Process Explorer

很多人遇到电脑卡顿或者弹窗广告时的第一反应是打开任务管理器，但自带的任务管理器能展示的信息实在太有限了。你只能看到有个进程占用了很高的CPU，却搞不清楚这个进程是谁启动的、它调用了哪些文件、在后台偷偷做着什么。Process Explorer就是为了解决这些痛点而诞生的。

这款工具由Windows内核专家Mark Russinovich开发，后来随Sysinternals公司一同被微软收购，现在是微软官方系统工具集里的明星产品。它只有一个很小的exe文件，下载后双击就能运行，不需要安装。打开后你会发现，原本在任务管理器里隐藏得很深的那些后台进程，在这里全都暴露无遗。每个进程的完整路径、启动参数、调用的DLL模块、打开的文件句柄，全都一目了然。

更厉害的是它的“查杀能力”。普通任务管理器遇到某些顽固进程时点结束任务根本没反应，但Process Explorer可以终止几乎所有进程，甚至连系统关键进程都能结束，当然这个操作要慎重使用。它还自带一个“瞄准镜”功能，你可以把它拖到任何一个窗口上，软件会自动定位到生成这个窗口的进程，特别适合用来揪出发送弹窗广告的幕后黑手。

官网入口地址

Process Explorer的官方网站是微软Sysinternals官方页面，地址为：https://learn.microsoft.com/sysinternals/downloads/process-explorer

下载地址

建议从微软官方下载以保证文件安全可靠。官方提供两种方式：直接下载ZIP压缩包，或者通过Sysinternals Live在线运行。此外国内也有经过汉化的版本，可根据需要在正规技术社区获取。

功能介绍

进程树视图，理清父子关系
这是Process Explorer最直观的功能之一。普通任务管理器只能平铺显示所有进程，看不出谁是谁启动的。Process Explorer以树状结构展示，每个进程下面会缩排放着它创建的子进程。比如你双击一个程序，它产生的所有子进程都会挂在它下面，让你一眼看清整个软件的运行架构。

彩色编码，快速识别进程类型
软件用不同颜色给进程做了标注。粉红色代表Windows系统服务，灰色表示已经暂停的进程，紫色标识被压缩的映像文件，绿色是刚刚新启动的进程，红色则是刚结束的还在清理中的进程。这些颜色让你扫一眼就能大致判断哪些进程是正常的、哪些需要留意。

查看DLL和句柄，深入进程内部
选中一个进程，下方窗口可以切换两种模式。DLL模式会显示这个进程加载了哪些动态链接库文件，你就能看出它调用了什么功能模块。句柄模式则显示这个进程打开了哪些文件、注册表项、事件对象等，这是排查“文件被占用无法删除”问题的途径，你会知道到底是哪个进程锁住了那个文件。

强大的搜索功能
按Ctrl+F打开搜索框，你可以输入一个文件名或者注册表路径，软件会瞬间找出所有正在使用这个资源的进程。这个功能在排查病毒时特别有用，比如你发现某个可疑文件，搜索一下就能看到是哪个进程在调用它。

进程属性查看，信息量巨大
双击任意进程会弹出属性窗口，里面包含多个选项卡。映像选项卡显示程序文件的完整路径、命令行参数、运行目录、数字签名信息。性能选项卡展示CPU使用率的历史曲线、内存占用变化。线程选项卡列出该进程的所有线程，可以看到每个线程的CPU消耗。TCP/IP选项卡则显示这个进程打开了哪些网络连接、连到了什么IP地址。

资源占用实时监控
软件顶部的菜单栏可以显示CPU和内存的使用率小图标。你也可以开启系统托盘显示，随时关注电脑负载。更强大的是，它还能单独查看每个进程的GPU使用情况、磁盘读写速度、网络流量。

挂起与恢复进程
这个功能很实用但常常被忽略。当你怀疑某个进程有问题但不想直接结束它时，可以右键选择挂起。这个进程会被暂时冻结，不占用CPU也不执行任何代码，但它不会从内存中消失。确定没问题后可以再恢复运行。

校验数字签名
恶意软件会伪造文件名来欺骗用户，比如把自己命名为svchost.exe放在桌面。Process Explorer可以验证每个进程的数字签名是否有效。如果签名显示无效或者缺失，那就是一个危险信号，帮你识别伪装成系统进程的木马。

提交在线扫描
对陌生的进程文件，你可以右键选择搜索在线功能，直接跳转到搜索引擎查这个文件的信息。也可以配合VirusTotal使用，把可疑文件提交给几十个杀毒引擎同时扫描。

应用场景

揪出弹窗广告的源头
这是普通用户最常用的场景。电脑右下角突然弹出游戏广告或者低俗弹窗，任务管理器里根本看不出是谁干的。打开Process Explorer，点击工具栏上的瞄准镜图标，拖到那个广告窗口上松开，软件立马就帮你定位到生成这个弹窗的进程。看看它的文件路径，你就知道是哪个软件在作妖了。

解决文件被占用无法删除
删除文件或者卸载软件时，系统提示文件正在被使用无法操作。用Process Explorer按下Ctrl+F，输入那个文件的完整路径，搜索出来的就是正在占用它的进程。结束那个进程，再去删文件就顺利了。

排查CPU突然飙升的原因
电脑突然变卡，风扇狂转。打开Process Explorer，按CPU使用率排序，排在第一个的进程就是元凶。双击查看它的线程选项卡，可以看到是哪个具体的线程在消耗CPU资源，这对于开发人员和高级用户调试程序问题很有帮助。

检查电脑是否中了挖矿病毒
挖矿病毒会偷偷占用CPU或者显卡跑计算，但会把自己隐藏起来不被发现。Process Explorer可以发现异常，因为它能看到所有后台进程，包括那些没有窗口、没有托盘图标的隐藏程序。观察CPU和GPU的持续占用情况，如果发现不认识的进程长期高负载运行，那就要警惕了。

分析软件启动慢的原因
感觉某个软件启动特别慢，可以用Process Explorer看看它加载了多少DLL、打开了多少个文件。软件启动时会加载依赖的模块，如果某个模块加载失败或超时，启动就会变慢。进程的属性窗口里能看到加载的DLL列表和加载路径。

软件开发调试
程序开发者可以用它来调试自己的软件。查看进程的线程堆栈，了解代码卡在哪个函数里。查看句柄列表，检查程序有没有句柄泄漏的问题。查看内存占用趋势，判断是否存在内存泄漏。

定价与应用信息

Process Explorer免费，没有任何收费版本。作为微软官方系统工具集Sysinternals的一部分，它免费提供给所有Windows用户使用。软件本身是绿色便携的，不需要安装，不会向系统写入任何注册表信息，可以放在U盘里随身携带。微软会持续更新维护，以适配版本的Windows系统。