Volledige gids vir proseshacker: 'n gevorderde alternatief vir taakbestuurder

Vir baie Windows-gebruikers skiet Taakbestuurder tekort. Daarom wend sommige hulle tot Process Hacker. Hierdie instrument het gewildheid verwerf onder administrateurs, ontwikkelaars en sekuriteitsontleders, want dit laat hulle toe om die stelsel te sien en te beheer op 'n vlak wat die standaard Windows Taakbestuurder nie eens kan indink nie.

In hierdie omvattende gids sal ons dit hersien Wat is Process Hacker, hoe om dit af te laai en te installeerWat dit bied in vergelyking met Taakbestuurder en Prosesverkenner, en hoe om dit te gebruik om prosesse, dienste, netwerk, skyf, geheue te bestuur en selfs wanware te ondersoek.

Wat is Process Hacker en hoekom is dit so kragtig

Proses Hacker is basies, 'n gevorderde prosesbestuurder vir WindowsDit is oopbron en heeltemal gratis. Baie mense beskryf dit as "Taakbestuurder op steroïede," en die waarheid is, daardie beskrywing pas dit redelik goed.

Die doel daarvan is om jou 'n 'n baie gedetailleerde oorsig van wat in jou stelsel gebeurProsesse, dienste, geheue, netwerk, skyf… en, bowenal, om jou gereedskap te gee om in te gryp wanneer iets vashaak, te veel hulpbronne verbruik, of verdag lyk vir wanware. Die koppelvlak herinner ietwat aan Process Explorer, maar Process Hacker voeg 'n goeie aantal ekstra funksies by.

Een van sy sterk punte is dat dit kan opspoor verborge prosesse en beëindig "beskermde" prosesse wat die Taakbestuurder nie kan sluit nie. Dit word bereik danksy 'n kernmodus-drywer genaamd KProcessHacker, wat dit toelaat om direk met die Windows-kern te kommunikeer met verhoogde voorregte.

Om 'n projek te wees Oopbronkode, die kode is vir enigiemand beskikbaarDit bevorder deursigtigheid: die gemeenskap kan dit oudit, sekuriteitsfoute opspoor, verbeterings voorstel en verseker dat daar geen versteekte onaangename verrassings is nie. Baie maatskappye en kuberveiligheidsprofessionele vertrou Process Hacker juis as gevolg van hierdie oop filosofie.

Dit is egter die moeite werd om daarop te let dat Sommige antivirusprogramme merk dit as "riskant" of 'n PUP (Potensieel Ongewenste Program).Nie omdat dit kwaadwillig is nie, maar omdat dit die vermoë het om hoogs sensitiewe prosesse (insluitend sekuriteitsdienste) dood te maak. Dit is 'n baie kragtige wapen en, soos alle wapens, moet dit oordeelkundig gebruik word.

Laai Process Hacker af: weergawes, draagbare weergawe en bronkode

Om die program te kry, is die gewone ding om te doen om na hul amptelike oa-bladsy jou bewaarplek op SourceForge / GitHubDaar sal jy altyd die nuutste weergawe en 'n vinnige opsomming van wat die instrument kan doen, vind.

In die aflaai-afdeling sal jy gewoonlik die twee hoofmodaliteite vir 64-bis stelsels:

• Opstelling (Aanbeveel)die klassieke installeerder, die een wat ons nog altyd gebruik het, word vir die meeste gebruikers aanbeveel.
• Binêre lêers (draagbaar): draagbare weergawe, wat jy direk kan laat loop sonder om te installeer.

Die Opstel-opsie is ideaal as jy wil Laat Process Hacker reeds geïnstalleer.geïntegreer met die Start-kieslys en met bykomende opsies (soos die vervanging van die Taakbestuurder). Die draagbare weergawe, aan die ander kant, is perfek vir dra dit op 'n USB-skyf en gebruik dit op verskillende rekenaars sonder om enigiets te installeer.

'n Bietjie verder af verskyn hulle ook gewoonlik 32-bis weergawesIngeval jy steeds met ouer toerusting werk. Hulle is nie meer so algemeen deesdae nie, maar daar is steeds omgewings waar hulle nodig is.

As dit wat u interesseer, is peuter met die bronkode Of jy kan jou eie weergawe saamstel; op die amptelike webwerf sal jy 'n direkte skakel na die GitHub-bewaarplek vind. Van daar af kan jy die kode hersien, die veranderingslog volg en selfs verbeterings voorstel as jy tot die projek wil bydra.

