프로세스 탐색기 이해
Geek School 시리즈의이 강의는 SysInternals 툴킷에서 가장 많이 사용되고 유용한 응용 프로그램 인 Process Explorer를 다루고 있습니다. 하지만이 유틸리티를 얼마나 잘 아십니까??
학교 이동- SysInternals 도구 란 무엇이며 어떻게 사용합니까??
- 프로세스 탐색기 이해
- 프로세스 탐색기를 사용하여 문제 해결 및 진단
- 프로세스 모니터 이해
- 프로세스 모니터를 사용하여 레지스트리 해킹 문제를 해결하고 찾기
- 자동 실행을 사용하여 시작 프로세스 및 맬웨어 다루기
- BgInfo를 사용하여 데스크탑에 시스템 정보 표시
- PsTools를 사용하여 명령 줄에서 다른 PC 제어
- 파일, 폴더 및 드라이브 분석 및 관리
- 함께 포장하고 사용하기
작업 관리자 및 시스템 모니터 응용 프로그램 인 Process Explorer는 2001 년 이래로 사용되어 왔으며 Windows 9x에서 작동하는 동안 현대 버전은 XP 이상 만 지원하며 현대 버전의 기능으로 계속 업데이트되었습니다. Windows. 문제 해결 프로세스를 처리하기위한 기본 표준입니다..
Explorer가 처리 할 수있는 것?
더 나은 기능 중 일부는 다음과 같습니다. 이 응용 프로그램은 많은 기능을 가지고 있으며 그 중 많은 기능이 인터페이스 내에 깊숙이 묻혀 있습니다. 놀랍게도 그것은 매우 작은 파일이기도합니다..
- 기본 트리보기는 프로세스 간의 계층 적 상위 관계를 보여 주며 색상을 사용하여 프로세스를 한 눈에 쉽게 이해합니다.
- 프로세스에 대한 매우 정확한 CPU 사용 추적.
- XP, Vista 및 Windows 7에서 특히 유용한 작업 관리자를 대체하는 데 사용할 수 있습니다..
- 여러 트레이 아이콘을 추가하여 CPU, 디스크, GPU, 네트워크 등을 모니터링 할 수 있습니다..
- 어떤 프로세스가 DLL 파일을로드했는지 알아 내기.
- 열려있는 창을 실행중인 프로세스 파악.
- 파일이나 폴더가 열려 있고 잠겨있는 프로세스 파악.
- 쓰레드, 메모리 사용량, 핸들, 객체, 기타 알기 쉬운 것들을 포함한 모든 프로세스에 대한 완전한 데이터를보십시오..
- 죽이기로 선택한 프로세스가 시작한 프로세스를 포함하여 전체 프로세스 트리를 종료 할 수 있습니다..
- 프로세스를 일시 중단하고 모든 스레드를 고정시켜 아무 작업도 수행하지 못하게 할 수 있습니다..
- 프로세스의 어느 스레드가 실제로 CPU를 초과하는지 볼 수 있습니다..
- 최신 버전 (v16)은 VirusTotal을 인터페이스에 통합하여 프로세스 탐색기를 떠나지 않고도 프로세스에 바이러스가 있는지 확인할 수 있습니다..
응용 프로그램에 문제가 있거나 컴퓨터에서 계속 멈추거나 특정 DLL 파일의 용도를 파악하려고 할 때 Process Explorer가 작업 도구입니다.
트리보기의 이해
Process Explorer를 처음 실행하면 즉시 많은 시각적 데이터가 제공됩니다. 각 프로세스에 대한 숫자 값을 사용하여 CPU 및 RAM 사용량을 비롯하여 컴퓨터에서 실행되는 프로세스의 계층 적 트리 뷰가 제공됩니다. 툴바의 상단에 작은 미니 활동 그래프가 표시되어 클릭하여 다른 창에 표시 할 수있는 CPU 사용량을 보여줍니다.
확실히 많은 일이 일어나고 있으며, 화면의 모든 것에 압도 당하기 쉽습니다..
초기 화면에는 다음을 포함하는 일련의 열이 있습니다.
- 방법 - 아이콘과 함께 실행 파일의 파일 이름 (존재하는 경우).
- CPU - 마지막 초의 CPU 시간 백분율 (또는 업데이트 속도가 설정된 값)
- 비공개 바이트 - 이 프로그램에만 할당 된 메모리 양.
- 워킹 세트 - Windows에서이 프로그램에 할당 된 실제 RAM의 양.
- PID - 프로세스 식별자.
