win32_PROCESS分析和总结分析和总结.pdfVIP

Win32_Process 介绍 Win32_Process Win32_Process 类别代表在 Win32 系统上的一系列事件。任何包括一个或多个处理器或解释 程序、某些可执行编码和输入集的交互的系列都为这个类别的附属(或成员) 。 例如: 在 Win32 系统上运行的客户应用程序。 Caption Caption 属性为对象的简短文字描述(一行字符串)。 CommandLine 如果可用的话，CommandLine 属性指定了启动某个特定进程所要用到命令行。 CreationClassName CreationClassName 表示用来创建范例的类别或子类别的名称。当与这个类别的其它主要属 性一起使用时，这个属性允许为这个类别及其子类别的所有范例作唯一识别。 CreationDate 进程开始执行的时间。 CSCreationClassName CSCreationClassName 包含作用域计算机系统的创建类别名称。 CSName 作用域计算机系统的名称。 Description Description 属性提供对象的简短文字描述。 ExecutablePat ExecutablePat 属性表示进程的可执行文件的路径。 例如: C:\WINDOWS\EXPLORER.EXE ExecutionState 表示当前进程的操作条件。值包含就绪(2)、运行(3)和受阻(4)及其它。 Handle 用于指示进程的字符串。进程 ID 是一种进程句柄。 HandleCount HandleCount 属性指定由这个进程打开的当前句柄总数。这个数目是在这个进程中每个线程 当前打开的句柄的总数。句并用于检查或修改系统资源。每个句柄在内部维护的表中有一项。 这些项包括资源地址和识别资源种类的方法。 1 / 8 Win32_Process 介绍 InstallDate InstallDate 属性是表示安装对象的日期时间值。没有值并不表示该对象没有安装。 KernelModeTime 核心模式下的时间，单位是 100 纳秒。如果该信息不可用，应使用 0 取值。 MaximumWorkingSetSize MaximumWorkingSetSize 属性表示进程的最大工作集大小。进程的工作集大小是在物 理 RAM 中当前可见的内存页面集。这些页面为常驻性并且再不触发页面错误的情况下就可 供应用程序使用。 例如: 1413120. MinimumWorkingSetSize MinimumWorkingSetSize 属性表示进程的最小工作集大小。进程的工作集大小是在物 理 RAM 中当前可见的内存页面集。这些页面为常驻性并且再不触发页面错误的情况下就可 供应用程序使用。 例如: 20480. Name Name 属性定义对象的名称标签。当再次分类，Name 属性可改写成 Key 属性。 OSCreationClassName 作用域操作系统的创建类别名称。 OSName 作用域操作系统的名称。 OtherOperationCount OtherOperationCount 属性指定的读取和写入操作之外进行的 I/O 操作的数。 OtherTransferCount OtherTransferCount属性指定在读取和写入操作之外的其它操作中的数据传送量。 PageFaults PageFaults 属性表示由进程产生的页错误数目。 例如: 10 PageFileUsage PageFileUsage 属性表示由进程当前使用的页面文件空白的数目。 例如: 102435 ParentProcessI ParentProcessI 属性指定创建这个进程的那个进程的唯一标识符。进程标识符可以重新使 2 / 8 Win32_Process 介绍 用，所以这些标识符值在进程寿命器之内识别进程。由 ParentProcessId 识别的进程可能已经 终断，因此 ParentProcessId 不能表示一个正在运行的进程。ParentProcessId还可能错误地识 别重新使用那个进程识别符的进程。CreationDat 属性可以用来识别指定的父进程是否在这 个进程之后创建的。 PeakPageFileUsag PeakPageFileUsag 属性表示用于在进程的寿