Пълно ръководство за Process Hacker: Разширена алтернатива на Task Manager

За много потребители на Windows, Task Manager не е достатъчен. Ето защо някои в крайна сметка се обръщат към Process Hacker. Този инструмент е придобил популярност сред администратори, разработчици и анализатори по сигурността, защото им позволява да преглеждат и контролират системата на ниво, което стандартният Windows Task Manager дори не може да си представи.

В това изчерпателно ръководство ще разгледаме Какво е Process Hacker, как да го изтеглите и инсталиратеКакво предлага в сравнение със Task Manager и Process Explorer и как да го използвате за управление на процеси, услуги, мрежа, диск, памет и дори за разследване на зловреден софтуер.

Какво е Process Hacker и защо е толкова мощен

Process Hacker е, по същество, усъвършенстван мениджър на процеси за WindowsТой е с отворен код и е напълно безплатен. Много хора го описват като „Диспечер на задачи на стероиди“ и истината е, че това описание му пасва доста добре.

Целта му е да ви даде много подробен преглед на случващото се във вашата системаПроцеси, услуги, памет, мрежа, диск… и най-вече, предоставя ви инструменти за намеса, когато нещо заседне, изразходва твърде много ресурси или изглежда подозрително за злонамерен софтуер. Интерфейсът донякъде напомня на Process Explorer, но Process Hacker добавя голям брой допълнителни функции.

Една от силните му страни е, че може откриване на скрити процеси и прекратяване на „защитени“ процеси който диспечера на задачите не може да затвори. Това се постига благодарение на драйвер в режим на ядрото, наречен KProcessHacker, който му позволява да комуникира директно с ядрото на Windows с повишени привилегии.

Да бъдеш проект Отворен код, кодът е достъпен за всекиТова насърчава прозрачността: общността може да го одитира, да открива пропуски в сигурността, да предлага подобрения и да гарантира, че няма скрити неприятни изненади. Много компании и специалисти по киберсигурност се доверяват на Process Hacker именно заради тази отворена философия.

Струва си да се отбележи обаче, че Някои антивирусни програми го маркират като „рисков“ или PUP (потенциално нежелана програма).Не защото е злонамерено, а защото има способността да убива силно чувствителни процеси (включително услуги за сигурност). Това е много мощно оръжие и, както всички оръжия, трябва да се използва разумно.

Изтегляне на Process Hacker: версии, преносима версия и изходен код

За да получите програмата, обичайното нещо, което трябва да направите, е да отидете на техния официална страница на OA вашето хранилище в SourceForge / GitHubТам винаги ще намерите най-новата версия и кратко обобщение на това, което инструментът може да прави.

В секцията за изтегляния обикновено ще видите две основни модалности за 64-битови системи:

• Настройка (препоръчително): класическият инсталатор, този, който винаги сме използвали, препоръчан за повечето потребители.
• Двоични файлове (преносими)преносима версия, която можете да стартирате директно без инсталиране.

Опцията за настройка е идеална, ако искате Оставете Process Hacker вече инсталиран.интегриран със менюто „Старт“ и с допълнителни опции (като например заместване на диспечера на задачите). Преносимата версия, от друга страна, е идеална за носете го на USB устройство и да го използвате на различни компютри, без да е необходимо да инсталирате каквото и да било.

Малко по-надолу те също обикновено се появяват 32-битови версииВ случай, че все още работите с по-старо оборудване. То не е толкова разпространено в днешно време, но все още има среди, в които е необходимо.

Ако това, което те интересува, е боравене с изходния код Или можете да компилирате своя собствена версия; на официалния уебсайт ще намерите директна връзка към хранилището на GitHub. Оттам можете да прегледате кода, да следите списъка с промените и дори да предложите подобрения, ако искате да допринесете за проекта.

Програмата тежи много малко, около няколко мегабайтаТака че изтеглянето отнема само няколко секунди, дори при бавна връзка. След като приключи, можете да стартирате инсталатора или, ако сте избрали преносимата версия, да разархивирате и стартирате директно изпълнимия файл.

