Process Explorer — 微软官方的进程管理神器,Sysinternals 套件中最知名的工具
一句话:微软官方(Sysinternals 套件)出品的专业进程管理工具,以树形视图展示所有进程的父子关系——支持查看每个进程的句柄/DLL/线程堆栈/网络连接/GPU 性能,最有名的功能是”查找哪个进程占用了某个文件”。完全免费,无需安装。
你是不是也遇到过”文件被占用无法删除”的烦心事?
场景一:你要删除一个文件夹,系统提示”操作无法完成,因为文件已在另一个程序中打开”。你关掉了所有能关的程序——但还是删不掉。你不知道是哪个后台进程占用了这个文件。任务管理器不提供”文件锁定查询”功能。
场景二:你怀疑系统中有恶意软件在运行——它伪装成了一个看起来正常的进程名(如 svchost.exe),但实际运行路径在某个奇怪的目录下。你想查看每个进程的”完整路径”来判断它是否可疑。
场景三:你注意到系统变慢了,想看看每个进程具体加载了哪些 DLL——有没有某个程序加载了不必要的第三方 DLL、有没有可疑的 DLL 被注入。任务管理器看不到这些。
Process Explorer 就是为这些”文件锁定排查”和”深度进程分析”场景设计的——它最出名的功能就是用”查找句柄”快速定位”哪个进程锁住了我的文件”,让你不用重启就能解锁。
Process Explorer 是干什么的?
Process Explorer 是微软 Sysinternals 工具集 中最著名的工具之一,由 Mark Russinovich 开发(现为微软 Azure 首席技术官,Sysinternals 创始人)。它是 Process Hacker 的直接竞品,也是更早出现的老牌工具。
它的核心功能:
- 树形视图:以进程树(父子关系)的形式显示所有进程
- 句柄查找:查找哪个进程占用了某个文件——这是它最著名的功能
- DLL/句柄查看:显示每个进程加载的 DLL 和打开的系统句柄
- 系统性能监控:实时显示 CPU/内存/IO 情况
Process Hacker vs Process Explorer 的核心差异:
| 对比 | Process Explorer | Process Hacker |
|---|---|---|
| 开发者 | 微软(Sysinternals) | 开源社区 |
| 特色功能 | 句柄查找(Find Handle) | 强制终止、暂停进程 |
| 更新频率 | 较慢但稳定 | 更快、更活跃 |
| GPU 监控 | ❌ 无 | ✅ 有 |
| 内存编辑 | ❌ 无 | ✅ 有 |
核心功能
1. 句柄查找(Find Handle)——Process Explorer 最著名的独家功能
这是 Process Explorer 最有价值的杀手锏功能:
🔍 场景:你删不掉 D:\Temp\database.lock 文件
操作:Ctrl+F → 输入 "database.lock"
结果:Process Explorer 告诉你 → "javaw.exe (PID 12345) 占用了这个文件"
解决:杀了这个进程 → 文件就能删除了操作方法:
- 打开 Process Explorer(以管理员身份运行)
Ctrl+F打开搜索框- 输入文件名或文件路径的一部分
- 立刻显示哪个进程的哪个句柄占用了这个文件
- 双击搜索结果定位到该进程 → 右键关闭句柄或终止进程
实际价值:当你遇到”文件被占用无法删除”时,不再需要重启电脑或一个个关闭程序去猜。Process Explorer 在几秒钟内告诉你答案。
2. 树形视图——一眼看到进程的父母子关系
Process Explorer 默认以树形结构显示进程:
📋 进程树(示例):
explorer.exe (主桌面)
├── chrome.exe (从桌面启动的 Chrome)
│ └── chrome.exe (Chrome 子进程 - 标签页)
├── cmd.exe (命令行窗口)
│ └── python.exe (从命令行启动的 Python)
└── taskmgr.exe (打开的任务管理器)
services.exe (Windows 服务管理器)
├── svchost.exe (服务承载进程)
│ ├── WSearch (Windows Search 服务)
│ └── BITS (后台智能传输服务)
└── spoolsv.exe (打印后台处理程序)这个视图的价值在于:你能立刻看出”这个进程是谁启动的”。如果一个恶意软件伪装成正常进程名(如 svchost.exe),但它的父进程是 explorer.exe(桌面)而不是 services.exe(服务管理器)——那你就能马上判断出它是假冒的。
