使用Process Explorer/Process Hacker和Windbg初步定位软件高CPU占用问题

已于 2025-06-07 09:34:41 修改
阅读量1.6w 收藏 116
点赞数 143
CC 4.0 BY-SA版权
分类专栏: C++软件调试与异常排查从入门到精通系列教程 分析C++软件问题的实用软件与高效工具实战案例集锦 文章标签: 高CPU占用 线程CPU占用 ProcessExplorer Process Hacker Windbg 函数调用堆栈 查看变量值
于 2023-10-30 10:13:19 首次发布
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.youkuaiyun.com/chenlycly/article/details/134112933
本文介绍了如何使用Process Explorer和Process Hacker工具分析软件高CPU占用问题,结合Windbg查看线程CPU占用并分析函数调用堆栈。通过案例展示了在任务管理器、Process Explorer和Process Hacker中查看目标程序CPU占用的方法,以及使用Windbg的!runaway命令和查看变量值来定位问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

1、问题说明

2、Process Explorer与Windbg工具介绍

2.1、Process Explorer工具

2.2、Windbg调试器

3、引发程序高CPU占用的原因分析

4、在任务管理器和Process Explorer中查看目标程序的CPU占用

5、使用Process Explorer和Process Hacker查看占用CPU高的线程

5.1、使用Process Explorer查看占用CPU高的线程

4.2、使用Process Hacker查看占用CPU高的线程

4.3、Process Hacker介绍

6、使用Windbg分析占用线程较高的线程

6.1、使用!runaway命令查看线程占用的CPU时间

6.2、Windbg中不仅能看到详细函数调用堆栈,还能看到函数中变量的值

VC++常用功能开发汇总(专栏文章列表,欢迎订阅,持续更新...)https://blog.youkuaiyun.com/chenlycly/article/details/124272585