Die program weeg baie min, ongeveer 'n paar megagrepeDie aflaai neem dus slegs 'n paar sekondes, selfs met 'n stadige verbinding. Sodra dit klaar is, kan jy die installeerder uitvoer of, as jy die draagbare weergawe gekies het, die uitvoerbare lêer direk uitpak en begin.

Stap-vir-stap installasie op Windows

As jy die installeerder (Setup) kies, is die proses redelik tipies in Windows, alhoewel met 'n Paar interessante opsies wat die moeite werd is om te ondersoek rustig.

Sodra jy dubbelklik op die afgelaaide lêer, sal Windows die Gebruikersrekeningbeheer (UAC) Dit sal jou waarsku dat die program veranderinge aan die stelsel wil aanbring. Dit is normaal: Process Hacker benodig sekere voorregte om sy towerkuns te bewerkstellig, so jy sal moet aanvaar om voort te gaan.

Die eerste ding wat jy sal sien is die installasieassistent met die tipiese lisensieskermProcess Hacker word versprei onder die GNU GPL weergawe 3-lisensie, met 'n paar spesifieke uitsonderings wat in die teks genoem word. Dit is 'n goeie idee om hierdie te lees voordat jy voortgaan, veral as jy van plan is om dit in korporatiewe omgewings te gebruik.

 

In die volgende stap stel die installeerder voor 'n standaardmap waar die program gekopieer sal word. Indien die standaardpad nie by jou pas nie, kan jy dit direk verander deur 'n ander een in te tik, of deur die knoppie te gebruik Kyk na om 'n ander vouer in die blaaier te kies.

Toe die komponent lys wat die toepassing uitmaak: hooflêers, kortpaaie, drywerverwante opsies, ens. As jy 'n volledige installasie wil hê, is die eenvoudigste ding om alles gemerk te laat. As jy seker weet dat jy nie 'n spesifieke kenmerk sal gebruik nie, kan jy dit deselekteer, alhoewel die spasie wat dit opneem minimaal is.

Volgende sal die assistent jou vra vir die vouernaam in die Start-kieslysDit stel gewoonlik "Process Hacker 2" of iets soortgelyks voor, wat 'n nuwe vouer met daardie naam sal skep. As jy verkies dat die kortpad in 'n ander bestaande vouer verskyn, kan jy op Blaai klik en dit kies. Jy het ook die opsie Moenie 'n Start-kieslys-lêergids skep nie sodat geen inskrywing in die Start-kieslys geskep word nie.

Op die volgende skerm sal jy 'n stel van bykomende opsies wat spesiale aandag verdien:

• Om te skep of nie 'n kortpad op die lessenaaren besluit of dit slegs vir jou gebruiker of vir alle gebruikers in die span sal wees.
• traan Proseshacker by Windows-opstartEn as jy in daardie geval wil hê dat dit geminimaliseerd in die kennisgewingarea oopmaak.
• Doen wat Proses Hacker vervang Taakbestuurder Windows-standaard.
• Installeer die KProcessHacker-drywer en gee dit volle toegang tot die stelsel (’n baie kragtige opsie, maar nie aanbeveel as jy nie weet wat dit behels nie).

Sodra jy hierdie voorkeure gekies het, sal die installeerder jou 'n konfigurasie-opsomming En wanneer jy op Installeer klik, sal dit begin om lêers te kopieer. Jy sal vir 'n paar sekondes 'n klein vorderingsbalk sien; die proses is vinnig.

Wanneer dit klaar is, sal die assistent jou in kennis stel dat die Installasie is suksesvol voltooi en sal verskeie bokse vertoon:

• Begin Process Hacker wanneer die towenaar gesluit word.
• Maak die veranderingslogboek vir die geïnstalleerde weergawe oop.
• Besoek die projek se amptelike webwerf.

Standaard word gewoonlik slegs die blokkie gemerk. Begin Proses HackerAs jy daardie opsie so laat, sal die program vir die eerste keer oopmaak wanneer jy op Voltooi klik en jy kan daarmee begin eksperimenteer.

Hoe om Process Hacker te begin en eerste stappe

As jy gekies het om 'n lessenaarkortpad tydens installasie te skep, sal die begin van die program so eenvoudig wees soos dubbelklik op die ikoonDit is die vinnigste manier vir diegene wat dit gereeld gebruik.