3. DLL 和句柄检查——深入进程”体内”
右键点击进程 → 选择”Properties” → 查看:
DLL 标签页:
- 进程加载的所有 DLL 列表
- 每个 DLL 的完整路径和版本(可以用来判断 DLL 是否来自官方目录)
- DLL 的内存大小和加载地址
句柄标签页:
- 进程打开的所有系统对象句柄
- 文件句柄 → 知道进程正在读写哪些文件
- 注册表句柄 → 知道进程正在访问哪些注册表项
- 网络句柄 → 知道进程有没有打开网络连接
4. 性能监控——比任务管理器更细的实时数据
Process Explorer 的主界面默认显示多个性能指标列:
| 指标 | 说明 |
|---|---|
| CPU Usage | 进程的实时 CPU 使用率(可单独显示每个核心) |
| Private Bytes | 进程独占的物理内存(不包含共享内存) |
| Working Set | 进程当前使用的物理内存总量 |
| Virtual Size | 进程的虚拟地址空间大小 |
| Handles | 进程打开的句柄数量 |
| GDI Objects | 图形设备接口对象数 |
| I/O Reads/Writes | 进程的磁盘读写操作 |
托盘中可以显示 CPU/内存使用历史记录图表——双击托盘图标 → 弹出浮动窗口显示实时图表。
5. 验证签名——判断进程是否来自官方来源
右键进程 → 选择”验证签名”(Verify Image Signature):
- Process Explorer 会检查 .exe 或 DLL 文件的数字签名
- 如果显示”Verified”→ 该文件来自官方渠道,未被篡改
- 如果显示”Unable to verify”→ 可能是未签名的文件或签名无效
这是一个快速判断”这个进程是不是 Windows 官方进程”的方法。
专业媒体与用户评价
| 来源 | 评价 |
|---|---|
| TechRadar | ”Process Explorer is an indispensable tool for power users — the ‘find handle’ feature alone makes it worth keeping on every Windows PC” |
| PCWorld | ”The gold standard for process management on Windows — Mark Russinovich’s masterpiece remains essential after 20+ years” |
| How-To Geek | ”If you’ve ever been frustrated by ‘file in use’ errors, Process Explorer is the tool that ends that frustration instantly” |
真实用户怎么说
“Process Explorer 的句柄查找功能救了我无数次。开发时经常遇到”文件被占用无法生成”——Ctrl+F 搜文件名 → 找到占用进程 → 杀掉 → 重新生成。整个过程 10 秒。以前只能重启电脑解决,一天可能要重启好几次。” — 后端开发工程师,知乎
“排查恶意软件时,Process Explorer 的树形视图特别有用。有一次看到 svchost.exe 的父进程是 explorer.exe——这就不对了,正常的 svchost 的父进程应该是 services.exe。顺藤摸瓜找到了一个伪装成系统服务的木马。” — 安全研究员,V2EX
“Process Explorer 和 Process Hacker 我都在用——Process Explorer 用来查文件占用,Process Hacker 用来强制终止进程。两个各有优势。但如果说”哪个是系统管理员必须装的”,Process Explorer 是首选,因为它能解决”文件被占用”这个最具体的问题。” — 系统运维工程师,SegmentFault
同类工具横向对比
| 对比维度 | Process Explorer | Process Hacker | 系统任务管理器 |
|---|---|---|---|
| 价格 | 完全免费 | 完全免费 | 系统自带免费 |
| 开发者 | 微软官方(Sysinternals) | 开源社区 | 微软 |