- 기술 - 응용 프로그램에 설명이있는 경우 설명.
- 회사 이름 - 이 것은 당신이 생각하는 것보다 더 유용합니다. 무언가가 옳지 않다면 Microsoft가 아닌 프로세스를 찾아보십시오..
이 열을 사용자 정의하고 다른 많은 옵션을 추가하거나 열을 클릭하여 해당 필드별로 정렬 할 수 있습니다. 이전에 작업 관리자를 사용 해본 적이 있다면 아마 메모리 나 CPU별로 정렬했을 것입니다. 여기에서도 그렇게 할 수 있습니다.
프로세스를 클릭하면 프로세스 이름별로 정렬하거나 기본 트리보기로 되돌아갑니다. 익숙해지면 매우 유용합니다..
보기는 초당 한 번 업데이트되지만보기 -> 업데이트 속도로 이동하여 업데이트 빈도를 사용자 정의 할 수 있습니다. 최저 0.5 초, 최상위 10 초입니다. 기본값을 문제 해결하는 데이 값을 사용하는 것이 좋지만 시스템 트레이에있는 CPU 모니터로 사용하려는 경우 백그라운드에서 실행되는 동안 5 초 또는 10 초 정도 더 적은 CPU를 사용할 수 있습니다.
같은 하위 메뉴에서보기를 일시 중지하거나 스페이스 바를 누르기 만하면됩니다. 이렇게하면 시간이 지나면 스냅 샷으로 뷰가 고정되므로 시작되고 빠르게 종료되는 프로세스를 식별하려고하거나 CPU 사용량별로 정렬하고 모든 행이 계속 점프하는 경우 유용 할 수 있습니다.
그러나 신속하게 닫는 프로세스의 경우 기본보기에 추가해야하는 항목이 있으면 추가해야 할 수도 있습니다. 목록에서 존재하지 않는 프로세스를 클릭하면 세부 정보보기에 표시되지 않을 수 있습니다. 모든 작업을 일시 중지 한 경우에도 프로세스가 실행되고 있지 않습니다..
모든 색상 이해
일반적인 Process Explorer 목록에는 확실히 많은 색상이 있습니다. 초보자 괴짜에게는 다소 혼란 스러울 수 있습니다. 이 모든 색상이 무엇을 의미 하는지를 아는 것은 정말로 중요합니다. 왜냐하면 그것들은 단지 쇼를 위해서 존재하지 않기 때문입니다 - 그들은 각각 중요한 것을 의미합니다.
색상의 의미를 기억할 수 없을 때마다 메뉴에서 옵션 -> 색상 구성으로 이동하여 색상 선택 대화 상자를 표시 할 수 있습니다. 이것은 기본적으로 모든 것이 의미하는 것의 빠른 속임수입니다. 우리는 여기서도 설명 할 것이므로 계속 읽으십시오..
위 그림의 색상을 기준으로 선택한 항목 각각의 의미를 나타냅니다 (나머지는 중요하지 않음)..
- 새 객체 (밝은 녹색) - Process Explorer에 새 프로세스가 나타나면 밝은 녹색으로 시작됩니다..
- 삭제 된 개체 (빨간색) - 프로세스가 종료되거나 닫히면 삭제 직전에 빨간색으로 깜박입니다..
- 자체 프로세스 (밝은 청색) - 프로세스 탐색기와 동일한 사용자 계정으로 실행되는 프로세스.
- 서비스 (라이트 핑크) - Windows 서비스 프로세스. 다른 사용자로 실행되는 하위 프로세스가있을 수 있으며 다른 색이 될 수 있습니다..
- 정지 된 프로세스 (진한 회색) - 프로세스가 일시 중단되면 아무 것도 할 수 없습니다. 프로세스 탐색기를 사용하여 응용 프로그램을 일시 중단 할 수 있습니다. 때때로 Windows가 충돌을 처리하는 동안 충돌 한 앱이 잠시 회색으로 표시됩니다..
- 몰입 형 프로세스 (밝은 파란색) - 이것은 프로세스가 새로운 API를 사용하는 Windows 8 응용 프로그램이라고 말하는 멋진 방법 일뿐입니다. 이전에 스크린 샷에서 Metro 응용 프로그램을 실행하는 "Windows Store Host"프로세스 인 WSHost.exe를 알았을 것입니다. 어떤 이유로 Explorer.exe와 작업 관리자는 몰입 형으로 표시됩니다..
