IT 與攝影 ─ 黑喵的家

Windows 是一套令人又愛又恨的作業系統，由於設計理念上，微軟把 Windows 定位在任何人都能夠輕鬆上手，因此，像一些 Unix 一般輕鬆可以讓管理者掌握的工具，Windows 上雖然有，但是相當難用。比如說像 Unix 上的 ps 指令這類的 Process List 工具來說好了，在 Windows 上必須用那個難用得不得了的「工作管理員」，如果你和我一樣常常想看看是哪一個 process 是吃掉資源的大怪獸，把 CPU 和 DRAM 吃掉一大堆，而讓機器慢到不行，常常覺得工作管理員實在難用至極。

除此以外，在今天大家都可以輕鬆使用 Internet 的今天，常常也會遇到有居心不良的人利用一些人性的弱點，或是直接寫成 MSN 蠕蟲，大量散布一些木馬，好一點的只是蒐集你的上網習慣，糟糕一點的是綁架你的機器作一些他想做的一些壞事，當這些蠕蟲被啟動時，你的機器常常是所有資源全被蠕蟲綁走了。而有些蠕蟲或病毒的作者很可惡，還故意把蠕蟲或病毒的執行程式取名和你常在使用的程式的執行檔名相同，只是放在不同的目錄下。這時你會覺得工作管理員真的是爛透了，因為在工作管理員下看來，所以檔名都是相同，卻看不出哪個 process 才是偽裝者(比如去年發生的中國黑客散布偽裝成卡巴斯基 avp.exe 的蠕蟲，就是放在 %SystemRoot% 下，而不是放在卡巴斯基的安裝目錄下，當時很多卡巴斯基的用戶卻誤以為卡巴斯基被駭)，所以這時會讓人覺得，如果有一套更好的 process list 工具該多好？微軟當然也知道，所以在他們 TechNet 網站上有一個子網站，叫做 SysInternals，裏面就充斥著一些這類的工具。這個 SysInternals 網站原本並不屬於 Microsoft，而是  Mark Russinovich and Bryce Cogswell 兩位先生在 1996 年創立的，裏面放了一堆這兩位先生寫的一些免費而好用的系統工具，微軟在去年(2006 年)七月把這個網站合併，成為 TechNet 的子網站，這個子網站裏面有相當多的系統管理工具和專門文章，相當值得挖寶。而我今天要介紹 SysInternals 所提供的有 Process Utilities 當中最簡單、好用的 Process Explorer for Windows。

Process Explorer for Windows 目前已經是 10.21 版，可見得它是一套相當成熟的工具，不像網路上充斥的一些仍在 Beta 就丟出來的不穩定工具。Process Explorer for Windows 以 GUI 介面，樹狀結構方式，將系統中正在執行的所有程序列出(由於保護我自己的系統安全，下圖取自微軟的 SysInternals 網站，並不是我自己抓取自己系統的清單)：
(圖片取自 SysInternals)

這個樹狀結構圖是以父程序->子程序以樹狀的方式列出，並且依照程序的特性，標示不同的顏色，可以很輕鬆看出，每個程序是被哪一個程序呼叫，以及它目前使用的 CPU 比例。當你把滑鼠游標移到該程序時，會跑出一個 tips，秀出該 process 的執行程所在位置，你就可以從這個位置判斷該程式是否是被偽裝的木馬。這個清單的欄位還可以自訂，可以列出所有你想要看的資訊。所以一旦你的機器出現一些異常的狀態時，可以用這個工具很快的找到原因。

Process Explorer for Windows 是所謂的綠色軟體，請到它的網頁最下方的 Download Process Explorer (1.5 MB) 直接下載(從我這裏的 hyperlink 也可以直接下載，但是不保證這個 URL 永遠有效)，它是 ZIP 型式，把它解壓縮後，直接執行目錄下的 procexp.exe 就可以了。還有，XP SP2 的用戶，必須把這個目錄中的 procexp.chm 解除封鎖，說明檔才能正確顯示。解除封鎖的方法是直接在 Windows 檔案總管中下找到 procexp.chm，在它的 icon 上按下滑鼠右鍵，在下拉選單上選內容，就可以看到該檔案被封鎖的原因，以及解除封鎖用的按鍵。