Как определить родительский процесс запущенного процесса в Windows?
Возможно, вы сталкивались с ситуациями, когда непрерывная работа жесткого диска происходит, хотя ваша система находится в режиме ожидания. Если вы откроете диспетчер задач из любопытства, вы можете обнаружить, что несколько процессов запускаются и выходят самостоятельно, и вы ничего не делаете. Это может быть задание резервного копирования по расписанию, сторонняя программа обслуживания системы или что-то, что может сбивать ваш жесткий диск. Это может быть даже вредоносное ПО. Но какое приложение или процесс запускает их?
Вы можете найти больше информации об исполняемом файле, выполнив поиск в Интернете. Знание родительского процесса запущенного процесса также важно, и это может быть достигнуто многими способами. Вот несколько способов узнать родительский процесс и идентификатор процесса запущенного процесса.
Использование Process Explorer
Process Explorer - отличная программа, которая расскажет вам все, что вы хотите знать о запущенных процессах. Скачайте Process Explorer, разархивируйте и запустите исполняемый файл.
$config[ads_text6] not foundВ целях иллюстрации я запускаю инструмент информации о системе (msinfo32.exe) на вкладке «Инструменты» утилиты настройки системы (MSConfig.exe).
В Process Explorer нажмите CTRL + T, чтобы переключиться в режим просмотра дерева (вид по умолчанию), как показано ниже. Это представление показывает список процессов, запущенных родительским процессом.
Рис 2: процесс msinfo32.exe, созданный msconfig.exe
Другой вариант заключается в двойном щелчке по процессу, который показывает «родительский» процесс и его идентификатор процесса.
Использование Process Monitor
Process Monitor - еще один потрясающий инструмент от Windows SysInternals, который показывает, что работает в режиме реального времени. Он может отслеживать процессы, файловую систему, реестр и сетевую активность в режиме реального времени, а также имеет другие полезные функции. Загрузите Process Monitor и запустите его.
Нажмите кнопку «Процесс и активность потока» и отключите все остальные кнопки. Нажмите CTRL + E, чтобы начать захват (действует как переключатель)
Любой процесс, который создан и завершен с этого момента, фиксируется и отображается на дисплее.
Там вы можете увидеть процесс запуска msconfig.exe msinfo.exe.
Примечание редактора: этот метод очень полезен в тех случаях, когда неизвестный процесс выполняется только в течение 1 или 2 секунд, и его трудно отследить с помощью более раннего инструмента, Process Explorer. Как и в Process Monitor, не имеет значения, запущен ли процесс или завершен, так как все записывается уже в течение периода захвата.
Удачного Вычисления!