- 포장 된 이미지 (자주색) - 이러한 프로세스는 내부에 숨겨진 압축 된 코드를 포함 할 수도 있고 최소한 프로세스 탐색기는 휴리스틱을 사용하여 수행한다고 생각할 수도 있습니다. 보라색 프로세스가 표시되면 멀웨어를 검사하십시오.!
이 두 시나리오가 서로 겹치기 때문에 색상이 우선 순위에 따라 적용됩니다. 프로세스가 서비스이고 일시 중단 된 경우 해당 색상이 더 중요하기 때문에 진한 회색으로 표시됩니다.
연구하는 동안 배웠던 것부터 순서는 Suspended> Packed> Immersive> Services -> Own Processes입니다..
응용 프로그램 ID 확인
놀랍게도 놀랍게도 유용한 옵션 중 하나가 Options -> Verify Image Signatures에서 찾을 수 있습니다..
이 옵션은 목록에서 실행중인 의심스러운 응용 프로그램을 볼 때 귀중한 문제 해결 도구 인 목록의 각 실행 파일에 대한 디지털 서명을 검사합니다.
대다수의 유명 소프트웨어는이 시점에서 디지털 서명을 받아야합니다. 무언가가 아니라면, 당신이 그것을 사용해야하는지 여부를 매우주의 깊게 봐야합니다..
프로세스에 대한 조치 취하기
프로세스를 마우스 오른쪽 단추로 클릭하고 옵션 중 하나를 선택하거나 원하는 경우 바로 가기 키를 사용하여 모든 프로세스에서 신속하게 조치를 취할 수 있습니다. 해당 옵션에는 다음이 포함됩니다.
- 창문 - Bring to Front를 포함하여 프로세스와 연관된 창을 식별하는 데 도움이되는 옵션이 있습니다. 해당 프로세스에 대한 창이없는 경우 회색으로 표시됩니다..
- 우선 순위 설정 - 이를 사용하여 프로세스의 우선 순위를 구성 할 수 있습니다. 이것은 주로 죽이고 싶지 않은 가출 과정을 길들이기 할 때 유용합니다..
- 프로세스 종료 - 상상해 보시 듯이,이 과정을 빠르게 죽입니다..
- 프로세스 트리 죽이기 - 이것은 목록의 항목뿐만 아니라 그 부모 프로세스의 자식을 죽이기도합니다..
- 재시작 - 테스트하는 동안 매우 유용합니다. 프로세스를 종료 한 다음 다시 시작합니다. 프로세스를 종료하면 데이터가 손실 될 수 있음에 유의해야합니다..
- 매달다 - 이 편리한 옵션은 프로세스가 제어 불능 인 경우 문제를 해결하는 데 유용합니다. 단순히 프로세스를 종료하는 대신 일시 중단 할 수 있으며 아무 것도 빠져 있는지 확인할 수 있습니다..
- VirusTotal 확인 - 이것은 우리가 더 설명 할 새로운 옵션입니다. 그것은 바이러스에 대한 프로세스를 검사하기 때문에 실제로 매우 편리합니다..
- 온라인 검색 - 그러면 웹에서 프로세스 이름을 검색합니다..
그리고 분명히 Properties를 열면 프로세스에 대한 더 유용한 정보를 얻을 수 있습니다. 그 중 많은 부분은 다음 강의에서 다루겠습니다..
노트 : 우리는 Temp 옵션을 테스트했지만 그것이 무엇을하는지 전혀 몰랐습니다..
관리자로 실행
프로세스 탐색기를 관리자로 반드시 실행해야하는 것은 아니지만 많은 유용한 기능을 수행하지 않으면 작동하지 않으며 각 프로세스에 대한 많은 정보를 볼 수 없습니다.
Windows XP 또는 2003에서 실행하는 경우 대부분의 기능을 사용하려면 전체 관리자 권한이있는 계정으로 실행해야합니다. XP는 기본 계정에 완전한 권한을 부여했기 때문에 아마 대부분의 사람들에게는 문제가되지 않지만 관리자 권한이없는 직장에서이 권한을 사용하려고하면 제대로 작동하지 않습니다..
대부분의 독자가 Windows 7, 8.x 또는 Vista를 사용하고 있으므로 관리자로 응용 프로그램을 실행하는 데 익숙합니다. 정말 쉽습니다 ... 마우스 오른쪽 버튼을 클릭하고 메뉴에서 옵션을 선택하십시오..
재미있는 사실: Process Explorer는 실제로 디버그 프로그램 권한을 사용합니다.이 권한은 왜 그렇게 강력한 이유인지를 설명합니다..