Поетапна инсталация на Windows

Ако изберете инсталатора (Setup), процесът е доста типичен за Windows, въпреки че с Някои интересни опции, които си струва да разгледате спокойно.

Веднага щом щракнете двукратно върху изтегления файл, Windows ще покаже Контрол на потребителските акаунти (UAC) Ще ви предупреди, че програмата иска да направи промени в системата. Това е нормално: Process Hacker се нуждае от определени привилегии, за да работи, така че ще трябва да приемете, за да продължите.

Първото нещо, което ще видите, е инсталационният съветник с типичните екран за лицензProcess Hacker се разпространява под лиценз GNU GPL версия 3, с някои специфични изключения, споменати в текста. Добра идея е да ги прегледате набързо, преди да продължите, особено ако планирате да го използвате в корпоративна среда.

 

В следващата стъпка инсталаторът предлага папка по подразбиране където ще бъде копирана програмата. Ако пътят по подразбиране не ви устройва, можете да го промените директно, като въведете друг или като използвате бутона паса за да изберете друга папка в браузъра.

Тогава списък с компоненти които съставят приложението: основни файлове, преки пътища, опции, свързани с драйвери и т.н. Ако искате пълна инсталация, най-лесното нещо е да оставите всичко отметнато. Ако сте сигурни, че няма да използвате определена функция, можете да я премахнете отметката, въпреки че пространството, което заема, е минимално.

След това асистентът ще ви попита за името на папката в менюто „Старт“Обикновено се предлага „Process Hacker 2“ или нещо подобно, което ще създаде нова папка с това име. Ако предпочитате пряк път да се показва в друга съществуваща папка, можете да щракнете върху „Преглед“ и да го изберете. Имате и опцията Не създавайте папка в менюто "Старт". така че да не се създава запис в менюто „Старт“.

На следващия екран ще стигнете до набор от допълнителни опции които заслужават специално внимание:

• Да се ​​създаде или не пряк път на работния плоти решете дали ще бъде само за вашия потребител или за всички потребители в екипа.
• Късам Process Hacker при стартиране на WindowsИ ако в такъв случай искате да се отвори минимизирано в областта за известия.
• Направи го Process Hacker замества Task Manager Стандарт за Windows.
• Инсталирайте Драйвер за KProcessHacker и му дайте пълен достъп до системата (много мощна опция, но не се препоръчва, ако не знаете какво представлява).

След като изберете тези предпочитания, инсталаторът ще ви покаже обобщение на конфигурацията И когато щракнете върху „Инсталиране“, копирането на файлове ще започне. Ще видите малка лента за напредък за няколко секунди; процесът е бърз.

Когато приключите, асистентът ще ви уведоми, че Инсталацията е завършена успешно и ще покаже няколко полета:

• Стартирайте Process Hacker при затваряне на съветника.
• Отворете дневника на промените за инсталираната версия.
• Посетете официалния уебсайт на проекта.

По подразбиране обикновено е отметнато само квадратчето. Изпълнете хакера на процесаАко оставите тази опция такава, каквато е, когато щракнете върху „Готово“, програмата ще се отвори за първи път и можете да започнете да експериментирате с нея.

Как да стартирате Process Hacker и първи стъпки

Ако сте избрали да създадете пряк път на работния плот по време на инсталацията, стартирането на програмата ще бъде толкова лесно, колкото щракнете двукратно върху иконатаТова е най-бързият начин за тези, които го използват често.

Ако нямате директен достъп, винаги можете Отворете го от менюто „Старт“Просто щракнете върху бутона „Старт“, отидете на „Всички приложения“ и намерете папката „Process Hacker 2“ (или каквото и да е име, което сте избрали по време на инсталацията). Вътре ще намерите записа за програмата и можете да я отворите с едно щракване.

При първото стартиране се откроява, че Интерфейсът е силно претоварен с информация.Не се тревожете: с малко практика оформлението става доста логично и организирано. Всъщност, то показва много повече данни от стандартния диспечера на задачите, като същевременно остава лесно управляемо.

