
После того, как вы получите полную информацию о файле, запустившем процесс, его разработчике, назначении и мнение о процессе в сети интернет, сможете достаточно точно определить – вирус перед вами или мирная программа-трудяга. Здесь действует тот же принцип, что и в Диспетчере задач. Подозрительны те процессы и модули процессов, для которых не указан разработчик, в описании которых ничего нет либо написано что-то невнятное, процесс или задействованные им модули запускаются из подозрительной папки. Например, Temp, Temporary Internet Files или из папки в Program Files, но вы точно помните, что указанную там программу вы не устанавливали. И, наконец, если в интернете четко сказано, что данный процесс принадлежит вирусу, радуйтесь – зловреду не удалось спрятаться от вас!
Одно из самых распространенных заблуждений начинающих чайников касается процесса svchost.exe. Пишется он именно так и никак иначе: svshost.exe, scvhost.exe, cvshost.exe и другие вариации на эту тему – вирусы, маскирующиеся под хороший процесс, который, кстати, принадлежит службам Windows. Точнее, один процесс svchost.exe может запускать сразу несколько системных служб. Поскольку служб у операционной системы много и все они нужны ей, процессов svchost.exe тоже много.
В Windows XP процессов svchost.exe должно быть не более шести. Пять процессов svchost.exe – нормально, а вот уже семь – стопроцентная гарантия, что на вашем компьютере поселился зловред. В Windows Vista процессов svchost.exe больше шести. У меня, к примеру, их четырнадцать. Но и системных служб в Windows Vista намного больше, чем в предыдущей версии этой ОС.
Узнать, какие именно службы запускаются процессом svchost.exe, вам поможет другая полезная утилита – Process Explorer. Скачать последнюю версию Process Explorer вы можете с официального сайта Microsoft: technet.microsoft.com
Process Explorer выдаст вам описание процесса, запустившую его программу, наименование разработчика и множество полезной технической информации, понятной разве что программистам.
Наведите мышку на имя интересующего вас процесса, и вы увидите путь к файлу, запустившему данный процесс.
А для svchost.exe Process Explorer покажет полный перечень служб, относящихся к выделенному процессу. Один процесс svchost.exe может запускать несколько служб или всего одну.
Чтобы увидеть свойства файла, запустившего процесс, щелкните по интересующему вас процессу правой кнопкой мышки и выберите «Properties» («Свойства»).
Для поиска информации о процессе в интернете при помощи поисковой системы Google, просто щелкните по названию процесса правой кнопкой мыши и выберите «Google».
Как и ранее, подозрения должны вызвать процессы без описания, без наименования разработчика, запускающиеся из временных папок (Temp, Temporary Internet Files) или из папки программы, которую вы не устанавливали, а также идентифицируемые в интернете как вирусы.
И помните, для качественно работы программ Process Explorer и Starter в Windows Vista, их нужно запускать с административными правами: щелкните по исполняемому файлу программы правой кнопкой мышки и выберите «Запуск от имени администратора».