آشنایی با پردازش ها و فرآیندهای در حال اجرا در ویندوز؛ قسمت اول

از امروز می خواهیم طی چند هفته، شما را با پردازش ها و فرآیندهای در حال اجرا در ویندوز آشنا سازیم. منظور از این موارد، فعالیت هایی هستند که مدام در ویندوز اجرا می شوند و به زعم بسیاری باعث خواهند شد سرعت رایانه کاهش یابد. به هر ترتیب، با سافت گذر همراه باشید تا اولین قسمت پردازش ها و فرآیندهای در حال اجرا در ویندوز را بشناسید.

1. Service Host Process یا svchost.exe

اگر به تسک منیجر ویندوز سری زده باشید، حتماً دیده اید که چندین مورد از Service Host در حال اجرا بوده اند که امکان غیرفعالسازی آنها را نداشته اید. اما منظور از این فرآیندها چیست؟.

آن طور که مایکروسافت می گوید، svchost.exe یک پردازش میزبان برای مجموعه های پویا و در حال تغییر ویندوز است.

احتمالاً شما نیز از این توضیحات پاسخ خود را دریافت نکرده اید پس بهتر است این گونه بگوییم. چند وقت پیش مایکروسافت تصمیم گرفت به جای استفاده از فایل های EXE درونی خدمات ویندوز، از فایل های DLL بهره گیرد. از نظر برنامه نویسی، این اقدام کدهای نوشته شده را کاربردی تر می کند و اجازه خواهد داد راحت تر به روز بمانند. مشکلی که در اینجا وجود دارد آن است که نمی توان فایل های DLL را همچون فایل های EXE در ویندوز اجرا کرد بنابراین یک برنامه این چنینی از یک میزبان برای اجرا شدن استفاده می کند که منجر به ایجاد svchost.exe می شود.

اما چرا تعداد این پردازش ها این قدر زیاد است؟

اگر تا کنون به بخش Services کنترل پنل ویندوز سری زده باشید، متوجه شده اید که ویندوز به سرویس های زیادی برای اجرا شدن نیاز دارد. تعدد این سرویس ها به آن دلیل است که هر کدام به صورت جداگانه فعال می شوند زیرا اگر قرار بود هر کدام به صورت زنجیره ای اجرا گردند، عدم کارایی یکی از آنها به کلی عملکرد ویندوز را مختل می کرد.

سرویس ها بسته به کاربردشان دسته بندی می شوند و در نهایت یک Service Host کلی آنها را به گروه تبدیل می کند. برای مثال، یک سرویس مسئول دسته بندی سرویس های مربوط به فایروال است و یک سرویس دیگر مربوط به سرویس های رابط کاربری و . . . در تصاویر زیر، شما می توانید ببینید که سرویس های مربوط به شبکه یا تماس های از راه دور در زیر یک گروه قرار گرفته اند.

آیا این اطلاعات ربطی به ما دارند؟

راستش را بگوییم خیر. در زمان هایی که ویندوز ایکس پی و نسخه های قدیمی تر کاربرد محدودتری داشتند، متوقف کردن سرویس هایی که بلااستفاده بودند مدام پیشنهاد می شد. امروزه اما، غیرفعالسازی هیچ کدام از این موارد را پیشنهاد نمی کنیم زیرا رایانه های مدرن معمولاً از پردازنده ها و حافظه ها لود می شوند. حال با توجه به اینکه ویندوز هم از سرویس های مدرن بهره می برد، خاموش کردن یک سرویس که فکر می کنید به دردتان نمی خورد، یا تأثیر زیادی بر عملکرد رایانه نخواهد داشت و یا عملکرد آن را مختل خواهد کرد.

با ذکر این نکته، اگر در جایی دیدید که یک Service Host مثلاً CPU یا RAM را درگیر کرده، بهتر است سرویس هایی که با آن دخیل هستند را بررسی کنید. این کار باعث خواهد شد تا راحت تر منشأ مشکل را بیابید. چندین راه وجود دارد که این کار را انجام دهید که یکی از آنها تسک منیجر و یکی دیگر استفاده از برنامه Process Explorer می باشد.

بررسی سرویس های مرتبط به همدیگر در تسک منیجر

اگر از ویندوز 8 یا 10 استفاده می کنید، پردازش ها با اسم کامل در تب Processes تسک منیجر قابل رؤیت هستند. اگر یک پردازش میزان چند سرویس باشد، می توانید این سرویس ها را با گسترده کردن آن پردازش ببینید. این کار باعث خواهد می شود تا راحت تر تشخیص دهید کدام فرآیندها به کدام Service Host تعلق دارد.