Indien jy nie direkte toegang het nie, kan jy altyd Maak dit oop vanaf die Start-kieslysKlik eenvoudig op die Start-knoppie, gaan na "Alle programme" en vind die "Process Hacker 2"-vouer (of watter naam jy ook al tydens die installasie gekies het). Binne vind jy die programinskrywing en kan jy dit met 'n klik oopmaak.

Die eerste keer wat dit begin, is wat uitstaan ​​dat die Die koppelvlak is baie inligtingoorlaai.Moenie bekommerd wees nie: met 'n bietjie oefening word die uitleg redelik logies en georganiseerd. Trouens, dit vertoon baie meer data as die standaard Taakbestuurder, terwyl dit steeds hanteerbaar bly.

Bo-aan het jy 'n ry van Hoofoortjies: Prosesse, Dienste, Netwerk en SkyfElkeen wys jou 'n ander aspek van die stelsel: onderskeidelik lopende prosesse, dienste en drywers, netwerkverbindings en skyfaktiwiteit.

In die Prosesse-oortjie, wat die een is wat standaard oopmaak, sal jy al die prosesse sien in die vorm van 'n hiërargiese boomDit beteken dat jy vinnig kan identifiseer watter prosesse ouers en watter kinders is. Dit is byvoorbeeld algemeen om Notepad (notepad.exe) afhanklik van explorer.exe te sien, net soos baie vensters en toepassings wat jy vanaf die Verkenner begin.

Prosesse-oortjie: prosesinspeksie en -beheer

Die prosesaansig is die hart van Process Hacker. Van hier af kan jy kyk wat eintlik loop op jou masjien en neem vinnige besluite wanneer iets verkeerd loop.

In die proseslys, benewens die naam, kolomme soos die PID (prosesidentifiseerder), persentasie van SVE wat gebruik word, totale I/O-tempo, geheue in gebruik (privaat grepe), gebruiker wat die proses uitvoer en 'n kort beskrywing.

As jy die muis beweeg en dit vir 'n oomblik oor die naam van 'n proses hou, sal 'n venster oopmaak. opspringboks met bykomende besonderhedeDie volledige pad na die uitvoerbare lêer op die skyf (byvoorbeeld C:\Windows\System32\notepad.exe), die presiese lêerweergawe en die maatskappy wat dit onderteken het (Microsoft Corporation, ens.). Hierdie inligting is baie nuttig om wettige prosesse van potensieel kwaadwillige nabootsings te onderskei.

'n Eienaardige aspek is dit Die prosesse is gekleurd volgens hul tipe of status (dienste, stelselprosesse, opgeskorte prosesse, ens.). Die betekenis van elke kleur kan in die kieslys besigtig en aangepas word. Hacker > Opsies > Uitlig, ingeval jy die skema na jou smaak wil aanpas.

As jy regs-kliek op enige proses, sal 'n kieslys verskyn kontekskieslys vol opsiesEen van die opvallendste is Eienskappe, wat uitgelig verskyn en dien om 'n venster oop te maak met uiters gedetailleerde inligting oor die proses.

Daardie eienskappevenster is georganiseer in verskeie oortjies (ongeveer elf)Elke oortjie fokus op 'n spesifieke aspek. Die Algemeen-oortjie wys die uitvoerbare pad, die opdragreël wat gebruik is om dit te begin, die looptyd, die ouerproses, die prosesomgewingblok (PEB)-adres en ander lae-vlak data.

Die Statistiek-oortjie vertoon gevorderde statistieke: proses prioriteit, aantal SVE-siklusse wat verbruik word, hoeveelheid geheue wat deur beide die program self en die data wat dit hanteer, gebruik word, invoer-/uitvoerbewerkings wat uitgevoer word (lees en skryf na skyf of ander toestelle), ens.

Die Prestasie-oortjie bied SVE-, geheue- en I/O-gebruiksgrafieke Vir daardie proses, iets baie nuttig vir die opsporing van pieke of anomale gedrag. Intussen laat die Geheue-oortjie jou toe om te inspekteer en selfs wysig die inhoud van die geheue direk van die proses, 'n baie gevorderde funksionaliteit wat gewoonlik in ontfouting of wanware-analise gebruik word.

Benewens Eienskappe, bevat die kontekskieslys 'n aantal sleutel opsies bo-op:

• beëindig: beëindig die proses onmiddellik.
• Beëindig Boomsluit die gekose proses en al sy kindprosesse.
• Hang: vries die proses tydelik, wat later hervat kan word.
• herlaai: herbegin 'n proses wat opgeskort is.

