Просмотр дерева процессов
Одним из уникальных атрибутов, относящихся к процессу и неотображаемых большинством инструментальных средств, является идентификатор родительского процесса или процесса-создателя (parent or creator process ID). Это значение можно извлечь с помощью Системного монитора (Performance Monitor) или программным способом, путем запроса Creating Process ID. Дерево процессов может показать такое средство, как Tlist.exe (из состава предназначенных для Windows средств отладки Debugging Tools), используемое с ключом /t.
Для просмотра списка служб, запущенных внутри процесса из окна командной строки, можно также воспользоваться инструментальным средством tlist.exe из комплекта Debugging Tools for Windows, или средством Tasklist, поставляемым с Windows. Для просмотра служб из Tlist можно использовать этот синтаксис:
tlist /s
А для просмотра из tasklist этот:
tasklist /svc
Эти утилиты не показывают отображаемые имена служб или описания, они показывают только имена служб.
Рассмотрим пример вывода, полученного в результате выполнения команды tlist /t:
C:\>tlist /t
System Process (0)
System (4)
smss.exe (224)
csrss.exe (384)
csrss.exe (444)
conhost.exe (3076) OleMainThreadWndName
winlogon.exe (496)
wininit.exe (504)
services.exe (580)
svchost.exe (696)
svchost.exe (796)
svchost.exe (912)
svchost.exe (948)
svchost.exe (988)
svchost.exe (244)
WUDFHost.exe (1008)
dwm.exe (2912) DWM Notification Window
btwdins.exe (268)
svchost.exe (1104)
svchost.exe (1192)
svchost.exe (1368)
svchost.exe (1400)
spoolsv.exe (1560)
svchost.exe (1860)
svchost.exe (1936)
svchost.exe (1124)
svchost.exe (1440)
svchost.exe (2276)
taskhost.exe (2816) Task Host Window
svchost.exe (892)
lsass.exe (588)
lsm.exe (596)
explorer.exe (2968) Program Manager
cmd.exe (1832) Administrator: C:\Windows\system32\cmd.exe - "c:\tlist.exe" /t
tlist.exe (2448)
Чтобы показать взаимоотношения каждого процесса с его родительскими и дочерними процессами, применяются отступы. Процессы, родители которых прекратили свое существование, выровнены по левому краю, поскольку, даже при наличии прародительского процесса, способов обнаружения связи с ним просто не существует. Windows сохраняет только идентификатор процесса-создателя и не дает ссылок на создателя этого создателя и т. д.
Чтобы продемонстрировать тот факт, что Windows не отслеживает более одного идентификатора родительского процесса, выполните следующие действия:
1. Откройте окно командной строки.
2. Наберите title Parent, чтобы изменить заголовок окна на «Parent» (родительский).
3. Наберите start cmd (что приведет к запуску второго окна командной строки).
4. Наберите во втором окне командной строки title Child, чтобы изменить заголовок окна на «Child» (дочерний).
5. Откройте Диспетчер задач.
6. Наберите во втором окне командной строки mspaint (команду, запускающую Microsoft Paint).
7. Снова обратитесь ко второму окну командной строки и наберите exit. (Заметьте, что Paint остается в рабочем состоянии.)
8. Перейдите в Диспетчер задач.
9. Щелкните на вкладке Приложения.
1 0. Щелкните правой кнопкой мыши на задаче Parent и выберите пункт
Перейти к процессу.
11. Щелкните правой кнопкой мыши на процессе cmd.exe и выберите пункт Завершить дерево процессов.
1 2. В окне подтверждения Диспетчера задач щелкните на кнопке Завершить дерево процессов.
Первое окно командной строки исчезнет, но по-прежнему можно будет наблюдать окно программы Paint, поскольку оно было потомком во втором поколении завершенного процесса командной строки. Поскольку промежуточный процесс (родительский по отношению к Paint) был завершен, связь между родительским процессом и его потомком во втором поколении была утрачена.
Просмотр ин формации о процессах с помощью Диспетчера задач
Встроенный в Windows Диспетчер задач предоставляет краткий список процессов, идущих в системе. Запустить этот диспетчер можно одним из четырех способов: 1) нажатием клавиш Ctrl+Shift+Esc, 2) щелчком правой кнопки мыши на панели задач с последующим выбором пункта Запустить диспетчер задач, 3) нажатием клавиш Ctrl+Alt+Delete с последующим щелчком на кнопке Запустить диспетчер задач, или 4) запуском исполняемой программы Taskmgr.exe. Чтобы увидеть перечень процессов, нужно после запуска Диспетчера задач щелкнуть на вкладке Процессы. Обратите внимание на то, что процессы идентифицируются по именам тех образов, экземплярами которых они являются. В отличие от некоторых объектов Windows, процессам нельзя давать глобальные имена. Чтобы посмотреть дополнительную информацию, выберите в меню Вид пункт Показать столбцы и отметьте те столбцы, которые нужно добавить.
Вполне очевидно, что на вкладке Процессы Диспетчера задач показывается список процессов, а вот о содержимом вкладки Приложения с такой же долей очевидности судить нельзя. Там показывается список видимых окон верхнего уровня на всех Рабочих столах интерактивного оконного терминала, к которому вы подключены. (По умолчанию есть только один интерактивный Рабочий стол, но приложение может создать и больше, если воспользуется функцией Windows CreateDesktop, как это сделано в средстве Sysinternals Desktops.) В столбце Состояние показывается, находится ли поток, являющийся владельцем окна, в состоянии ожидания сообщения от этого окна. Состояние «Работает» означает, что поток ожидает поступления в это окно какого-нибудь ввода, а состояние «Не отвечает» означает, что поток не ждет поступления ввода в окно (например, поток может быть запущен или же находиться в ожидании ввода-вывода или в ожидании изменения состояния какого-нибудь объекта синхронизации Windows).
На вкладке Приложения можно сопоставить задачу тому процессу, который является владельцем потока, являющегося владельцем окна задачи. Для этого нужно щелкнуть правой кнопкой мыши на имени задачи и выбрать пункт Перейти к процессу, как показано в предыдущем эксперименте со средством tlist.