Process Explorer, un task manager all'ennesima potenza

Windows offre già Task Manager (finestra Gestione attività), richiamabile rapidamente premendo la combinazione di tasti CTRL+MAIUSC+ESC. Si tratta di uno strumento con il quale è possibile scoprire il carico attuale della CPU, l’utilizzo della memoria RAM, le operazioni di lettura e scrittura dirette sul disco fisso o sull’unità SSD e visualizzare l’elenco dei programmi in esecuzione.
Il Task Manager è stato notevolmente migliorato in Windows 10 e di aggiornamento in aggiornamento fa proprie nuove utili funzionalità. Nell’articolo Task Manager Windows 10: che cosa permette di fare ne abbiamo presentato le principali funzionalità.

Le informazioni presentate dal Task Manager possono però risultare, almeno in alcuni casi, piuttosto superficiali: se si volesse stabilire quali DLL sono state caricate da un programma o quali file sono stati aperti, il tool integrato nel sistema operativo non offre le risposte cercate.

Tutte queste informazioni – e molte altre ancora – sono fornite da un programma chiamato Process Explorer che Microsoft offre gratuitamente e che è frutto dell’acquisizione di tanti anni fa di SysInternals e delle sue molteplici utilità per Windows.

Process Explorer non è incluso in Windows perché è uno strumento potente che da un lato potrebbe disorientare gli utenti meno esperti. Dall’altro, se utilizzato con superficialità, potrebbe provocare comportamenti indesiderati del sistema operativo e delle applicazioni in esecuzione. Microsoft, d’altra parte, non fornisce alcun supporto per Process Explorer e sottolinea che il suo utilizzo è sotto la piena responsabilità dell’utente.

Per avviare l’ultima versione di Process Explorer, non è neppure necessario scaricare il suo archivio Zip: basta premere la combinazione di tasti Windows+R e digitare quanto segue: \\live.sysinternals.com\tools
Dopo alcuni secondi di attesa, si aprire una finestra di Esplora file contenente tutte le utilità SysInternals pronte per l’uso: per avviare Process Explorer su un sistema Windows a 64 bit basterà cliccare due volte sul file procexp64.exe (lo stesso file, senza “64”, è la versione a 32 bit).
Puntare all’indirizzo \\live.sysinternals.com\tools è particolarmente utile perché consente di avere subito a portata di mano tutte le utilità, anche su quei PC che pur essendo collegati alla rete Internet non permettessero il download (ad esempio a seguito di un’infezione malware) di materiale attraverso il browser web installato.

Process Explorer: le principali funzionalità del Task Manager avanzato

Per avviare Process Explorer, suggeriamo di fare clic con il tasto destro del mouse sul suo eseguibile quindi scegliere la voce Esegui come amministratore. Solo così, infatti, si otterrà massima visibilità sui processi caricati in memoria e sui loro comportamenti.

Sin dal primo avvio, Process Explorer mostra la lista completa dei processi in esecuzione: ciascuno di essi viene evidenziato con una differente colorazione il cui significato è verificabile cliccando su Options, Configure colors.

Con un clic sul nome di qualunque processo, è possibile ottenere – nel pannello inferiore della finestra di Process Explorer – l’elenco delle risorse aperte e via a via utilizzate: cartelle, file, chiavi e valori del registro di sistema e così via.

Con un doppio clic sul nome di ciascun processo, è possibile sapere in quale cartella è salvato il corrispondente eseguibile (Path), l’esatto comando utilizzato per aprire l’elemento selezionato (Command line), la cartella di riferimento (Current directory) e addirittura l’eventuale area del sistema utilizzata dall’applicazione per avviarsi automaticamente a ogni caricamento di Windows (Autostart location).
Se Parent fosse services.exe significa che il processo selezionato fa capo a un servizio (premere Windows+R quindi digitare services.exe).

Con un clic sulle varie schede a destra di Image, è possibile conoscere in che modo il processo selezionato sta usando le risorse hardware (processore, memoria, dischi, rete, GPU).

Uno dei vantaggi di Process Explorer è però la finestra System Information accessibile cliccando su uno dei grafici posti nella parte superiore della schermata principale oppure selezionando View, System Information.
Selezionando le varie schede, si può verificare quanto i vari componenti del sistema sono impegnati dai processi in esecuzione. In caso di problemi System Information aiuta a capire istantaneamente il responsabile dell’utilizzo anomalo di una risorsa.

Basta infatti spostare il puntatore del mouse in corrispondenza del “picco” e leggere il nome del processo responsabile dell’utilizzo intensivo di una o più risorse.
Nell’esempio in figura, Chrome ha utilizzato improvvisamente la CPU oltre il 42% per poi rilasciarla. Lo si capisce dalla presenza dell’indicazione chrome.exe mentre il numero successivo (PID ovvero Process ID) – qui è 25648 – corrisponde al processo del browser che ha impegnato incisivamente il processore. Premendo la combinazione di tasti MAIUSC+ESC da una qualunque finestra di Chrome e verificando il contenuto della colonna ID processo, si può facilmente stabilire che in questo caso la CPU è stata sollecitata dal servizio Google Drive.

Suggeriamo di cliccare sulla scheda I/O per accertare che cosa sta succedendo sul sistema. Anche qui, spostando il puntatore del mouse su vari “picchi”, è possibile stabilire quali processi stanno occupando maggiormente le risorse disponibili.

Cliccando con il tasto destro sull’intestazione delle colonne quindi scegliendo Set Columns, consigliamo di attivare anche le caselle Verified signer, Windows Title e VirusTotal.
La prima voce consente di aggiungere una colonna che mostra se ciascun processo sia o meno firmato digitalmente (così da avere maggiori garanzie sulla sua identità); la seconda di visualizzare l’intestazione delle finestre; la terza il responso sulla bontà di ciascun file ottenuto da VirusTotal: VirusTotal: guida all’uso del servizio per controllare l’identità dei file.
Affinché le informazioni sulle firme digitali presenti vengano esposte, bisognerà attivare la voce Verify Image Signatures dal menu Options.
Per controllare la legittimità di un file appoggiandosi a VirusTotal basterà invece farvi clic con il tasto destro quindi scegliere Check VirusTotal.

Per approfondire, suggeriamo la lettura dell’articolo Rimozione virus in modo manuale, ecco come si fa.