Die gebruik van hierdie opsies vereis versigtigheid, want Proses Hacker kan prosesse beëindig wat ander bestuurders nie kan nie.As jy iets wat krities is vir die stelsel of 'n belangrike toepassing doodmaak, kan jy data verloor of onstabiliteit veroorsaak. Dit is 'n ideale hulpmiddel om wanware of onreagerende prosesse te stop, maar jy moet weet wat jy doen.

Verder af in dieselfde kieslys vind jy instellings vir SVE-prioriteit In die Prioriteit-opsie kan jy vlakke instel wat wissel van Real-time (maksimum prioriteit, die proses kry die verwerker wanneer dit dit versoek) tot Idle (minimum prioriteit, dit loop slegs as niks anders die SVE wil gebruik nie).

U het ook die opsie I/O-prioriteitHierdie instelling definieer die prosesprioriteit vir invoer-/uitvoerbewerkings (lees en skryf na skyf, ens.) met waardes soos Hoog, Normaal, Laag en Baie Laag. Deur hierdie opsies aan te pas, kan jy byvoorbeeld die impak van 'n groot kopie of 'n program wat die skyf versadig, beperk.

Nog 'n baie interessante kenmerk is Stuur naVan daar af kan jy inligting oor die proses (of 'n voorbeeld) na verskeie aanlyn antivirus-analisedienste stuur, wat wonderlik is as jy vermoed dat 'n proses kwaadwillig kan wees en 'n tweede opinie wil hê sonder om al die werk handmatig te doen.

Diens-, netwerk- en skyfbestuur

Process Hacker fokus nie net op prosesse nie. Die ander hoofoortjies gee jou 'n redelik fyn beheer oor dienste, netwerkverbindings en skyfaktiwiteit.

Op die Dienste-oortjie sal jy 'n volledige lys sien van Windows-dienste en drywersDit sluit beide aktiewe en gestopte dienste in. Van hier af kan jy dienste begin, stop, onderbreek of hervat, asook hul opstarttipe (outomaties, handmatig of gedeaktiveer) of die gebruikersrekening waaronder hulle loop, verander. Vir stelseladministrateurs is dit suiwer goud.

Die Netwerk-oortjie vertoon intydse inligting. watter prosesse netwerkverbindings vestigDit sluit inligting in soos plaaslike en afgeleë IP-adresse, poorte en verbindingstatus. Dit is baie nuttig om programme op te spoor wat met verdagte adresse kommunikeer of om te identifiseer watter toepassing jou bandwydte versadig.

Byvoorbeeld, as jy 'n "wenkbroublokkade" of 'n webwerf teëkom wat jou blaaier met konstante dialoogkassies blokkeer, kan jy die Netwerk-oortjie gebruik om dit op te spoor. die blaaier se spesifieke verbinding met daardie domein en maak dit toe van Process Hacker, sonder om die hele blaaierproses dood te maak en alle oop oortjies te verloor, of selfs blokkeer verdagte verbindings vanaf CMD as jy verkies om vanaf die opdragreël op te tree.

Die Skyf-oortjie lys die lees- en skryfaktiwiteite wat deur stelselprosesse uitgevoer word. Van hier af kan jy opspoor toepassings wat die skyf oorlaai sonder ooglopende rede of identifiseer verdagte gedrag, soos 'n program wat massief skryf en lêers kan enkripteer (tipiese gedrag van sommige ransomware).

Gevorderde kenmerke: handvatsels, geheuedumps en "gekaapte" hulpbronne

Benewens basiese proses- en diensbeheer, bevat Process Hacker ook baie nuttige gereedskap vir spesifieke scenario'sveral wanneer geslote lêers uitgevee word, vreemde prosesse ondersoek word of toepassingsgedrag ontleed word.

'n Baie praktiese opsie is Vind handvatsels of DLL'eHierdie funksie is toeganklik vanaf die hoofkieslys. Stel jou voor jy probeer 'n lêer verwyder en Windows dring daarop aan dat dit "deur 'n ander proses gebruik word", maar sê nie vir jou watter een nie. Met hierdie funksie kan jy die lêernaam (of 'n deel daarvan) in die Filterbalk tik en op Soek klik.

Die program volg die handvatsels (hulpbron-identifiseerders) en DLL'e Maak die lys oop en wys die resultate. Wanneer jy die lêer vind waarin jy belangstel, kan jy regskliek en "Gaan na die eienaarproses" kies om na die ooreenstemmende proses in die Prosesse-oortjie te spring.

