Process Explorer简易图文教程（下）

• 查看堆栈信息定位进程崩溃

出现崩溃界面，现在打开process explorer，配置好symbols path（pdb文件在编译的时候就一起生成了，拷贝到指定目录即可），找到对应的exe进程，然后双击打开属性，查看线程信息。

 

找到主线程，双击进入，查看堆栈信息。会发现程序在执行某句代码的时候就开始报错。所以直接怀疑此处代码，就能锁定问题原因了。

 

注意：process explorer工具一定要以管理员权限运行，否则看不到部分SYSTEM进程信息，影响问题定位。

 

• 查找恶意插件

查看.exe下面参与的具体dll，为了便于分类我们可以进行排序，点击company name就可以以公司名称排序，microsoft corporation是微软公司，因为系统大多都是window系统，所以进程中有大量的系统dll 那是正常的也是必不可少的。

 

除此之外的没有公司名称的dll我们就要留意，这些dll是哪个软件的。常见的系统文件有Local.nls  c-1252.NLS  sortdefault.nls 等等，当你不确定是不是系统文件的时候可以百度查询。

 

• 删除恶意插件

恶意程序注入电脑一般有两个地方，一是写入注册表，二是放在隐蔽的目录下。

 

我们可以通过process explorer工具查到恶意插件，然后定位注册表位置，和隐藏的目录。

 

鼠标双击恶意插件（比如c-1252.NLS）他将会弹出一个窗口，也就是该dll的properties（性能）。我们重点看他的path 和autostar location。

 

Path可以直接探索到他的目录，点击explore，就可以直接定位到该dll所在位置。

Autostart location可以直接探索到他的注册表，点击explore就可以直接定位到dll所注册的位置。（autostart location是(n/a）是因为该文件没有被注册).

 

• 锁定广告进程来源

电脑右下角经常会弹出很多小广告，也不知道是哪些进程弹出来的，很是烦人，在process explorer上，有个小工具，能锁定该广告所属进程，这样就能关闭删除之。

 

点击图示按钮，拖动到广告页面，放开鼠标，工具会自动定位到广告的来源进程。

 

• 查看DLL被占用无法删除

我们在日常使用中，经常会碰到删除DLL文件，提示文件正在被使用，无法删除的情况。通过process explorer工具可以快速定位该DLL是被哪个进程所使用。

 

点击右边的望远镜或者find->Find handle or DLL查找所有进程、DLL、Handle信息，

 

比如，我查找OSF.dll。结果如下：

这里有所有加载了该DLL库文件的进程，如图所示WUBWORD.EXE和OUTLOOK.EXE调用了该DLL。点击可跳转到该进程的对应信息，这个功能也可以方便查找目标进程是否成功加载了对应的dll。