あなたは今までsvchost.exeがあなたのCPUの100%を占めているのを見るためだけにWindowsのタスクマネージャに行き、Processタブをクリックしたことがありますか? 残念ながら、これはWindowsのどのプログラムが実際にすべての処理能力を使い果たしているかを把握するのに役立ちません。
Windowsには、SVCHOSTのように、Windows Update、DCOM、リモートプロシージャコール、リモートレジストリ、DNSなど、さまざまなWindowsサービスを実際に実行できるプロセスが多数あります。 あるいは、どのDLLがロードされ、どのハンドルが特定のプロセスに対して開かれているかを把握する必要があるかもしれません。 Windowsのスタートアッププログラムを無効にできるように、この情報が必要な場合もあります。
もちろん、IT部門で仕事をしているのであれば、Windowsプロセスに関する詳細情報を入手する必要があるときもあります。 Windowsプロセスを詳細に探索するための2つの本当に便利なツールがあります、そして私は両方の簡単な概要を述べるつもりです。
プロセスエクスプローラ
プロセスエクスプローラはあなたが特定のプロセスを所有する正確なWindowsサービスまたはプログラムを見つけることを可能にする気の利いたフリーウェアアプリケーションです。 たとえば、さまざまなsvchostプロセスのそれぞれに対して実行されているサービスを知りたい場合は、単にプロセス名の上にマウスを置きます。
Process Explorerを使用して、特定のファイルまたはディレクトリを開いているプログラムを特定し、そのプロセスを強制終了することもできます。 ファイルを削除または移動しようとしているが、アクティブなWindowsプロセスによってファイルがロックされているか開かれている場合、これは素晴らしいことです。
プロセスがどのDLLをロードし、どのファイルを処理して現在開いているかを調べることもできます。 DLLバージョンの問題を把握したり、ハンドルリークを追跡したりするのに非常に便利です。
プロセスモニタ
そのため、Process Explorerはsvchostなどの暗号化されたプロセスについて学ぶのに最適ですが、 Process Monitorを使用してリアルタイムのファイル、レジストリ、およびプロセス/スレッドのアクティビティを取得できます。 Process Monitorは、Sysinternalsの2つの優れた監視プログラムであるRegMonとFileMonを組み合わせたものであるため、私は本当にProcess Monitorが好きです。
それはあなたのシステムをトラブルシューティングするためのそしてまた厄介なマルウェアを根絶するための素晴らしいツールです。 Process Monitorを使用すると、プロセスによってアクセスされているファイルとレジストリキーをリアルタイムで正確に確認できるため、新しいプログラムをインストールするときに追加されたすべてのファイルとレジストリエントリを確認できます。
また、イメージパス、ユーザー、セッションID、コマンドラインなどのプロセスに関するより詳細な情報も取得します。
最初にProcess Monitorを開くと、何千ものエントリがロードされ、ほとんどの場合システムプロセスが実行しているものがロードされるため、非常に恐ろしいことがあります。 ただし、高度なフィルタを使用して、探しているものを正確に見つけることができます。
[ フィルタ ]ダイアログでは、プロセス名、イベントクラス、PID、セッション、ユーザー、バージョン、時刻、その他多数でフィルタできます。 Process Monitorをロードした後、私のマシンで80万件のイベントが見つかりました。 ただし、1つのプロセスに絞り込むためのフィルタを追加することで、500未満に抑えることができます。
また、イメージの監視(DLLおよびカーネルモードのデバイスドライバ)、非破壊フィルタリング、スレッドスタックのキャプチャ、高度なロギング、起動時のロギングなど、その他多数の高度な機能も備えています。
そのため、タスクマネージャでこれらのWindowsプロセスについてもっと知りたい、またはもっと多くの情報を得たい場合は、Process MonitorとProcess Explorerをチェックしてください。 楽しい!
