Możliwe, że natrafiłeś na sytuacje, w których odbywa się ciągła aktywność dysku twardego, chociaż system jest w stanie bezczynności. Jeśli otworzysz Menedżera zadań z ciekawości, może się zdarzyć, że kilka procesów zacznie i kończy się samodzielnie, bez robienia czegokolwiek. Może to być zaplanowane zadanie tworzenia kopii zapasowej, program do konserwacji systemu innej firmy lub cokolwiek, co może spowodować dysk twardy. Może to być nawet złośliwe oprogramowanie. Ale która aplikacja lub proces je uruchamia?
Więcej informacji o pliku wykonywalnym można znaleźć, wyszukując w Internecie. Znajomość nadrzędnego procesu uruchomionego jest również ważna i można to osiągnąć na wiele sposobów. Oto kilka metod, aby poznać proces nadrzędny i identyfikator uruchomionego procesu.
Korzystanie z Process Explorer
Process Explorer to świetny program, który mówi ci wszystko, co chcesz wiedzieć o uruchamianiu procesów. Pobierz Process Explorer, rozpakuj i uruchom plik wykonywalny.
Na potrzeby ilustracji uruchamiam Narzędzie informacji o systemie (msinfo32.exe) za pomocą karty Narzędzia w narzędziu konfiguracji systemu (MSConfig.exe).
W Eksploratorze procesów naciśnij klawisze CTRL + T, aby przełączyć do widoku drzewa (widok domyślny), jak poniżej. Ten widok pokazuje listę procesów rozpoczętych przez proces nadrzędny.
Ryc. 2: Proces msinfo32.exe stworzony przez msconfig.exe
Inną opcją byłoby dwukrotne kliknięcie procesu, co pokazuje proces „nadrzędny” i jego identyfikator procesu.
Korzystanie z Monitora procesów
Process Monitor to kolejne wspaniałe narzędzie Windows SysInternals, które pokazuje, co działa pod maską w czasie rzeczywistym. Może śledzić procesy, system plików, rejestr i działania sieciowe w czasie rzeczywistym, a także ma inne przydatne funkcje. Pobierz Process Monitor i uruchom go.
Kliknij przycisk „Proces i aktywność wątku” i wyłącz wszystkie pozostałe przyciski. Naciśnij CTRL + E, aby rozpocząć przechwytywanie (działa jak przełącznik)
Każdy proces, który został utworzony i zakończony odtąd, jest przechwytywany i pokazywany na wyświetlaczu.
Tam możesz zobaczyć proces uruchamiania msconfig.exe msinfo.exe.
Uwaga edytora: Ta metoda jest bardzo przydatna w przypadkach, gdy nieznany proces działa tylko przez 1 lub 2 sekundy i pozostaje trudny do śledzenia za pomocą wcześniejszego narzędzia, Process Explorera. Gdzie jak w Process Monitor, nie ma znaczenia, czy proces jest nadal uruchomiony, czy zakończony, ponieważ wszystko jest rejestrowane już w okresie przechwytywania.
Happy Computing!
