Come determinare il processo padre di un processo in esecuzione in Windows?

Potresti esserti imbattuto in situazioni in cui si verifica un'attività continua del disco rigido sebbene il tuo sistema sia inattivo. Se apri Task Manager per curiosità, potresti trovare diversi processi che si avviano ed escono da soli senza che tu faccia nulla. Potrebbe essere un'attività di backup pianificata, un programma di manutenzione del sistema di terze parti o qualsiasi cosa che possa sfornare il tuo disco rigido. Potrebbe anche essere un malware. Ma quale applicazione o processo li avvia?

Puoi trovare maggiori informazioni su un eseguibile effettuando una ricerca su Internet. Anche conoscere il processo genitore di un processo in esecuzione è importante e ciò può essere realizzato in molti modi. Ecco alcuni metodi per conoscere il processo padre e l'ID processo di un processo in esecuzione.

Utilizzo di Process Explorer

Process Explorer è un ottimo programma che ti dice tutto quello che vuoi sapere sui processi in esecuzione. Scarica Process Explorer, decomprimi ed esegui l'eseguibile.

A scopo illustrativo, sto avviando System Information Tool (msinfo32.exe) tramite la scheda Strumenti dell'utilità di configurazione del sistema (MSConfig.exe).

In Process Explorer, premere CTRL + T per passare alla visualizzazione ad albero (visualizzazione predefinita) come di seguito. Questa vista mostra l'elenco dei processi avviati da un processo padre.

Figura 2: processo msinfo32.exe creato da msconfig.exe

Un'altra opzione sarebbe quella di fare doppio clic sul processo e questo mostra il processo "Parent" e il suo identificatore di processo.

Utilizzando Process Monitor

Process Monitor è un altro straordinario strumento di Windows SysInternals, che mostra ciò che è in esecuzione in tempo reale. Può tenere traccia delle attività di processo, file system, registro e rete in tempo reale, oltre ad altre utili funzioni. Scarica Process Monitor ed eseguilo.

Fai clic sul pulsante "Attività processo e thread" e disabilita tutti gli altri pulsanti. Premi CTRL + E per avviare l'acquisizione (funge da interruttore)

Qualsiasi processo creato e terminato da ora in poi, viene acquisito e visualizzato sul display.

Lì puoi vedere il processo msconfig.exe che avvia msinfo.exe.

Nota del redattore: questo metodo è molto utile nei casi in cui un processo sconosciuto viene eseguito solo per 1 o 2 secondi e rimane difficile da tracciare utilizzando lo strumento precedente, Process Explorer. Dove come in Process Monitor, non importa se il processo è ancora in esecuzione o terminato, poiché tutto è già registrato durante il periodo di acquisizione.

Buon calcolo!

Articoli Correlati