Как посмотреть завершенные процессы в windows
Перейти к содержимому

Как посмотреть завершенные процессы в windows

  • автор:

Поиск идентификатора процесса

Каждому процессу, работающему в Windows, присваивается уникальное десятичное число, которое называется идентификатором процесса (PID). Это число используется несколькими способами, например для указания процесса при присоединении к нему отладчика.

В этом разделе описывается, как определить piD для конкретного приложения с помощью диспетчера задач, команды списка задач Windows, служебной программы TList, команды PowerShell Get-Process или отладчика.

Диспетчер задач

Диспетчер задач можно открыть несколькими способами, но проще всего нажать клавиши CTRL+ALT+DELETE, а затем выбрать диспетчер задач.

В Windows сначала щелкните Дополнительные сведения , чтобы развернуть отображаемые сведения. На вкладке Процессы выберите Сведения , чтобы просмотреть идентификатор процесса, указанный в столбце PID .

Снимок экрана: диспетчер задач в Windows 11 с номерами процессов, отсортированных по имени пользователя.

Щелкните имя любого столбца для сортировки. Щелкните правой кнопкой мыши имя процесса, чтобы просмотреть дополнительные параметры процесса.

Некоторые ошибки ядра могут привести к задержкам в графическом интерфейсе диспетчера задач.

Команда списка задач

Используйте встроенную команду windows tasklist из командной строки для отображения всех процессов, их идентификаторов piD и различных других сведений.

C:\>tasklist Image Name PID Session Name Session# Mem Usage ========================= ======== ================ =========== ============ System Idle Process 0 Services 0 8 K System 4 Services 0 7,428 K Secure System 104 Services 0 40,344 K Registry 164 Services 0 146,596 K smss.exe 592 Services 0 1,176 K csrss.exe 896 Services 0 6,224 K wininit.exe 980 Services 0 6,572 K . 

Используйте tasklist /? для отображения справки из командной строки.

Служебная программа TList

Средство просмотра списка задач (TList), или tlist.exe, — это служебная программа командной строки, которая отображает список задач или процессов в пользовательском режиме, которые в настоящее время выполняются на локальном компьютере. Список TList включен в средства отладки для Windows. Сведения о том, как скачать и установить средства отладки, см. в разделе Средства отладки для Windows.

Если вы установили пакет драйверов Windows в каталоге по умолчанию на 64-разрядном компьютере, средства отладки находятся здесь:

C:\Program Files (x86)\Windows Kits\10\Debuggers\x64\

При запуске TList из командной строки отобразится список всех процессов в пользовательском режиме в памяти с уникальным номером PID. Для каждого процесса отображается pid, имя процесса и, если процесс имеет окно, заголовок этого окна.

C:\Program Files (x86)\Windows Kits\10\Debuggers\x64>tlist -t System Process (0) System (4) smss.exe (592) Memory Compression (3376) Secure System (104) Registry (164) csrss.exe (896) wininit.exe (980) services.exe (660) svchost.exe (1232) WmiPrvSE.exe (6008) dllhost.exe (1748) WmiPrvSE.exe (1860) . 

Дополнительные сведения см. в разделе TList.

Команда отладчика .tlist

Если в рассматриваемой системе уже запущен отладчик пользовательского режима, команда .tlist (список идентификаторов процессов) отобразит список всех идентификаторов piD в этой системе.

Команда Get-Process PowerShell

Для работы со сценариями автоматизации используйте команду PowerShell Get-Process. Укажите конкретное имя процесса, чтобы просмотреть идентификатор процесса.

C:\> Get-Process explorer Handles NPM(K) PM(K) WS(K) CPU(s) Id SI ProcessName ------- ------ ----- ----- ------ -- -- ----------- 2520 404 108948 179284 1,702.95 7656 1 explorer 

Дополнительные сведения см. в разделе Get-Process.

Дополнительные ресурсы

Дополнительные сведения о внутренних компонентах Windows (включая контекст, потоки и процессы) см. в дополнительных ресурсах, таких как Windows Internals Павла Йосифовича, Марка Руссиновича, Дэвида Соломона и Алекса Ионеску.

Просмотр состояния выполняющегося процесса

Примечание: Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке) .

После запуска рабочего процесса для документа или элемента отслеживать ход его выполнения можно на странице «Состояние рабочего процесса».

Предполагаемое действие

  • Сведения о странице » состояние рабочего процесса
  • Просмотр состояния рабочего процесса

Общие сведения о странице «Состояние рабочего процесса»

Страница «Состояние рабочего процесса» содержит указанные ниже сведения и параметры.

  • Имя пользователя, запустившего рабочий процесс.
  • Дата и время запуска рабочего процесса.
  • Дата и время последнего запуска рабочего процесса.
  • Имя документа или элемента, включенного в рабочий процесс, и ссылка на него.
  • Текущее состояние рабочего процесса.
  • Параметр для завершения рабочего процесса. Например, если оказалось, что процесс не работает, его можно завершить. Состояние рабочего процесса получит значение «Отменено».
  • Список задач, назначенных участникам рабочего процесса.
  • Списки всех событий в журнале рабочего процесса на данный момент (таких как запуск процесса, создание задачи, завершение задачи).