| 句柄查找(文件锁定定位) | ✅ 独有招牌功能 | ❌ 无 | ❌ 无 |
| 树形进程视图 | ✅ 有 | ✅ 有 | ❌ 扁平列表 |
| DLL/句柄详情 | ✅ 每个进程 | ✅ 每个进程 | ❌ 无 |
| 验证数字签名 | ✅ 独家 | ❌ 无 | ❌ 无 |
| 强制终止进程 | ❌ 无 | ✅ 有 | ❌ 无 |
| 暂停/恢复进程 | ❌ 无 | ✅ 有 | ❌ 无 |
| GPU 监控 | ❌ 无 | ✅ 支持 | ⚠️ Win11+ |
| 便携版 | ✅ 有(推荐) | ✅ 有 | N/A |
| 更新频率 | ⭐⭐⭐ 稳定但慢 | ⭐⭐⭐⭐⭐ 活跃 | 系统更新 |
选型建议:
- 排查文件被占用 → Process Explorer(句柄查找是它的独家王牌功能)
- 强制终止卡死进程 + GPU 监控 → Process Hacker(强制终止和暂停功能更强)
- 两者同时使用:Process Explorer 查文件占用,Process Hacker 调进程/看 GPU
下载与安装指南
官方下载
Process Explorer 是 Sysinternals 套件的一部分,通过微软官方渠道分发:
| 渠道 | 下载地址 | 说明 |
|---|---|---|
| 微软官网(推荐) | learn.microsoft.com/sysinternals/downloads/process-explorer | 直接下载 procexp.exe |
| Sysinternals 套件 | 下载整套工具 | 包含 Process Explorer 以及其他 60+ 工具 |
⚠️ 安全提醒:Process Explorer 是微软官方发布的免费工具。无需安装,直接运行。 下载后得到一个 ZIP 压缩包,解压后运行
procexp64.exe(64 位系统)即可。运行时会弹出 EULA 许可协议——点”同意”即可。这是唯一的一次性提示。
使用建议
- 以管理员身份运行:右键 → 以管理员身份运行,以查看所有进程(包括系统进程)
- 替换任务管理器:Options → Replace Task Manager → 以后按 Ctrl+Shift+Esc 打开 Process Explorer
- 配色含义:Process Explorer 用颜色区分进程(粉红 = Windows Update、紫色 = 服务进程、蓝色 = 当前用户进程、灰色 = 冻结进程)
- 保存设置:运行后可以设置列显示 → Options → Save settings 保存配置文件
常见问题
Q: Process Explorer 的句柄查找怎么用?
A: Ctrl+F 打开搜索框 → 输入文件名的一部分(比如 “test.txt” 或 “temp”)→ 立刻显示结果。双击搜索结果可以跳转到占用进程。在进程上右键 → Close Handle 可以释放该句柄(不需要杀掉整个进程)。
Q: Process Explorer 和 Process Hacker 应该选哪个? A: 如果你只装一个:选 Process Explorer(微软官方,句柄查找无可替代)。如果你装两个:Process Explorer 查文件占用,Process Hacker 做强制管理。 两都是免费且互补的。
Q: Process Explorer 能”关掉” Windows 更新进程吗? A: 技术上可以(右键 → Kill Process),但不建议。强制终止系统进程可能导致系统不稳定。如果你觉得 Windows Update 占用资源太多,应该使用系统设置中的”暂停更新”功能,而不是强制杀掉系统进程。
Q: Process Explorer 能查看 CPU 温度吗? A: 不能直接查看。Process Explorer 主要关注系统和进程的性能数据。查看硬件温度请使用 HWMonitor、Core Temp 等硬件监控工具。
Q: Process Explorer 需要安装吗? A: 完全不需要。 它是绿色软件——下载 ZIP,解压后直接运行 procexp.exe(32位)或 procexp64.exe(64位)。删除也很简单——直接删掉整个文件夹即可。这是 Sysinternals 工具的一贯风格。
Process Explorer 就是那个”解决了你最大痛点”的进程工具——所有人在遇到”文件被占用无法删除”时的第一反应就是”打开 Process Explorer 查一下”。它的句柄查找功能名字不起眼(“Find Handle”),但它在实际工作中的价值让它成为 Windows 系统管理员最有价值的工具。