حتی با کلیک راست کردن نیز می توانید یک سرویس را متوقف کرده و یا آن را در بخش Apps کنترل پنل ببینید و یا حتی به صورت آنلاین جستجو کنید تا اطلاعات بیشتری به دست آورید.

اگر از ویندوز 7 استفاده می کنید، اوضاع کمی متفاوت است. تسک منیجر این سیستم عامل پردازش ها را آن طور که گفتیم گروه بندی نمی کند و حتی اسامی درستی را نیز نشان نمی دهد بلکه فقط مواردی از svchost.exe که در حال اجرا هستند را به نمایش می گذارد بنابراین خودتان باید کنکاش نمایید تا سرویس یا پردازش مدنظر را پیدا کنید.

در تب Processes تسک منیجر ویندوز 7، روی یک svchost.exe به خصوص کلیک راست کنید و به بخش Go to Services بروید. با این کار به تب Services خواهید رفت که سرویس های مربوط به svchost.exe انتخاب شده نمایش داده می شوند. در ستون Description هم می توانید اسم کامل هر سرویس را ببینید و قادر خواهید بود آن را غیرفعال کرده و یا بررسی کنید و ببینید چرا برایتان مشکل به وجود آورده است.

بررسی سرویس های مشابه با استفاده از Process Explorer

مایکروسافت یک ابزار پیشرفته فوق العاده برای کار کردن با پردازش های در حال انجام در ویندوز ایجاد کرده است. شما فقط کافی است Process Explorer را دانلود کنید؛ این یک برنامه پرتال می باشد بنابراین لازم نیست آن را نصب نمایید. Process Explorer همه ویژگی های پیشرفته را دارد.

این نرم افزار سرویس های مربوط به هم را در گروه های مشابه قرار می دهد. این سرویس ها که بر اساس اسامی خود مرتب می شوند، در ستون Description نام کاملشان را می توان دید. به علاوه، شما می توانید نشانگر ماوس را روی هر کدام از svchost.exeها ببرید تا یک پیام پاپ آپ با تمامی سرویس های مربوطه (حتی آنهایی که در حال اجرا نیستند) را ببینید.

آیا این پردازش ها ممکن است ویروس باشند؟

هر پردازش در حال اجرا یکی از اجزای رسمی ویندوز است. البته اگرچه احتمال دارد که ویروسی یک سرویس جعلی را با سرویس اصلی جایگزین کند ولی رخ دادن این اتفاق کمی بعید به نظر می رسد. اگر می خواهید مطمئن شوید، بد نیست موقعیت مکانی فایل را بررسی کنید. برای انجام این کار، روی هر کدام از سرویس های در حال اجرا کلیک راست کرده و گزینه Open File Location را بزنید. اگر آن فایل در آدرس Windows/System32 ذخیره شده، می توانید مطمئن شوید که پردازش در حال اجرا ویروس نیست.

2. rundll32.exe

دومین سرویسی که می خواهیم به شما معرفی کنیم، rundll32.exe است. دلیلی که می خواهید با این مورد آشنا شوید آن است که در تسک منیجر تعداد زیادی از آنها دیده می شود.

همان طور که گفتیم، این خبر اولین قسمت از سرویس ها و پردازش های در حال اجرا در ویندوز است بنابراین پیشنهاد می کنیم طی روزها و هفته های آتی به سافت گذر سری بزنید تا با بقیه موارد نیز آشنا شوید.

نکته: فایل های DLL که تعداد آنها بسیار زیاد است، مقداری از اطلاعات را در خود جای داده اند که اپلیکیشن های متعددی می توانند به آنها دست یابند.

از آن جایی که هیچ راهی برای اجرای مستقیم این فایل ها وجود ندارد، اپلیکیشن rundll32.exe برای اجرای آنها استفاده می شود. این نرم افزار یک عنصر مجاز از ویندوز است و معمولاً تهدید به حساب نمی آید.

نکته: پردازش مجاز rundll32.exe اکثراً در آدرس \Windows\System32\rundll32.exe قرار می گیرد ولی بعضی اوقات برنامه های مخرب از همین اسم سوءاستفاده می کنند و از همین مسیر بهره می برند تا عملکردشان را توجیه نمایند. اگر فکر می کنید مشکلی وجود دارد، بهتر است رایانه تان را اسکن کنید تا مطمئن شوید. در غیر این صورت ادامه مطلب را بخوانید تا اطلاعات بیشتری به دست آورید.