Sodra daardie proses uitgelig is, kan jy besluit of jy dit wil beëindig (Beëindig) om die lêer vry te stel en in staat te wees om verwyder geslote lêersVoordat jy dit doen, sal Process Hacker 'n waarskuwing wys wat jou daaraan herinner dat jy data kan verloor. Weereens, dit is 'n kragtige instrument wat jou uit 'n moeilike posisie kan kry wanneer alles anders misluk, maar dit moet met omsigtigheid gebruik word.

Nog 'n gevorderde kenmerk is die skep van geheuestortingsVanuit 'n proses se kontekskieslys kan jy "Skep dumplêer..." kies en die vouer kies waar jy die .dmp-lêer wil stoor. Hierdie dumplêers word wyd deur ontleders gebruik om te soek na teksstringe, enkripsiesleutels of wanware-aanwysers met behulp van gereedskap soos heksadesimale redigeerders, skrifte of YARA-reëls.

Proses Hacker kan ook hanteer .NET-prosesse meer omvattend as sommige soortgelyke gereedskap, wat nuttig is wanneer toepassings wat op daardie platform geskryf is, ontfout word of wanware gebaseer op .NET ontleed word.

Laastens, wanneer dit kom by die opsporing hulpbronverbruikende prosesseKlik eenvoudig op die SVE-kolomkop om die proseslys te sorteer volgens verwerkergebruik, of op Privaat grepe en I/O totale tempo om te identifiseer watter prosesse geheue opneem of I/O oorlaai. Dit maak die opspoor van knelpunte baie maklik.

Verenigbaarheid, drywer en veiligheidsoorwegings

Histories het Process Hacker geopereer op Windows XP en latere weergawes, wat .NET Framework 2.0 vereis. Met verloop van tyd het die projek ontwikkel, en die mees onlangse weergawes is gerig op Windows 10 en Windows 11, beide 32 en 64 bisse, met ietwat meer moderne vereistes (sekere weergawes staan ​​bekend as System Informer, die geestelike opvolger van Process Hacker 2.x).

In 64-bis-stelsels kom 'n delikate kwessie ter sprake: kernmodus-drywerondertekening (Kernelmodus-kodeondertekening, KMCS). Windows laat slegs die laai van drywers toe wat onderteken is met geldige sertifikate wat deur Microsoft erken word, as 'n maatreël om rootkits en ander kwaadwillige drywers te voorkom.

Die drywer wat Process Hacker vir sy meer gevorderde funksies gebruik, het dalk nie 'n stelsel-aanvaarde handtekening nie, of dit is dalk met toetssertifikate onderteken. Dit beteken dat, in 'n standaard 64-bis Windows-installasieDie drywer mag dalk nie laai nie en sommige "diep" funksies sal gedeaktiveer word.

Gevorderde gebruikers kan opsies soos aktiveer Windows se "toetsmodus" (wat die laai van proefdrywers toelaat) of, in ouer weergawes van die stelsel, die deaktivering van bestuurderhandtekeningverifikasie. Hierdie maneuvers verminder egter stelselsekuriteit aansienlik, aangesien dit die deur oopmaak vir ander kwaadwillige drywers om ongemerk deur te glip.

Selfs sonder 'n drywer gelaai, is Process Hacker steeds 'n baie kragtige moniteringsinstrumentJy sal prosesse, dienste, netwerk, skyf, statistieke en baie ander nuttige inligting kan sien. Jy sal eenvoudig van jou vermoë verloor om afgeskermde prosesse te beëindig of toegang tot sekere baie lae-vlak data te verkry.

In elk geval, dit is die moeite werd om te onthou dat sommige antivirusprogramme Process Hacker sal opspoor as Risikoware of PUP Juis omdat dit sekuriteitsprosesse kan belemmer. As jy dit wettiglik gebruik, kan jy uitsluitings by jou sekuriteitsoplossing voeg om vals alarms te voorkom, en altyd bewus wees van wat jy doen.

Vir enigiemand wat beter wil verstaan ​​hoe hul Windows optree, van gevorderde gebruikers tot kuberveiligheidsprofessionele persone, Om Process Hacker in jou gereedskapskis te hê, maak 'n groot verskil wanneer dit tyd is om ingewikkelde probleme in die stelsel te diagnoseer, te optimaliseer of te ondersoek.