Process Explorer — 微軟官方的進程管理神器,Sysinternals 套件中最知名的工具
一句話:微軟官方(Sysinternals 套件)出品的專業進程管理工具,以樹形視圖展示所有進程的父子關係——支持查看每個進程的句柄/DLL/線程堆棧/網絡連接/GPU 性能,最有名的功能是”查找哪個進程佔用了某個文件”。完全免費,無需安裝。
你是不是也遇到過”文件被佔用無法刪除”的煩心事?
場景一:你要刪除一個文件夾,系統提示”操作無法完成,因為文件已在另一個程序中打開”。你關掉了所有能關的程序——但還是刪不掉。你不知道是哪個後臺進程佔用了這個文件。任務管理器不提供”文件鎖定查詢”功能。
場景二:你懷疑係統中有惡意軟件在運行——它偽裝成了一個看起來正常的進程名(如 svchost.exe),但實際運行路徑在某個奇怪的目錄下。你想查看每個進程的”完整路徑”來判斷它是否可疑。
場景三:你注意到系統變慢了,想看看每個進程具體加載了哪些 DLL——有沒有某個程序加載了不必要的第三方 DLL、有沒有可疑的 DLL 被注入。任務管理器看不到這些。
Process Explorer 就是為這些”文件鎖定排查”和”深度進程分析”場景設計的——它最出名的功能就是用”查找句柄”快速定位”哪個進程鎖住了我的文件”,讓你不用重啟就能解鎖。
Process Explorer 是幹什麼的?
Process Explorer 是微軟 Sysinternals 工具集 中最著名的工具之一,由 Mark Russinovich 開發(現為微軟 Azure 首席技術官,Sysinternals 創始人)。它是 Process Hacker 的直接競品,也是更早出現的老牌工具。
它的核心功能:
- 樹形視圖:以進程樹(父子關係)的形式顯示所有進程
- 句柄查找:查找哪個進程佔用了某個文件——這是它最著名的功能
- DLL/句柄查看:顯示每個進程加載的 DLL 和打開的系統句柄
- 系統性能監控:實時顯示 CPU/內存/IO 情況
Process Hacker vs Process Explorer 的核心差異:
| 對比 | Process Explorer | Process Hacker |
|---|---|---|
| 開發者 | 微軟(Sysinternals) | 開源社區 |
| 特色功能 | 句柄查找(Find Handle) | 強制終止、暫停進程 |
| 更新頻率 | 較慢但穩定 | 更快、更活躍 |
| GPU 監控 | ❌ 無 | ✅ 有 |
| 內存編輯 | ❌ 無 | ✅ 有 |
核心功能
1. 句柄查找(Find Handle)——Process Explorer 最著名的獨家功能
這是 Process Explorer 最有價值的殺手鐧功能:
🔍 場景:你刪不掉 D:\Temp\database.lock 文件
操作:Ctrl+F → 輸入 "database.lock"
結果:Process Explorer 告訴你 → "javaw.exe (PID 12345) 佔用了這個文件"
解決:殺了這個進程 → 文件就能刪除了操作方法:
- 打開 Process Explorer(以管理員身份運行)
Ctrl+F打開搜索框- 輸入文件名或文件路徑的一部分
- 立刻顯示哪個進程的哪個句柄佔用了這個文件
- 雙擊搜索結果定位到該進程 → 右鍵關閉句柄或終止進程
實際價值:當你遇到”文件被佔用無法刪除”時,不再需要重啟電腦或一個個關閉程序去猜。Process Explorer 在幾秒鐘內告訴你答案。
2. 樹形視圖——一眼看到進程的父母子關係
Process Explorer 默認以樹形結構顯示進程:
📋 進程樹(示例):
explorer.exe (主桌面)
├── chrome.exe (從桌面啟動的 Chrome)
│ └── chrome.exe (Chrome 子進程 - 標籤頁)
├── cmd.exe (命令行窗口)
│ └── python.exe (從命令行啟動的 Python)
└── taskmgr.exe (打開的任務管理器)
services.exe (Windows 服務管理器)
├── svchost.exe (服務承載進程)
│ ├── WSearch (Windows Search 服務)
│ └── BITS (後臺智能傳輸服務)
└── spoolsv.exe (打印後臺處理程序)這個視圖的價值在於:你能立刻看出”這個進程是誰啟動的”。如果一個惡意軟件偽裝成正常進程名(如 svchost.exe),但它的父進程是 explorer.exe(桌面)而不是 services.exe(服務管理器)——那你就能馬上判斷出它是假冒的。
