Utilizando o Process Explorer (pt-BR)

Artigo
17/01/2024

Objetivo

Esse artigo tem como objetivo demonstrar como utilizar o Process Explorer para fazer o gerenciamento avançado dos processos em execução no Windows de forma fácil e rápida.

Aplica-se a:

Cliente: Windows XP e superior (incluindo IA64).
Server: Windows Server 2003 e superior (incluindo IA64).

Introdução

O Process Explorer é uma poderosa ferramenta gráfica que não necessita instalação, a qual permite você fazer o gerenciamento avançado dos processos em execução no Windows. Com o Process Explorer é possível visualizar informações detalhadas dos processos, incluindo o nome do processo, a linha de comando, o caminho da imagem completa, PID, CPU, descrição, assinatura, nome da empresa, e muito mais.

http://www.guiamcitp.com.br/wp-includes/js/tinymce/plugins/wordpress/img/trans.gif

Executando o Process Explorer

Conforme informado anteriormente o Process Explorer não necessita instalação, sendo necessário somente que você faça o download e a descompactação em uma pasta no computador onde você precisa fazer o gerenciamento avançado dos processos em execução no Windows.

1 - Faça o download do Process Explorer no endereço abaixo:

http://download.sysinternals.com/Files/ProcessExplorer.zip

2 - Após descompactar o Process Explorer em um pasta do Windows dê um duplo clique no arquivo procexp.exe. Será carregada a caixa de diálogo conforme mostra a figura 1.1.

Figura 1.1

Nota

Se você já executou o Process Explorer nesse computador a caixa de diálogo da figura 1.1 não será carregada.

3 - Na caixa de diálogo Process Explorer License Agreement após ler o termo de licença clique no botão Agree. Será carregada a janela conforme mostra a figura 1.2.

Figura 1.2

O Process Explorer é iniciado exibindo em uma única tela todos os processos que estão sendo executados no seu computador.

A seguir você irá conhecer as principais funcionalidades do Process Explorer e como diferenciar novos processos, processos finalizados, processos internos, serviços etc.

4 - Conforme exibido em destaque na figura 1.3 tudo que está na cor rosa são serviços sendo executados no seu computador.

Figura 1.3

5 - Conforme exibido em destaque na figura 1.4 tudo que está na cor azul claro são processos internos sendo executados no seu computador.

Figura 1.4

6 - Conforme exibido em destaque na figura 1.5 tudo que está na cor verde é um processo novo sendo executado no seu computador.

Figura 1.5

7 - Conforme exibido em destaque na figura 1.6 tudo que está na cor vermelho é um processo finalizado em seu computador.

Figura 1.6

Agora você já consegue identificar os tipos de procesos que estão sendo executados no seu computador.

Principais Funcionalidades do Process Explorer

Independentemente se você vai solucionar um problema de sistema ou identificar um Malware é importante que você tenha certeza que os processos que estão em execução em seu computador são de um fornecedor legítimo. Para saber esse tipo de informação você precisará verificar a assinatura da imagem do arquivo. Siga os passos abaixo:

1 - Clique no menu View e selecione a opção Select Columns. Será carregada a caixa de opções conforme mostra a figura 1.7.

Figura 1.7

2 - Selecione a opção Verified Signer e clique no botão OK. A janela do Process Explorer ficará semelhante a figura 1.8.

Figura 1.8

Nota

Como você poder ver na figura 1.8 na coluna Verified Signer está em branco, sendo necessário ativar a opção Verifiy Image Signatures para verificar as asssinaturas dos processos em execução.

3 - Clique no menu Options e selecione a opção Verifiy Image Signatures. A janela do Process Explorer ficará semelhante a figura 1.9.

Figura 1.9

4 - Abra o Windows Task Manager e selecione um processo para comparar com o Process Explorer. O resultado será semelhante a figura 1.10.