Просмотр состояния рабочего процесса

На страницу «Состояние рабочего процесса» можно перейти непосредственно из списка или библиотеки, в которой сохранен документ или элемент, включенный в рабочий процесс.

  1. Если список или библиотека, содержащие элемент, для которого нужно просмотреть состояние рабочего процесса, еще не открыты, щелкните соответствующее имя на панели быстрого запуска. Если имя нужного списка или библиотеки не отображается, в меню Действия сайта выберите команду Просмотреть весь контент сайта, а затем выберите имя списка или библиотеки.
  2. Наведите указатель мыши на документ или элемент, включенный в рабочий процесс, щелкните появившуюся стрелку и выберите пункт Рабочие процессы.
  3. В группе Выполняющиеся рабочие процессы выберите имя рабочего процесса, состояние которого требуется просмотреть.
  4. На странице «Состояние рабочего процесса» просмотрите сведения о рабочем процессе.

Как проверить список запущенных на компьютере программ

С помощью диспетчера задач можно просмотреть список программ, запущенных на данный момент на компьютере. Если программа не отвечает, с помощью диспетчера задач можно просмотреть ее состояние.

Список приложений, работающих на компьютере

  1. Откройте диспетчер задач (нажмите одновременно Ctrl + Alt + Delete ).
  2. Перейдите на вкладку Процессы для просмотра списка всех программ, которые на данный момент работают на компьютере, и их состояния.

Если программа не отвечает и её нужно закрыть, щелкните программу и нажмите кнопку Завершить задачу . Все несохраненные изменения, совершенные во время работы с программой, будут потеряны.

7 способов узнать, кто и чем занимался на компьютере в ваше отсутствие (+бонус)

Вы вернулись за свое рабочее место и чувствуете, что что-то не так… Монитор стоит под непривычным углом, какие-то крошки на клавиатуре и столе. Вы подозреваете, что кто-то пользовался компьютером в ваше отсутствие? Что же, вполне возможно. Однако доказать вы это не сможете. Или все-таки способ есть? В этой статье я расскажу, как это можно доказать и как поймать с поличным неизвестного.

На самом деле никакая деятельность на компьютере не проходит бесследно. Конечно, если ваш незваный гость не хакер-профессионал. Нет у вас таких знакомых? Тогда начинаем. Начнем с самого простого и постепенно будем углубляться в недра операционной системы.

1. Проверяем историю браузеров

Читайте также:

Для начала проанализируем историю посещения страниц в Интернете. Эта информация может быть добыта из журналов браузеров, который старательно хранит список всех посещенных сайтов.

Например, в браузере Google Chrome это делается так. Напишите в строке адреса «chrome://history/» или нажмите сочетание Ctrl-H. Результат представлен на рисунке.

Читайте также:

  1. 10 распространенных ошибок неопытных пользователей Windows
  2. 2 способа восстановить удаленные файлы в Windows без сторонних утилит
  3. 5 мифов и правдивых высказываний про Windows 10
  4. Почему не нужно очищать Корзину Windows
  5. Как легко выжить без стороннего антивируса на компьютере

2. Проверяем, что искали в Google

Смотрите также

Компания Google очень аккуратно собирает всю историю ваших действий во всех его сервисах и приложениях. И вы, как владелец этих персональных данных, можете проверить всю свою историю в любой момент. Собственно, как и удалить ее, или даже запретить Google сохранять все эти данные.

Среди всей хранимой в Google информации можно найти как поисковые запросы и посещенные сайты, так и открываемые приложения на телефонах.

История действий и веб-поиска Google

Если кто-то в ваше отсутствие пользовался компьютером и использовал сервисы Google под вашей учетной записью, то вы легко сможете увидеть, что именно просматривалось, куда заходил этот человек, какие поисковые запросы вводил и многое другое.

3. Заглянем в Корзину

Вполне вероятно, что неизвестный мог что-то удалить и забыть при этом очистить Корзину. Во-первых, это позволит понять, что именно было удалено. Во-вторых, позволит восстановить это что-то, если оно важно для вас или представляет какой-то интерес для дальнейшего расследования в изучении действий неизвестного.

Проверяем Корзину Windows

Для этого просто открываем Корзину и сортируем файлы и папки в ней по дате удаления. Просто кликаем по заголовку столбца «Дата удаления» и содержимое сортируется в нужном нам порядке. Ищем интересующий период времени и смотрим, было ли что-то удалено и что именно (если было).

Не исключено, что неизвестный удалил это из Корзины или целиком ее очистил в процессе заметания следов. Но чем черт не шутит, потому лучше всего перепроверить.

4. Недавно измененные файлы

В меню под кнопкой «Пуск» Windows (кроме Windows 8) есть пункт «Недавние файлы»). Там вы также найдете следы деятельности неизвестного. Чтобы выяснить подобную статистику в Windows 8 придется сделать следующие действия: жмем Win+R, в окне пишем «recent» и нажимаем Enter. Откроется папка недавних файлов.

