Process Explorer est un gestionnaire de tâches gratuit proposé par SysInternals.
La fonction première du gestionnaire de tâches de Windows est d’afficher et lister les processus en cours d’exécution.
Mais aussi arrêter ou suspendre un processus en cours d’exécution.
Process Explorer va plus loin car il donne accès aux handles, fichiers DLL chargés/ouverts par chaque processus.
Enfin l’outil peut aussi aider à visualiser les ressources systèmes comme l’utilisation CPU, l’utilisation mémoire, GPU et l’utilisation disque globale et par application.
Voici un tutoriel complet sur Process Explorer son utilisation, ses fonctionnalités, etc.
Table des matières
- 1 Comment télécharger Process Explorer et premier démarrage
- 2 Comment lister les processus de Windows avec Process Explorer
- 3 Comment vérifier l’utilisation CPU, mémoire, disque ou réseau
- 4 Comment scanner les processus en cours d’exécution avec plusieurs antivirus dans VirusTotal
- 5 Analyser l’utilisation mémoire de Windows 10/11 avec Process Explorer
- 6 Comment trouver le processus lié à une fenêtre avec Process Explorer
- 7 Utilisation avancée de Process Explorer : Vundo/Virtumonde’s kicking asses
- 8 Liens
Comment télécharger Process Explorer et premier démarrage
Voici le lien pour télécharger Process Explorer :
- Exécutez Process.exe si vous êtes en 32bis ou procexp64.exe pour un Windows 64bits : Comment savoir si Windows est en 32-bits ou 64-bits
- Pour bénéficier pleinement des fonctionnalités de Process Explorer, exécutez le en administrateur. Pour cela, faites un clic droit sur l’exécutable puis Exécuter en tant qu’administrateur
Voici une description et présentation de l’interface de Process Explorer
Comment lister les processus de Windows avec Process Explorer
Une fois démarré, vous obtenez la liste des processus en cours d’exécution.
Par défaut, les colonnes suivantes s’affichent :
- Process : le nom du processus
- PID : le numéro du processus
- CPU : l’utilisation processeur
- Description : le Description du processus
- Company Name : Le nom de l’éditeur
- User name : le nom d’utilisateur qui exécute le processus (Système, SERVICE LOCAL, l’utilisateur courant)
L’affichage des processus peut se faire de manière linéaire ou en arborescence (View / Show Process Tree).
Personnellement, je préfère cette affichage car on peut visualiser les processus parents et enfants.
Cela permet très rapidement de voir lorsqu’un processus lance un autre processus.
L’affichage du User Name (l’utilisateur avec lequel le processus a été lancé) peut aussi être intéressant.
Dans la capture d’écran ci-dessous, on liste facilement les processus démarrés par l’utilisateur Robert mais aussi les processus systèmes démarrés par SYSTEM.
Les colonnes donnent les informations relatives à ces derniers comme le (PID, utilisation CPU, description etc).
On peut bien tendu paramétrer les colonnes à depuis le menu View / Columns.
Enfin vous pouvez effectuer une recherche de processus par le nom grâce au champs de recherche en haut à droite.
Par exemple, ci-dessous, on rechercher par svchost.exe (Processus hôte pour les services Windows).
Les codes couleurs
Process Explorer est un vrai petit sapin de noël avec des codes couleurs qui apportent des informations supplémentaires.
Voici la légende par défaut des couleurs (modifiable par le menu Options / Configure Highlighting).
- New objets : Nouveau processus lancé. Le processus qui vient d’être lancé sera en légende rouge pour passer dans une autre couleur selon le type d’élément.
- Deleted Objets : Processus en cours de terminaison.
- Own Processes : Processus démarrés par l’utilisateur courant.
- Services : Services
- Packed Images : Processus packés. Les packers sont des utilitaires qui permettent de compresser et/ou encrypter des exécutables. Ceci permet par exemple de protéger des analyses antivirus. Les malwares ne sont pas les seules à utiliser les packers. Par exemple, le programme d’installation d’un logiciel (setup) peut en utiliser.
