Non sapete da dove spunta quell'app Windows? Ecco come scoprirlo!

Avete configurato il vostro sistema Windows 10 o Windows 11 plasmandolo sulla base delle vostre esigenze. Il menu Start contiene soltanto i riferimenti ai programmi che vi servono davvero ma… all’improvviso vi accorgete che si apre la finestra di un’app della quale non conoscevate né l’esistenza né l’identità. Process Explorer è un Task Manager all’ennesima potenza che vi consente, con pochi clic, di capire cosa sta succedendo sul vostro sistema Windows, quali processi sono in esecuzione e, soprattutto, chi e come li ha avviati.

Come stabilire cos’è quell’app Windows che si apre all’improvviso con Process Explorer

Utilità sviluppata e periodicamente aggiornata da Microsoft, o meglio dal team entrato nelle fila dell’azienda di Redmond dopo l’acquisizione dei software Sysinternals, Process Explorer permette non soltanto di verificare i processi in esecuzione sul sistema ma anche di capire quando sono avviati e quando vengono arrestati, quale account li ha eseguiti (compresi gli account di sistema come SYSTEM e TrustedInstaller), se sono configurati in esecuzione automatica e se sono figli di qualche altro processo.

Il consiglio è quello di scaricare Process Explorer dalla pagina ufficiale quindi salvare il contenuto dell’archivio compresso in una cartella di propria scelta, ad esempio C:\Process Explorer.

Sui sistemi Windows a 64 bit (architettura x86-64), è quindi sufficiente fare doppio clic sul file procexp64.exe e accordare i permessi di amministratore.

A questo punto, suggeriamo di fare clic con il tasto destro del mouse su un’intestazione di colonna per poi scegliere la voce Select columns. Con un clic su Process Performance, spuntate la casella Start time. In questo modo Process Explorer si arricchisce di una nuova colonna (che può essere liberamente riposizionata con un’operazione di trascinamento) che mostra la data e ora di avvio di ciascun processo.

Adesso cliccate sull’intestazione della colonna Start time e assicuratevi che i processi siano ordinati in maniera decrescente, con quelli aperti più di recente visualizzati in alto. Eventualmente cliccate di nuovo su Start time per ottenere la visualizzazione corretta.

A questo punto, vedrete che Process Explorer evidenzierà in verde i nuovi processi via via aperti mentre in rosso quelli che Windows provvede a chiudere.

Tracciare un identikit completo di un programma in esecuzione

Lasciando Process Explorer in esecuzione, potrete spostarvi subito nella sua interfaccia per stabilire l’identità di un programma appena avviatosi in Windows. Lo troverete evidenziato in verde nella parte superiore dell’interfaccia.

Se in Task Manager è possibile premere CTRL per congelare temporaneamente la visualizzazione e analizzare con calma le informazioni restituite, nel caso di Process Explorer si può mettere in pausa la lista dei processi premendo semplicemente la barra spaziatrice. Premendo nuovamente lo stesso tasto, Process Explorer aggiorna il contenuto della finestra aggiungendo le informazioni nel frattempo raccolte.

Cliccando due volte sulla voce in verde, si accede alle proprietà del processo selezionato.

Raccogliere informazioni utili sul processo selezionato

La scheda Image è la più importante ai nostri fini. Il campo Path mostra il percorso dell’eseguibile richiamato mentre Command line è un’indicazione eccellente perché dà modo di verificare la sintassi esatta utilizzata per avviare il processo selezionato.

Altrettanto utili sono i campi Current directory, che suggerisce la cartella dalla quale l’eseguibile è avviato, mentre Autostart location indica l’eventuale locazione di memoria utilizzata per impostare l’avvio automatico del file.

Verificando quanto riportato accanto a Parent, è possibile sapere qual è l’eventuale processo padre ossia il componente software che ha richiesto l’avvio. Ancora, User indica l’utente adoperato per avviare il processo mentre il pulsante Bring to Front consente di far apparire in primo piano la finestra correlata al processo in questione.

Il pulsante con l’icona del mirino, presente nella barra degli strumenti di Process Explorer, permette di stabilire quale processo gestisce una specifica finestra visualizzata in Windows. Basta trascinare l’icona sulla finestra della quale si stanno cercando informazioni: Process Explorer evidenzia immediatamente il processo corrispondente.

Per approfondire l’argomento, suggeriamo la lettura dell’articolo dedicato a come scoprire a quale processo corrisponde una finestra Windows. Per monitorare programmi, processi e driver è inoltre possibile ricorrere all’ottimo Sysinternals, utilità che si autoconfigura come servizio di sistema ed estende enormemente il “raggio d’azione” del registro degli eventi di Windows.