기존의 작업 관리자(Task Manager)는 시스템 리소스, 프로세스, 서비스, 사용자 상위 레벨 단일 목록, 시스템 성능과 네트워크 사용량 그래프, 실행중인 프로그램 등을 제공한다.
하지만, 어떤 프로세스가 잘못 실행되거나 악성코드라고 판단하는 중요한 데이터를 제공하지 못한다.
Windows Sysinternals Suite의 프로세스 익스플로러(Process Explorer)는 시스템의 프로세스를 관찰할 수 있는 프로그램이다. 현재 실행중인 프로세스의 목록과 우선순위 변경, 강제 종료, 참조 파일 등 여러가지 기능을 지원한다.
메인 화면을 간략하게 살펴 보면 트리 뷰로 프로세스는 부모와 자식 관계가 성립하며, 컬러 기호로 각 프로세스의 타입을 색깔로 구분해서 표시한다.
Process Explorer을 실행하면 상단의 필드가 Process, CPU, Private Byte, Working Set, PID, Description, Company Name, DEP, ASLR, User Name으로 구분되어 있다.
해당 필드 외 추가적인 필드를 지원하며 View > Select Columns로 이동하면 다양한 필드를 선택해서 사용할 수 있다.
각 프로세스는 색깔이 구분되어 표시하는데, Options > Configure Colors로 이동하면 각 프로세스별 색깔이 정의되어 있다.
○ 녹색 : 프로세스 실행
○ 빨간색 : 프로세스 종료
○ 분홍색 : 서비스 프로세스
○ 파란색 : 사용자 프로세스
○ 보라색 : 패킹 이미지 파일
○ 무색 : 시스템 영역 프로세스
View > Show Lower Pane를 선택하고, 실행중인 프로세스를 선택하면 해당 프로세스가 사용하는 Handle 정보를 확인할 수 있다.
View > Show Lower View > Dlls 선택하고, 실행중인 프로세스를 선택하면 해당 프로세스가 사용하는 DLL 정보를 확인할 수 있다.
하단의 특정 프로세스에서 로드된 모든 DLL 중 특정 DLL를 더블클릭하면 DLL에 대한 상세한 정보를 확인할 수 있다.
Image 탭은 디스크립션, 컴페니(전자서명 인증), 버전, 패스 등에 대한 정보를 표시하며, String 탭은 문자열을 순서대로 표시한다.
실행중인 프로세스에 마우스 오른쪽 버튼을 클릭하면 프로세스 강제 종료, 프로세스 재시작, 디버깅, 덤프 등 다양한 기능을 지원한다.
○ Set Priority : 프로세스에 대한 기본 스케줄링, 우선순위 확인 및 설정
○ Kill Process : 프로세스 강제 종료
○ Kill Process Tree : 프로세스의 자식 프로세스까지 종료
○ Restart : 프로세스 재시작
○ Suspend : 프로세스 일시 정지
○ Debug : 프로세스 디버깅
○ Create Dump : 프로세스의 전체 메모리 또는 최소한의 메모리를 덤프
○ Check Virus Total : 프로세스 바이러스 토탈 서비스 검사
○ Properties : 프로세스 속성
○ Search Online : 프로세스를 구글 서비스에서 검색
View > System Information으로 이동하면 현재 시스템의 CPU, Memory, Input/Output, GPU 등의 간략한 사용량을 확인할 수 있다.