Най-отгоре имате ред от Основни раздели: Процеси, Услуги, Мрежа и ДискВсеки от тях ви показва различен аспект на системата: съответно изпълнявани процеси, услуги и драйвери, мрежови връзки и активност на диска.

В раздела „Процеси“, който се отваря по подразбиране, ще видите всички процеси. във формата на йерархично дървоТова означава, че можете бързо да идентифицирате кои процеси са родители и кои са деца. Например, често срещано е Notepad (notepad.exe) да зависи от explorer.exe, както и много прозорци и приложения, които стартирате от Explorer.

Раздел „Процеси“: инспекция и контрол на процесите

Изгледът на процесите е сърцето на Process Hacker. Оттук можете вижте какво всъщност работи на вашата машина и да вземате бързи решения, когато нещо се обърка.

В списъка с процеси, освен името, колони като PID (идентификатор на процес), процент на използване на процесора, обща скорост на входно/изходни операции, използвана памет (частни байтове), потребител, изпълняващ процеса, и кратко описание.

Ако преместите мишката и я задържите за момент върху името на процес, ще се отвори прозорец. изскачащ прозорец с допълнителни подробностиПълният път до изпълнимия файл на диска (например, C:\Windows\System32\notepad.exe), точната версия на файла и компанията, която го е подписала (Microsoft Corporation и др.). Тази информация е много полезна за разграничаване на легитимни процеси от потенциално злонамерени имитации.

Любопитен аспект е, че Процесите са оцветени според техния тип или състояние (услуги, системни процеси, спрени процеси и др.). Значението на всеки цвят може да се види и персонализира в менюто. Хакер > Опции > Маркиране, в случай че искате да адаптирате схемата по ваш вкус.

Ако щракнете с десния бутон върху който и да е процес, ще се появи меню контекстно меню, пълно с опцииЕдно от най-впечатляващите е „Свойства“, което се появява маркирано и служи за отваряне на прозорец с изключително подробна информация за процеса.

Този прозорец със свойства е организиран в няколко раздела (около единадесет)Всеки раздел се фокусира върху специфичен аспект. Разделът „Общи“ показва пътя до изпълнимия файл, командния ред, използван за стартирането му, времето за изпълнение, родителския процес, адреса на блока на средата на процеса (PEB) и други данни от ниско ниво.

Разделът „Статистика“ показва разширена статистика: приоритет на процеса, брой консумирани цикли на процесора, количество памет, използвана както от самата програма, така и от данните, които тя обработва, извършени входно/изходни операции (четене и запис на диск или други устройства) и др.

Разделът „Производителност“ предлага Графики за използване на процесора, паметта и I/O За този процес, нещо много полезно за откриване на пикове или аномално поведение. Междувременно, разделът „Памет“ ви позволява да проверявате и дори директно редактиране на съдържанието на паметта на процеса, много усъвършенствана функционалност, която обикновено се използва при отстраняване на грешки или анализ на зловреден софтуер.

В допълнение към „Свойства“, контекстното меню включва редица ключови опции на върха:

• Прекратяване: прекратява процеса незабавно.
• Прекратяване на дървото: затваря избрания процес и всички негови дъщерни процеси.
• Задържане: временно замразява процеса, който може да бъде възобновен по-късно.
• Restart: рестартира процес, който е бил спрян.

Използването на тези опции изисква повишено внимание, защото Process Hacker може да прекрати процеси, които други мениджъри не могат.Ако прекъснете нещо критично за системата или важно приложение, може да загубите данни или да причините нестабилност. Това е идеален инструмент за спиране на злонамерен софтуер или блокиращи процеси, но трябва да знаете какво правите.

По-надолу в същото меню ще намерите настройки за Приоритет на процесора В опцията „Приоритет“ можете да зададете нива, вариращи от „Реално време“ (максимален приоритет, процесът получава процесора винаги, когато го поиска) до „Неактивен“ (минимален приоритет, процесът се изпълнява само ако нищо друго не иска да използва процесора).

Вие също имате възможност Приоритет на входно/изходните данниТази настройка определя приоритета на процеса за входно/изходни операции (четене и запис на диск и др.) със стойности като Висок, Нормален, Нисък и Много нисък. Регулирането на тези опции ви позволява например да ограничите въздействието на голямо копие или програма, която претоварва диска.