3. DLL 和句柄檢查——深入進程”體內”
右鍵點擊進程 → 選擇”Properties” → 查看:
DLL 標籤頁:
- 進程加載的所有 DLL 列表
- 每個 DLL 的完整路徑和版本(可以用來判斷 DLL 是否來自官方目錄)
- DLL 的內存大小和加載地址
句柄標籤頁:
- 進程打開的所有系統對象句柄
- 文件句柄 → 知道進程正在讀寫哪些文件
- 註冊表句柄 → 知道進程正在訪問哪些註冊表項
- 網絡句柄 → 知道進程有沒有打開網絡連接
4. 性能監控——比任務管理器更細的實時數據
Process Explorer 的主界面默認顯示多個性能指標列:
| 指標 | 說明 |
|---|---|
| CPU Usage | 進程的實時 CPU 使用率(可單獨顯示每個核心) |
| Private Bytes | 進程獨佔的物理內存(不包含共享內存) |
| Working Set | 進程當前使用的物理內存總量 |
| Virtual Size | 進程的虛擬地址空間大小 |
| Handles | 進程打開的句柄數量 |
| GDI Objects | 圖形設備接口對象數 |
| I/O Reads/Writes | 進程的磁盤讀寫操作 |
托盤中可以顯示 CPU/內存使用歷史記錄圖表——雙擊托盤圖標 → 彈出浮動窗口顯示實時圖表。
5. 驗證簽名——判斷進程是否來自官方來源
右鍵進程 → 選擇”驗證簽名”(Verify Image Signature):
- Process Explorer 會檢查 .exe 或 DLL 文件的數字簽名
- 如果顯示”Verified”→ 該文件來自官方渠道,未被篡改
- 如果顯示”Unable to verify”→ 可能是未簽名的文件或簽名無效
這是一個快速判斷”這個進程是不是 Windows 官方進程”的方法。
專業媒體與用戶評價
| 來源 | 評價 |
|---|---|
| TechRadar | ”Process Explorer is an indispensable tool for power users — the ‘find handle’ feature alone makes it worth keeping on every Windows PC” |
| PCWorld | ”The gold standard for process management on Windows — Mark Russinovich’s masterpiece remains essential after 20+ years” |
| How-To Geek | ”If you’ve ever been frustrated by ‘file in use’ errors, Process Explorer is the tool that ends that frustration instantly” |
真實用戶怎麼說
“Process Explorer 的句柄查找功能救了我無數次。開發時經常遇到”文件被佔用無法生成”——Ctrl+F 搜文件名 → 找到佔用進程 → 殺掉 → 重新生成。整個過程 10 秒。以前只能重啟電腦解決,一天可能要重啟好幾次。” — 後端開發工程師,知乎
“排查惡意軟件時,Process Explorer 的樹形視圖特別有用。有一次看到 svchost.exe 的父進程是 explorer.exe——這就不對了,正常的 svchost 的父進程應該是 services.exe。順藤摸瓜找到了一個偽裝成系統服務的木馬。” — 安全研究員,V2EX
“Process Explorer 和 Process Hacker 我都在用——Process Explorer 用來查文件佔用,Process Hacker 用來強制終止進程。兩個各有優勢。但如果說”哪個是系統管理員必須裝的”,Process Explorer 是首選,因為它能解決”文件被佔用”這個最具體的問題。” — 系統運維工程師,SegmentFault
同類工具橫向對比
| 對比維度 | Process Explorer | Process Hacker | 系統任務管理器 |
|---|---|---|---|
| 價格 | 完全免費 | 完全免費 | 系統自帶免費 |
| 開發者 | 微軟官方(Sysinternals) | 開源社區 | 微軟 |