- Jobs : Les tâches Planifiées
- .NET Processes : Programmes écrit en .NET
- Relocated DLL : La DLL n’est pas chargée dans son espace mémoire habituelle.
Un clic droit sur un processus permet de gérer celui-ci notamment :
- Kill Process : tue le processus en cours
- Kill Process Tree : tue le processus parents et ses enfants
- Restart : termine et relance le processus, le processus parent sera celui de Process Explorer
- Suspend : Suspend l’exécution du processus, celui-ci est “freez”
- Properties : permet d’ouvrir une fenêtre informative sur le processus (voir plus bas).
Enfin le menu Find permet de faire une recherche sur une ressource (DLL, fichier etc.). Par exemple pour savoir si celle-ci est en cours d’utilisation.
Colonne et mesures CPU, GPU, mémoire, réseau et disque
Les colonnes sont paramétrables pour afficher les informations souhaitées.
Vous pouvez donc ajouter des colonnes pour mesurer l’utilisation GPU, la mémoire ou même les connexions réseaux et débits.
Pour ajouter une colonne, faites un clic droit sur une colonne puis Select Columns.
A partir de là, vous pouvez cocher la colonne à afficher selon la catégorie souhaitée.
Par exemple, ici on ajoute une colonne GPU pour mesurer l’utilisation du processeur graphique, plus d’informations :
- Comment mesurer l’utilisation GPU sur Windows 11, 10
- Comment mesurer l’utilisation réseau sur Windows 10
Propriétés d’un processus
Processus Explorer donne la possibilité d’obtenir une multitude d’informations sur les processus en cours (Handle, DLL chargées etc…).
L’onglet Image permet d’obtenir le chemin du fichier et le répertoire de lancement du processus.
En outre, vous pouvez savoir par quel utilisateur le processus a été lancé et à quelle heure.
Performances
L’onglet Performance/Performance Graph donne les ressources utilisées par le processus (Mémoire, CPU etc).
Threads
L’onglet Threads permet de visualiser les threads démarrés par le processus (voyez les threads comme des processus légers démarrés par le processus parents et s’exécutant dans l’espace mémoire du processus parents).
Tout comme il est possible d’arrêter un processus, Process Explorer permet de suspendre ou tuer un Thread (boutons Kill et Suspend).
L’onglet TCP/IP permet de visualiser l’état des connexions TCP/IP du processus.
Sécurité
L’onglet Security permet de visualiser les privilèges avec lequel le processus est lancé (voir http://msdn.microsoft.com/en-us/library/bb530716(VS.85).aspx).
Les assignements par utlisateur se font dans les sécurités locales (secpol.msc).
L’onglet Environment donne les variables d’environnement avec lequel le processus a été démarré.
Enfin depuis l’onglet Strings, on visualise un dump (export) des strings image et mémoire du processus.
Par Dump Stings, j’entends tous les textes contenus en mémoire ou dans le fichier du processus).
Ici on peut voir que le processus est un Backdoor.IRC avec entre autre des fonctionnalités de DDoS.
DLL chargées et Handles
Process Explorer permet de visualiser les DLL chargées par chaque processus ainsi que les Handles.
Les Handles sont des pointeurs vers des ressources (Fichiers, Clefs du Registre Windows etc..).
Pour visualiser ces éléments, cliquez sur le menu View puis Lower Pane View
Les fichiers DLL chargées apparaissent alors sous forme de liste.
Process Explorer n’est pas capable de décharger une DLL.
Ainsi, il ne permet simplement de visualiser les DLL chargées.
Les Handles sont eux aussi affichés sous forme de liste.
Vous pouvez fermer un Handle en faisant un clic droit puis Close Handles
Comment vérifier l’utilisation CPU, mémoire, disque ou réseau
Avec les colonnes, vous pouvez très facilement vérifier l’utilisation CPU, mémoire, disque ou réseau.
Par exemple, ci-dessous on peut facilement lister les processus qui envoient des trames sur le réseau.