了解本专栏 订阅专栏 解锁全文
使用Process Explorer/Process HackerWindbg效排软件CPU占用问题
dvlinker的技术专栏
11-02 1万+
通过在Windbg查看变量的值去快速定位软件CPU占用问题
使用ClumsyProcess Explorer定位软件CPU占用问题
dvlinker的技术专栏
10-24 5443
使用弱网模拟工具Clumsy进程查看工具Process Explorer定位软件CPU占用问题
ProcessHacker
07-12
当你的Windows任务管理器因为病毒或者木马的原因不能打开时,你有事就会发疯,因为有些进程你无法删除,现在好了,有了ProcessHacker这款软件,你就可以很容易的删除一些过期或者无用的进程了。很方便的!
ProcessHacker进程处理工具
10-25
ProcessHacker,可以查看、分析当前系统上运行的进程。查看其加载的Dll。
Process Explorer 15.12:系统监控与进程管理工具详解
最新发布
weixin_32306683的博客
05-28 1008
Process Explorer 是一个功能强大的任务管理器增强工具,它不仅提供常规的进程管理功能,还具备了深入的系统性能分析故障排能力。它由 Sysinternals(现为微软的一部分)开发,为IT专业人员级用户提供了详细的操作系统应用程序性能数据。通过实时监控,Process Explorer 能够展示每个进程所使用的系统资源,例如CPU、内存、句柄、模块路径信息。此外,它还能帮助用户查看控制进程以及与之相关的窗口,并且能够显示隐藏进程,这在排恶意软件时尤其有用。
ProcessExplorer线程cpu占用率工具)
12-26
windows下只能查看进程的cpu占用率,要查看线程cpu占用率要借助该工具,线程信息一目了然。
使用Process Explorer查看线程函数调用堆栈去排程序CPU占用问题
dvlinker的技术专栏
09-12 1万+
详细讲述如何使用Process Explorer查看线程函数调用堆栈去排程序CPU占用问题
用jstack+process explorer 定位cpu占用的代码块(windows篇)
xinjirufen1的专栏
05-26 537
打开Process Exploer,找到进程号(pid), 右键属性查看CPU线程号, 根据进程号,在cmd中执行,jstack -l 9136 > d:/java/0520-1.stack,(路径可以修改9136是进程号),执行后会在路径下生成文件 将线程号转为16进制的数字后,在上一步生成的文件中搜索,找到对应的执行代码,比如线程4948转为16进制后为1354,则用1354在文件中搜索。 ...
使用Process Explorer/Process HackerWindbg初步定位软件CPU占用问题
热门推荐
dvlinker的技术专栏
01-09 3万+
本文详细介绍如何使用Process Explorer/Process HackerWindbg初步定位软件CPU占用问题
Process Hacker
03-13
Process Hacker是一款功能丰富的系统进程管理工具。用户只要借助该程序就可以方便,快捷地查看相关进程的速度,内存,及模块等等
进程黑客(Process Hacker)Processhacker-3.0.4132
08-08
Process Hacker是一款针对级用户的安全分析工具,它可以帮助研究人员检测解决软件或进程在特定操作系统环境下遇到的问题。除此之外,它还可以检测恶意进程,并告知我们这些恶意进程想要实现的功能。 Process Hacker是一个开源项目,可能大家第一眼看过去,会觉得Process HackerProcessExplorer有些相似,但是Process Hacker提供了更多的功能以及选项。而且由于它是完全开源的,所以我们还可以根据自己的需要来自定义其他功能。
进程浏览器内存编辑器Process Hacker
04-30
Process Hacker 2是一种开源工具,用于监视系统进程、服务、网络连接等信息,并且还可以进行系统调试修改。它可以帮助用户更好地了解系统运行情况,识别系统中的问题优化系统性能。 使用Process Hacker 2可以进行以下操作: 1.监视系统进程服务的运行情况,包括CPU、内存、磁盘等资源的占用情况。 2.查看系统网络连接的情况,包括端口、IP地址等信息。 3.进行进程的调试修改,如查看进程的详细信息、关闭进程、暂停进程等操作。 4.分析系统性能,寻找系统运行中的问题并进行优化。 需要注意的是,使用Process Hacker 2进行系统调试修改可能会对系统造成影响,建议谨慎操作并确保您有相关的权限。
ProcessHacker进程查看器中文绿色版.rar
09-04
软件介绍: ProcessHacker是一款系统进程查看监视工具,能够查看详细的系统进程,包括进程的PID,CPU占用率及I/O总速率,占用的字节数及用户名称描述。查看系统正在运行停止的服务,本机网络状态,正在运行的网络进程及本地/远程IP地址及使用的协议状态。可找句柄或DLL,查看系统信息,CPU内存磁盘及网络信息。
使用Process Explorer/Process HackerWindbg效排C++程序CPU占用问题
dvlinker的技术专栏
07-27 1351
使用Process Explorer/Process HackerWindbg效排软件CPU占用问题
Process Hacker 简单介绍
一杯咖啡的渗透记忆
03-15 2万+
Process Hacker是一款功能丰富的系统进程管理工具。用户只要借助该程序就可以方便,快捷地查看相关进程的速度,内存,及模块等等,另外,还可以对相关的进程进行管理工作。ProcessHacker 绿色版,下载解压后点击“ProcessHacker.exe”文件运行。在项目测试中的应用:启动C2Olay项目后,在Processhacker 主界面的进程树中找到C2Global.Presen...
Process Hacker(进程管理器) v3.0.2581绿色版便携版
weixin_44130595的博客
08-21 1390
点击下载来源:Process Hacker(进程管理器) v3.0.2581绿色版便携版 Process Hacker是一款免费开源的统进程管理内存编辑器,它不仅能够帮助你查看管理进程,同时也能进行系统监视内存编辑,帮助你监视系统资源、调试软件检测恶意软件Process Hacker通过一个突出显示您的计算机上运行进程的树视图。你可以看到详细的效果图。服务对他们完全控制(启动,停止,暂停...
【免费下载】 探秘Process Hacker:一款强大的系统监控工具
gitblog_00052的博客
04-11 2351
探秘Process Hacker:一款强大的系统监控工具 项目地址:https://gitcode.com/gh_mirrors/phn/phnt 项目简介 是一个开源、免费且功能丰富的进程查看管理系统工具。它提供了详细的进程信息,允许用户深入探索控制操作系统运行中的每一个进程,包括内存、线程、模块、句柄等详细信息,并具备权限提升、挂起、恢复、终止进程等功能。 该项目遵循 GNU Genera...
就是你说的那些进程隐匿技术,文件锁定机制,权限混淆策略,权限迷宫,内核进程检测,镜像劫持,权限穿透,级对抗技术,NTFS流清洗等等,这些技术看起来很级,想学
03-08
<think>好的,用户现在对之前提到的各种级系统安全技术感兴趣,比如进程隐匿、文件锁定、权限混淆等,想深入学习这些。我需要先分析用户的需求背景。用户可能已经有了一定的计算机基础,可能接触过逆向工程或系统安全的相关内容,现在想进阶学习更级的对抗技术。 首先,用户提到的这些技术都属于系统安全的级领域,涉及操作系统内核、权限管理、文件系统等底层知识。用户可能希望了解这些技术的具体实现原理、学习方法以及实践路径。需要注意的是,这些技术如果被滥用可能涉及法律问题,所以在回答时必须强调合法使用的必要性,并提供安全实验环境建议。 接下来要拆解每个技术点,给出对应的学习路线资源。比如进程隐匿技术可能涉及内核驱动修改进程链表,这需要学习Windows或Linux内核机制,以及驱动开发。文件锁定机制可能与NTFS的扩展属性或Alternate Data Streams有关,需要了解文件系统结构。权限混淆权限迷宫可能涉及访问控制列表(ACL)的复杂配置,需要深入理解操作系统的权限模型。 同时,用户可能需要具体的实践指导,比如推荐书籍、工具(如Process HackerWinDbg)、实验环境搭建(虚拟机、隔离网络)以及实际代码示例。例如,进程隐匿可以用C语言编写内核驱动,修改EPROCESS结构中的ActiveProcessLinks,这部分需要给出代码片段并解释原理,同时提醒风险。 另外,用户提到的对抗技术如内核进程检测、镜像劫持等,需要解释这些技术如何被攻击者利用,以及防御方法。比如镜像劫持(Image File Execution Options)通常被恶意软件用来劫持合法程序,可以通过注册表监控来检测。这部分需要提供检测防范的具体步骤,增强用户的实践能力。 最后,整合所有技术点,形成一个系统的学习路径,从基础知识到级应用,强调循序渐进的重要性。同时,再次强调法律道德规范,确保用户在学习过程中遵守相关规定,使用这些技术进行合法的安全研究防御。</think>![内核攻防知识图谱](https://s3.bmp.ovh/imgs/2024/06/14/8f2d4c2f3f5d4a1a.gif) 以下是这些"暗黑艺术"的修炼指南(实验环境必须使用虚拟机!): --- ### 🔮 核心技能树解析 #### 1. **进程隐匿术(Ghost Process)** ```c // 修改EPROCESS的ActiveProcessLinks(Windows内核驱动示例) PLIST_ENTRY prev = Process->ActiveProcessLinks.Blink; PLIST_ENTRY next = Process->ActiveProcessLinks.Flink; prev->Flink = next; next->Blink = prev; Process->ActiveProcessLinks.Flink = (PLIST_ENTRY)&Process->ActiveProcessLinks; Process->ActiveProcessLinks.Blink = (PLIST_ENTRY)&Process->ActiveProcessLinks; ``` - **对抗检测**:用WinDbg查看`!process 0 0`原始链表 - **修炼资源**:《Windows内核原理与实现》第三章 #### 2. **文件锁定黑魔法** ```powershell # 利用NTFS ADS创建幽灵文件 echo "机密数据" > normal.txt:secret.stream # 检测方式: dir /r # 显示所有数据流 ``` - **阶技巧**:结合`icacls`设置畸形ACL权限 ```cmd icacls target.exe /grant:r *S-1-5-32-544:(DE) # 给管理员设置拒绝执行权限 ``` #### 3. **权限迷宫架构** ```c // 创建嵌套20层的权限令牌(Token) HANDLE hToken; for(int i=0; i<20; i++){ DuplicateTokenEx(hExistingToken, MAXIMUM_ALLOWED, NULL, SecurityImpersonation, TokenPrimary, &hToken); SetThreadToken(&hToken); // 制造令牌套娃 } ``` - **破局方法**:使用Process Explorer查看令牌链 --- ### 🛡️ 攻防实验室 #### 内核级对抗沙盘(需开启测试模式): ```bash # 检测隐藏驱动 driverquery /v | findstr /i "未签名" # 查看SSDT表异常(需WinDbg) x nt!KiServiceTable* ``` #### 镜像劫持攻防战: **攻击方(注册表投毒)**: ```reg Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe] "Debugger"="C:\\bad.exe" ``` **防御方(检测脚本)**: ```powershell Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*" | Where-Object {$_.Debugger} | Format-Table PSChildName, Debugger ``` --- ### 📜 黑暗圣典(慎用!) | 技术领域 | 危险系数 | 推荐实验环境 | 反制手段 | |------------------|----------|----------------------|---------------------------| | NTFS流清洗 | ★★☆☆☆ | Windows 10 虚拟机 | 使用`fsutil`扫描ADS | | 权限穿透
评论 115
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

dvlinker

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值