| 句柄查找(文件鎖定定位) | ✅ 獨有招牌功能 | ❌ 無 | ❌ 無 |
| 樹形進程視圖 | ✅ 有 | ✅ 有 | ❌ 扁平列表 |
| DLL/句柄詳情 | ✅ 每個進程 | ✅ 每個進程 | ❌ 無 |
| 驗證數字簽名 | ✅ 獨家 | ❌ 無 | ❌ 無 |
| 強制終止進程 | ❌ 無 | ✅ 有 | ❌ 無 |
| 暫停/恢復進程 | ❌ 無 | ✅ 有 | ❌ 無 |
| GPU 監控 | ❌ 無 | ✅ 支持 | ⚠️ Win11+ |
| 便攜版 | ✅ 有(推薦) | ✅ 有 | N/A |
| 更新頻率 | ⭐⭐⭐ 穩定但慢 | ⭐⭐⭐⭐⭐ 活躍 | 系統更新 |
選型建議:
- 排查文件被佔用 → Process Explorer(句柄查找是它的獨家王牌功能)
- 強制終止卡死進程 + GPU 監控 → Process Hacker(強制終止和暫停功能更強)
- 兩者同時使用:Process Explorer 查文件佔用,Process Hacker 調進程/看 GPU
下載與安裝指南
官方下載
Process Explorer 是 Sysinternals 套件的一部分,通過微軟官方渠道分發:
| 渠道 | 下載地址 | 說明 |
|---|---|---|
| 微軟官網(推薦) | learn.microsoft.com/sysinternals/downloads/process-explorer | 直接下載 procexp.exe |
| Sysinternals 套件 | 下載整套工具 | 包含 Process Explorer 以及其他 60+ 工具 |
⚠️ 安全提醒:Process Explorer 是微軟官方發佈的免費工具。無需安裝,直接運行。 下載後得到一個 ZIP 壓縮包,解壓後運行
procexp64.exe(64 位系統)即可。運行時會彈出 EULA 許可協議——點”同意”即可。這是唯一的一次性提示。
使用建議
- 以管理員身份運行:右鍵 → 以管理員身份運行,以查看所有進程(包括系統進程)
- 替換任務管理器:Options → Replace Task Manager → 以後按 Ctrl+Shift+Esc 打開 Process Explorer
- 配色含義:Process Explorer 用顏色區分進程(粉紅 = Windows Update、紫色 = 服務進程、藍色 = 當前用戶進程、灰色 = 凍結進程)
- 保存設置:運行後可以設置列顯示 → Options → Save settings 保存配置文件
常見問題
Q: Process Explorer 的句柄查找怎麼用?
A: Ctrl+F 打開搜索框 → 輸入文件名的一部分(比如 “test.txt” 或 “temp”)→ 立刻顯示結果。雙擊搜索結果可以跳轉到佔用進程。在進程上右鍵 → Close Handle 可以釋放該句柄(不需要殺掉整個進程)。
Q: Process Explorer 和 Process Hacker 應該選哪個? A: 如果你只裝一個:選 Process Explorer(微軟官方,句柄查找無可替代)。如果你裝兩個:Process Explorer 查文件佔用,Process Hacker 做強制管理。 兩都是免費且互補的。
Q: Process Explorer 能”關掉” Windows 更新進程嗎? A: 技術上可以(右鍵 → Kill Process),但不建議。強制終止系統進程可能導致系統不穩定。如果你覺得 Windows Update 佔用資源太多,應該使用系統設置中的”暫停更新”功能,而不是強制殺掉系統進程。
Q: Process Explorer 能查看 CPU 溫度嗎? A: 不能直接查看。Process Explorer 主要關注系統和進程的性能數據。查看硬件溫度請使用 HWMonitor、Core Temp 等硬件監控工具。
Q: Process Explorer 需要安裝嗎? A: 完全不需要。 它是綠色軟件——下載 ZIP,解壓後直接運行 procexp.exe(32位)或 procexp64.exe(64位)。刪除也很簡單——直接刪掉整個文件夾即可。這是 Sysinternals 工具的一貫風格。
Process Explorer 就是那個”解決了你最大痛點”的進程工具——所有人在遇到”文件被佔用無法刪除”時的第一反應就是”打開 Process Explorer 查一下”。它的句柄查找功能名字不起眼(“Find Handle”),但它在實際工作中的價值讓它成為 Windows 系統管理員最有價值的工具。