Конечно, может и не повезти, если неизвестный знает о возможности очистить эту папку. Но ее пустота станет еще одним доказательством чужого вмешательства. Ведь вы этого не делали!

Тем не менее, и в случае очистки папки недавних файлов сделать кое-что можно. Откройте Проводник и попробуйте поискать на диске C (можно искать по всем дискам, если у вас их много) файлы с недавней датой изменения.

5. Папка «Загрузки»

Не лишним будет заглянуть в папку «Загрузки» и глянуть, было ли что-то скачено в период вашего отсутствия. Если было, то вы увидите это сразу.

Проверяем папкц Загрузки

Для этого просто отсортируйте данные по дате создания (столбец «Дата», переключившись предварительно на вкладке «Вид» в редим «Таблица».

6. Ищем программы, которые запускались в ваше отсутствие

В последних версиях операционной системы Windows (если не ошибаюсь, что начиная с 7 или даже с Vista) среди атрибутов файла имеется поле «Дата открытия». Соответственно, она означает, когда пользователь совершил на нем двойной клик и запустил его.

Дата последнего открытия файла

Для этого нам необходимо найти все программы. Запускаем Проводник и заходим в папку «C:\Program Files\», в правом верхнем углу в поле для поиска вводим поисковой запрос «*.exe» и жмем Enter.

Ищем EXE-файлы в Program Files

В списке начнут появляться исполняемые файлы, которые находятся в этой папке.

Переходим в меню настройки столбцом Проводника

Нам нужно на вкладке «Вид» переключиться в режим «Таблица». Затем кликнуть по заголовку любого столбца правой кнопкой мышки и в появившемся меню выбрать пункт «Подробнее…».

Активируем колонку Дата доступа

В появившемся маленьком окошке ищем пункт «Дата доступа», устанавливаем напротив него галочку и жмем ОК.

Список программ по дате запуска

Остается кликнуть по заголовку столбца «Дата доступа» и найти интересующий период времени, когда предполагаемый неизвестный что-то делал на компьютере.

Для 64-разрядных Windows есть еще одна папка — «C:\Program Files (x86)\». Проделайте там те же действия.

Также не забывайте о папке с играми, если они установлены в другом месте (например, на другом диске). Так стоит проделать те же действия. Ну и, конечно же, если у вас есть еще где-то установленные программы, то стоит заглянуть туда тоже.

Обратите внимание! Если вы с момента включения компьютера запускали какие-либо приложения, то данные о предыдущем запуске будут удалены. Если неизвестный запускал ранее те же приложения, что запустили вы после него, то в свойствах файла этих приложений будет дата вашего запуска. Дату предыдущего запуска узнать будет уже нельзя в данном случае.

7. Анализируем файлы журналов

Журналы Windows содержат довольно много информации о работе пользователей, ходе загрузки операционной системы и ошибках в работе приложений и ядра системы. Вот туда мы и заглянем в первую очередь.

Откройте «Панель управления» (Control Panel), найдите пункт «Администрирование» (Administrative Tools) и выберите «Управление компьютером» (Computer Management).

Здесь вы увидите «Просмотр событий» (Event Viewer) в левой навигационной панели. Вот в этом пункте меню и находятся «Журналы Windows». Их несколько: Приложение, Безопасность, Установка, Система.

Журнал безопасности

Нас сейчас больше всего интересует журнал безопасности. Он обязательно содержит информацию о входе в систему всех пользователей. Найдите запись о вашем последнем выходе из системы. А все записи журнала, которые будут расположены между вашим последним выходом и сегодняшним входом — это следы деятельности другого лица.

Журнал приложений

Теперь перейдем к журналу приложений. Он тоже очень важен для нашего маленького расследования. Этот журнал содержит информацию о приложениях, которые были запущены в наше отсутствие. Для подтверждения факта, что не вы эти приложения запускали, ориентируйтесь на время события.

Итак, анализируя два этих журнала, вы точно определите не только сам факт входа под вашим именем в ваше отсутствие, но и определите приложения, которые запускал этот неизвестный.

[Бонус] Ставим ловушку для неизвестного

Вот теперь, имея все доказательства на руках, мы можем предположить, кто использует наш компьютер и поговорить с ним. Но еще лучше взять его с поличным! Для этого можно использовать штатный Планировщик задач Windows.

При создании задачи укажите событие (триггер) «Вход в Windows».

Теперь продумайте, что вы бы хотели сделать, когда без вас кто-то войдет в компьютер. Самый простой вариант — послать самому себе письмо, например, на коммуникатор.

Хотя лично мне больше понравился бы вариант «Запустить программу». А потом бы я скачал какую-нибудь программу-розыгрыш из тех, что переворачивают экран или вызывают его «осыпание». Представьте себе лицо неизвестного в этот момент!

Понравилась статья? Поделитесь!

Читайте также:

  1. 10 распространенных ошибок неопытных пользователей Windows
  2. 2 способа восстановить удаленные файлы в Windows без сторонних утилит
  3. 5 мифов и правдивых высказываний про Windows 10
  4. Почему не нужно очищать Корзину Windows
  5. Как легко выжить без стороннего антивируса на компьютере

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *