Menu

ProcessExplorerの使い方。見覚えのない不審な実行ファイルを確認する方法

   2021/01/20

この記事のURLをコピーする

PCのセキュリティ対策として、定期的にPCのプロセスを確認することは大事です。

Windowsのタスクマネージャーでは、起動しているアプリケーションやプロセス、サービスなどを確認できます。

プロセスの終了などもタスクマネージャーから可能ですが、Microsoftが提供するProcessExplorerはプロセスが階層表示されるので、プロセスの関連性を把握する上でも便利です。インストールも不要です。




ProcessExplorerのダウンロードと起動

Microsoft Process Explorerからダウンロードできます。

ProcessExplorer.zipを解凍してprocexp.exeをクリックします。PCが64bitの場合はprocexp64.exeをクリックします。

ProcessExplorerが起動します。





ProcessExplorerの日本語化

ProcessExplorerはデフォルトでは英語表記です。日本語化するには、こちらのブログの管理人様がパッチファイルを提供して下さっています。

ご自分でダウンロードしたProcessExplorerと同じバージョンの日本語化ファイルをダウンロードして解凍します。

解凍したzipファイルの中にあるprocessexplorer_ja.EXEをProcessExplorer.exeがあるフォルダにコピーまたは移動します。

コピーした後、processexplorer_ja.EXEをクリックすれば日本語化は完了です。

起動すると日本語化されています。





ProcessExplorerの基本的な使い方

※まず大前提として、Windowsのシステムファイルのプロセスを終了させると、画面がフリーズしたり挙動がおかしくなったりと予期せぬ不具合が発生しますのでなるべく触らないようにします。

プロセスの確認

ProcessExplorerは画像のようにプロセスが階層表示されます。プロセスの関連性が確認できるのでシステム以外のプロセスを確認していきます。

自分でインストールした覚えがない実行ファイルがないかを確認するには会社名で確認すると分かりやすいです。

Microsoft Corporationと表示されているファイルは、ほとんどがシステムファイルに関連していることが確認できると思います。知らない会社名が表示されている場合は、そのプロセスの上で右クリックしてプロパティもしくはオンラインで検索で確認します。

プロセスの終了と一時停止

自分でインストールした覚えのないファイルがあれば、右クリックメニューもしくは上部のアイコンからプロセスを終了させることができます。

また、実行中のプロセスで一時的に停止したい場合は、右クリックメニューの「Suspend」で一時停止することも可能です。再開したい場合は「Resume」を選択します。

リソースの使用率を確認する

上部のアイコンをクリックするとシステム情報として、どのくらいリソースを使用しているか確認できます。

各項目の使用率が異常に高い場合はなんらかの実行ファイルによるものです。その実行ファイルを突き止める場合はCPU,プライベートバイト,ワーキングセットの上でそれぞれクリックして使用率の並び順を変えて確認します。

使用されているDLLファイルの確認

DLLファイルはプログラムで共有するファイルです。「このプログラムはこのDLLファイルを使用」と言ったように、プログラムを起動する際には自動的にDLLファイルが選択されて使用されます。

確認は上部メニューのアイコンをクリックすると、DLLファイルとハンドルに表示が切り替わり、下ペインに表示されます。





ProcessExplorerの便利な使い方

ProcessExplorerはその他にも、ファイル操作やブラウザでのトラブルシューティング解決にも役立ちます。

問題のあるプロセスを特定する

例えば、何かのファイルを削除する時に下のような画面が出て削除できないことがあると思います。ここでは例として過去記事でご紹介したSmatraPDFの実行ファイルを削除したい場合を例に説明しています。

この原因はプロセスで使用している関連ファイルがあるからです。その関連ファイルを特定したい場合、上部メニューの「検索」もしくはキーボードショートカットのCtrl + Fで削除したいファイルがあるパスを入力して検索します。

下画像のようにDLLファイルの項目にSmatraPDF.exeが使用されていることが分かります。SmatraPDF.exeが使用されているので当然削除できないと言うことが分かります。

この例の場合、原因はシンプルなものですが中には色んなプロセスが関連していて削除できないファイルもあります。そう言った場合に上記の方法でプロセスを特定して終了させると言う使い方もあります。

問題のあるウィンドウやタブだけを終了させる

ブラウザでタブを開いてサイトを見ていると「空白のページ」とタブに表示され応答しない時があります。また、「Windowsのシステムは破損しました」と表示される詐欺広告を消す場合もプロセスを終了させる必要があります。

そんな時に便利なのが、ウィンドウのプロセスを検索する機能です。この機能は上部の照準アイコンを目的のウィンドウ画面にドラッグ&ドロップすることで、そのウィンドウで使用されているプロセスを特定することができます。タスクマネージャーでは分からなかったプロセスを探せるので非常に便利な機能です。

ドラッグ&ドロップすると下画像のように特定されたプロセスが選択状態になります。あとはそのプロセスを終了させるだけです。

関連記事「Windowsのシステムは破損しました」の画面が出た時に閉じる方法

タスクマネージャーの代わりにProcessExplorerを起動させる方法

タスクマネージャーはキーボードショートカットのCtrl + Shift + Escで起動します。これをProcessExplorerが起動するように設定したい場合は、上部メニューオプションのReplace Task Managerをクリックすることで設定できます。

ただし、この方法でProcessExplorerを起動した場合、日本語化は反映されず、英語表記となります。

まとめ

このようにProcessExplorerはタスクマネージャーの機能強化版と言った感じのソフトです。

一見するとタスクマネージャーの方が画面もシンプルで見やすいですが、慣れるともうタスクマネージャーには戻れません。

不審なプロセスを確認したい場合は、このProcessExplorerとTCP View for Windowsを併用することで特定への近道になるはずです。

関連記事TCP View for Windowsの使い方。PCのバックグラウンド通信を確認する方法
  • このエントリーをはてなブックマークに追加
  • Pocket

関連記事