Ci-dessous, on voit la télémétrie Nvidia en action.
Mais Process Explorer va beaucoup plus loin.
En effet, les graphiques en haut donne la possibilité de visualiser cette utilisation en temps réel et dans le temps.
Ces derniers se trouvent en haut, vous pouvez cliquer dessus à tout moment pour les ouvrir.
L’onglet Summary donne un aperçu de tous les éléments : CPU, mémoire, disque, réseau et GPU.
Lorsque l’on pointe la souris sur le graphique, les détails s’affichent.
Ainsi, on peut facilement voir quel processus a tendance à accaparer la CPU ce que ne permet pas le gestionnaire de tâches de Windows.
On peut obtenir les détails depuis les onglets CPU, Memory, I/O et GPU.
Voici un autre exemple l’utilisation CPU générale dans le temps .
Des articles du site donnent aussi d’autres méthodes pour surveiller le système.
- Comment mesurer l’utilisation GPU sur Windows 11, 10
- Comment visualiser l’utilisation CPU sur Windows 10
- Monitorer l’activité système ou d’un programme
Comment scanner les processus en cours d’exécution avec plusieurs antivirus dans VirusTotal
Process Explorer donne aussi la possibilité d’analyser les processus avec le service VirusTotal.
Pour se faire, suivez ce tutoriel :
Analyser l’utilisation mémoire de Windows 10/11 avec Process Explorer
Ce tutoriel vous guide pour analyser de manière très approfondie l’utilisation mémoire de Windows 10 avec Process Explorer :
Comment trouver le processus lié à une fenêtre avec Process Explorer
Parfois des fenêtres s’ouvrent mais vous ne savez pas à quelle application, elles appartiennent.
Process Explorer propose une fonctionnalité qui permet de savoir à quel processus appartient la fenêtre.
Pour plus d’informations, rendez-vous sur le tutoriel : Comment trouver l’application d’une fenêtre inconnue
En vidéo afin d’identifier le processus à l’origine d’une fenêtre :
Utilisation avancée de Process Explorer : Vundo/Virtumonde’s kicking asses
Si Process Explorer est un formidable outil de diagnostic, il peut aussi être utilisé dans les désinfections.
Voici un exemple d’utilisation avancée de Process Explorer en supprimant l’infection Vundo/Virtumonde : https://forum.malekal.com/process-explorer-exemple-d-utilisation-avancee-t13969.html
Liens
- Le gestionnaire de tâches de Windows 10
- Comment utiliser le gestionnaire des tâches de Windows 11
- Comment ouvrir le gestionnaire de tâches sur Windows
- 7 alternatives au gestionnaire de tâche de Windows
- Comment arrêter un programme qui ne répond pas avec le gestionnaire de tâches de Windows
- Le moniteur de ressources systèmes de Windows
- Comment visualiser l’utilisation CPU sur Windows 10
- Comment mesurer l’utilisation GPU sur Windows 11, Windows 10
- Tutoriel Process Explorer : gestionnaire de tâches avancé
- Process Hacker : un gestionnaire de tâches pour les pros
- Task Manager DeLuxe : un gestionnaire de tâche avancé
- TaskExplorer : un gestionnaire de tâches complet
- System Explorer : un gestionnaire de tâches avancé
- Mesurer l’utilisation mémoire sur Windows
- Index des problèmes de CPU 100%
- Comment mesurer l’utilisation GPU sur Windows 7, 8 et Windows 10
- Diagnostiquer l’utilisation de disque excessive
- Maintenance et résolutions de problèmes
- Diagnostiquer les problèmes matériels
- Comment nettoyer la liste des programmes au démarrage dans le gestionnaire de tâches
- Utiliser le gestionnaire de tâches Edge/Chrome pour vérifier l’utilisation mémoire, CPU et GPU
- Autoruns : un outil pratique qui permet d’analyser son système
- FRST : un autre outil d’analyse système
- Eset SysInspector
- Scan antivirus en ligne