Figura 1.10

Como você pode observar o Process Explorer é rico em detalhes sobre o processo, o qual trás as seguintes informações : ícone, nome, linha de comando, caminho da imagem completa, PID, descrição, nome da empresa e assinatura.

5 - Selecione um processo e clique com o direito e escolha a opção Properties. Será carregada a caixa de diálogo conforme mostra a figura 1.11.

Figura 1.11

Na guia Image é exibido as informações sobre a versão extraída do arquivo do processo "a imagem", o caminho completo do arquivo de imagem e de linha de comando que iniciou o processo. Também é exibido a pasta atual do processo, a conta de usuário em que o processo está sendo executado, o nome do processo do processo-mãe, e o momento em que o processo iniciou a execução.

6 - Clique na guia Performance. Será carregada a caixa de diálogo conforme mostra a figura 1.12.

Figura 1.12

Na guia Performance é exibido os dados de memória e CPU, incluindo memória física e virtual, e o uso da CPU.

7 - Clique na guia Performance Graph. Será carregada a caixa de diálogo conforme mostra a figura 1.13.

Figura 1.13

Na guia Performance Graph é exibido o uso do processo e a sua alocação como mostrado no gráfico geral do Windows Task Manager. A grande vantagem de utilizar o Process Explorer é que você consegue visualizar os gráficos de CPU, Private Bytes e I/O Bytes de um processo específico. No CPU Usage o gráfico em vermelho indica o uso da CPU em modo kernel enquanto o verde é a soma do modo kernel e a execução do modo de usuário. No Private Bytes é representado a quantidade de memória virtual privada de um processo alocado e é o valor que subirá de um processo quando exibir um bug de vazamento de memória. No gráfico I/O Bytes a linha azul indica o total de tráfego de I/O, que é a soma de todos os processos de I/O lidos e escritos, entre as atualizações e a linha rosa mostra o tráfego escrito.

8 - Clique na guia Threads. Será carregada a caixa de diálogo conforme mostra a figura 1.14.

Figura 1.14

Na guia Threads é exibido a lista dos threads em execução no processo.

Se você clicar no botão Module a página de propriedades da thread selecionada será carregada.

Se você clicar no botão Stack será carregada as pilhas da thread selecionada.

Se você clicar no botão Kill a thread selecionada será encerrada. Note que se você encerrar uma thread poderá causar uma falha ou um comportamento irregular do processo.

Se você clicar no botão Suspend a thread selecionada será suspensa. Note que a suspensão de uma thread poderá causar a parada da execução de um processo.

9 - Clique na guia TCP/IP. Será carregada a caixa de diálogo conforme mostra a figura 1.15.

Figura 1.15

Na guia TCP/IP é exibido qualquer atividade TCP e UDP do processo selecionado, o qual informa o protocolo utilizado, endereço local, endereço remoto e o estado da conexão.

10 - Clique na guia Security. Será carregada a caixa de diálogo conforme mostra a figura 1.16.

Figura 1.16

Na guia Security é exibido a lista de grupos e privilégios listados no token de segurança do processo.

Se você clicar no botão Permissions será carregado a caixa de diálogo de permissões, a qual exibirá as permissões atribuidas ao processo.

11 - Clique na guia Environment. Será carregada a caixa de diálogo conforme mostra a figura 1.17.

Figura 1.17

Na guia Environment é exibido as variáveis de ambiente associados ao processo.

12 - Clique na guia Strings. Será carregada a caixa de diálogo conforme mostra a figura 1.18.

Figura 1.18

Na guia Strings é exibido todas as strings que contém pelo menos 3 caracteres de comprimento. Strings de imagens são lidas do arquivo de imagem do processo no disco enquanto strings de memória são lidas a partir do armazenamento da imagem na memória. Strings de memória pode ser diferente strings no disco quando uma imagem usa uma descompactação ou descriptografia quando elea é carrega na memória.

Agora que você já tem um visão geral do Process Explorer comece a utilizá-lo no dia-a-dia para conhecê-lo ainda mais.

Compartilhar via