프로세스 탐색기를 항상 관리자 권한으로 강제 실행
Process Explorer가 관리자 권한으로 열리는 것을 잊지 않고 관리자로 항상 열리도록하려면 관리자 모드가 필요한 특별한 단축키를 만들거나 procexp.exe의 속성을여십시오. Compatibility (호환성)로 이동 한 다음 "이 프로그램을 관리자로 실행"옵션을 선택하면.
어느 쪽이든 괜찮아 질 것입니다. 또는 원하는 경우 UAC를 비활성화하면 모든 것이 관리자로 항상 실행됩니다. 우리는 그것을 권하지 않고 있지만 할 수 있습니다..
프로세스 탐색기를 사용하여 작업 관리자 바꾸기
프로세스 탐색기는 Windows 8 이전의 모든 Windows 버전에서 이전에 빈약 한 작업 관리자 응용 프로그램을 강력하게 대체하는 데 오랫동안 사용되어 왔으며 손에 실제 능력을 원한다고 가정하면이 버전에서도 대체로 잘 작동합니다..
노트 : Windows 8의 작업 관리자는 이전 버전보다 크게 향상되었습니다. Process Explorer만큼 강력하지는 않지만 일반 사용자가 사용하는 것이 더 쉽습니다. 엄마의 컴퓨터를 Process Explorer로 기본 설정하지 마라..
프로세스 탐색기를 작업 관리자로 바꾸려면 메뉴에서 옵션 -> 작업 관리자 바꾸기 옵션을 선택하기 만하면됩니다. 그게 다야..
일단 CTRL + SHIFT + ESC를 사용하거나 작업 표시 줄을 마우스 오른쪽 버튼으로 클릭하면 작업 관리자가 아닌 프로세스 탐색기가 실행됩니다. 쉽고, 옳은?
경고: 작업 관리자를 교체하는 경우 실수로 파일을 이동하거나 삭제하지 않는 곳에 Process Explorer를 설치했는지 반드시 확인하십시오. 그렇지 않으면 어떤 작업 관리자도 시작할 수없는 시스템에 빠지게됩니다..
프로세스 탐색기를 멋진 트레이 아이콘 모니터로 사용
Process Explorer의 가장 큰 특징 중 하나는 시스템 트레이로 최소화하는 기능이지만 단일 아이콘 대신 CPU, I / O, 디스크, 네트워크, GPU를 모니터링 할 수있는 전체 아이콘으로 최소화 할 수 있습니다 , 및 RAM, 또는 이들의 임의의 조합을 포함 할 수있다. 원하는 경우 별도로 표시하거나 표시하지 않도록 구성 할 수 있습니다..
이를 설정하려면 Options (옵션) 메뉴를 열고 Tray Icons (트레이 아이콘) 섹션으로 이동 한 다음을 클릭하여보고 싶은 각 트레이 아이콘을 활성화하십시오.
컴퓨터를 시작할 때마다 프로세스 탐색기를 실행 한 다음 시스템 트레이에 최소화하여 항상 사용자를 위해있을 수 있습니다. 물론 작업 관리자를 교체하는 옵션을 사용하면 바로 가기 키를 사용하여 언제든지 신속하게 액세스 할 수 있습니다. "하나만 인스턴스 허용"옵션을 사용하여 별도 창문 묶음.
Process Explorer를 사용하여 VirusTotal을 빠르게 검색
문제가있는 PC로 작업하면서 프로세스가 바이러스인지 알아 내려면 프로세스 탐색기 버전 16 이상을 사용하여 VirusTotal 통합을 응용 프로그램에 직접 추가했기 때문에 시간을 절약 할 수 있습니다. 옵션을 보려면 목록에서 아무 것도 마우스 오른쪽 버튼으로 클릭하기 만하면됩니다..
처음 실행하면 VirusTotal 이용 약관에 동의하라는 요청을 받게되지만, 그렇게하면 VirusTotal 결과가 목록에 바로 표시됩니다.
결과를 클릭하면 VirusTotal으로 이동하여 세부 정보를 볼 수 있습니다. 최고의 유틸리티 중 하나에 새롭게 추가되었습니다..
다음 단원 : 프로세스 탐색기를 사용하여 문제 해결 및 진단
이 시리즈의 다음 강의에서는 실제 환경에서 Process Explorer를 사용하여 악성 코드 및 Crapware와 같은 일반적인 문제를 해결하는 방법에 대해 자세히 설명합니다. 시리즈의 나머지 부분을 위해 계속 지켜봐주십시오..