استفاده از Process Explorer برای بررسی rundll32.exe در ویندوز ویستا، 7، 8 و 10

به جای استفاده از تسک منیجر، می توانیم از برنامه Process Explorer که توسط مایکروسافت ساخته شده بهره ببریم که تقریباً در همه نسخه های ویندوز قابل اجرا بوده و بهترین ابزار برای بررسی مشکلات است.

فقط کافی است این نرم افزار را اجرا نمایید و از بخش File گزینه Show Details for All Processes را بزنید تا مطمئن شوید هر پردازشی که در حال انجام است، قابل مشاهده می باشد. حالا نشانگر ماوس را روی rundll32.exe ببرید تا جزئیات مربوط به آن را بخوانید. به جای این کار هم می توانید کلیک راست کنید و گزینه Properties را بزنید و سپس از تب Image مسیری که در آن اجرا شده را بررسی نمایید و حتی ببینید این فرآیند زیرمجموعه چه موردی است. در تصویر بالا، چیزی که اجرا شده به explorer.exe مربوط می شود که احتمالاً میانبر یا آیتمی جهت راه اندازی ویندوز می باشد. به علاوه، این امکان را دارید تا جزئیات فایل را درست مانند تسک منیجر به نظاره بنشینید. در اینجا، پردازش اجرا شده به کنترل پنل NVIDIA مرتبط است بنابراین به آن کاری نداریم.

چگونگی غیرفعالسازی پردازش rundll32.exe در ویندوز 7

بسته به نوع پردازش، بهتر است هیچگاه موردی را غیرفعال نکنید اما اگر این کار را انجام دادید، می توانید msconfig.exe را در استارت تایپ کرده و آن را در ستون Command line که پیش از این در Process Explorer دیده بودیم، ببینید. برای جلوگیری از اجرای خودکار یک فرآیند، فقط کافی است تیک آن را بردارید.

برخی اوقات، فرآیندها آیتم مربوط به راه اندازی ویندوز ندارند که در این شرایط باید کمی بیشتر به جستجو بپردازید که ببینید منشأ آن کجاست. مثلاً اگر بخش Display Properties را در ویندوز ایکس پی اجرا کنید، لیست دیگری از rundll32.exe را خواهید دید زیرا مایکروسافت از این پردازش به صورت داخلی استفاده می کند.

چگونگی غیرفعالسازی rundll32.exe در ویندوز 8 یا 10

اگر کاربر ویندوز 8 یا 10 هستید، می توانید بخش Startup تسک منیجر را اجرا کرده و از آنجا یک پردازش را متوقف کنید.

استفاده از تسک منیجر در ویندوز 7 یا ویستا

یکی از امکانات فوق العاده تسک منیجر ویندوز 7 یا ویستا، قابلیت مشاهده تمامی دستورات خطی برای اپلیکیشن های در حال اجراست. برای مثال، می توانید ببینید همزمان دو rundll32.exe دارند اجرا می شوند.

اگر به مسیر View و سپس Select Columns بروید، آپشن Command Line را در لیست خواهید دید که بد نیست آن را بررسی کنید. حالا باید بتوانید مسیر کامل فایل را مشاهده نمایید که در این حالت احتمالاً همان مسیر System32 بوده و به DLL مربوط است. در صورتی که همچنان به جستجوی خود ادامه دهید و نشانگر ماوس را روی پردازش مدنظر ببرید، اسم فایل را مشاهده خواهید کرد. در غیر این صورت بخش Properties را اجرا کرده و از قسمت Details توضیحات فایل را ببینید که غالباً هدف از ایجاد آن آیتم را توضیح می دهد. وقتی متوجه شدید که پردازش مورد نظر چیست، می توانید تصمیم بگیرید که آیا لازم است آن را غیرفعال کنید یا خیر. اگر اطلاعاتی نمی بینید، یا باید در اینترنت سرچ کنید و یا از دیگران کمک بخواهید. اگر باز هم به نتیجه ای نرسیدید، مسیر دستوری کامل آن را در یک انجمن معتبر تایپ کنید و از متخصصین امر کمک بگیرید.

در این خبر، به معرفی دو عدد از پردازش ها و فرآیندهای مهم ویندوز اشاره کردیم و طی روزها و هفته های آتی نیز می خواهیم سایر فرآیندها را معرفی نماییم؛ پس همچنان با سافت گذر همراه باشید.