Друга много интересна характеристика е ИзпратиОттам можете да изпратите информация за процеса (или пример) до различни онлайн услуги за антивирусен анализ, което е чудесно, когато подозирате, че даден процес може да е злонамерен и искате второ мнение, без да се налага да вършите цялата работа ръчно.

Управление на услуги, мрежа и дискове

Process Hacker не се фокусира само върху процесите. Другите основни раздели ви дават сравнително фин контрол върху услугите, мрежовите връзки и дисковата активност.

В раздела „Услуги“ ще видите пълен списък с Услуги и драйвери на WindowsТова включва както активни, така и спрени услуги. Оттук можете да стартирате, спирате, поставяте на пауза или възобновявате услуги, както и да променяте типа им на стартиране (автоматично, ръчно или деактивирано) или потребителския акаунт, под който се изпълняват. За системните администратори това е чисто злато.

Разделът „Мрежа“ показва информация в реално време. кои процеси установяват мрежови връзкиТова включва информация като локални и отдалечени IP адреси, портове и състояние на връзката. Много е полезно за откриване на програми, комуникиращи с подозрителни адреси, или за идентифициране на това кое приложение насища вашата честотна лента.

Например, ако срещнете „заключване на браузъра“ или уебсайт, който блокира браузъра ви с постоянни диалогови прозорци, можете да използвате раздела „Мрежа“, за да го намерите. специфичната връзка на браузъра с този домейн и да го затворите от Process Hacker, без да е необходимо да прекратявате целия процес на браузъра и да губите всички отворени раздели или дори блокиране на подозрителни връзки от CMD ако предпочитате да действате от командния ред.

Разделът „Диск“ изброява дейностите по четене и запис, извършвани от системните процеси. Оттук можете да откриете приложения, които претоварват диска без видима причина или идентифициране на подозрително поведение, като например програма, която пише масивно и може да криптира файлове (типично поведение на някои ransomware програми).

Разширени функции: манипулатори, дъмпове на паметта и „откраднати“ ресурси

В допълнение към основния контрол на процесите и услугите, Process Hacker включва много полезни инструменти за специфични сценарииособено при изтриване на заключени файлове, разследване на странни процеси или анализ на поведението на приложенията.

Много практичен вариант е Намиране на манипулатори или DLL файловеТази функция е достъпна от главното меню. Представете си, че се опитвате да изтриете файл и Windows настоява, че той „се използва от друг процес“, но не ви казва кой. С тази функция можете да въведете името на файла (или част от него) в лентата за филтриране и да щракнете върху „Намери“.

Програмата проследява манипулатори (идентификатори на ресурси) и DLL файлове Отворете списъка и покажете резултатите. Когато намерите файла, който ви интересува, можете да щракнете с десния бутон върху него и да изберете „Отиди на притежаващия процес“, за да преминете към съответния процес в раздела „Процеси“.

След като този процес бъде маркиран, можете да решите дали да го прекратите (Прекрати), за да освободете файла и бъдете в състояние да изтриване на заключени файловеПреди да направите това, Process Hacker ще покаже предупреждение, което ви напомня, че може да загубите данни. Отново, това е мощен инструмент, който може да ви измъкне от затруднено положение, когато всичко друго се провали, но трябва да се използва с повишено внимание.

Друга усъвършенствана функция е създаването на дъмпове на паметтаОт контекстното меню на процеса можете да изберете „Създаване на дъмп файл…“ и да изберете папката, където искате да запишете .dmp файла. Тези дъмпове се използват широко от анализаторите за търсене на текстови низове, ключове за криптиране или индикатори за злонамерен софтуер, използвайки инструменти като шестнадесетични редактори, скриптове или YARA правила.

Process Hacker може също да се справи .NET процеси по-изчерпателен от някои подобни инструменти, което е полезно при дебъгване на приложения, написани на тази платформа, или при анализ на зловреден софтуер, базиран на .NET.

Накрая, когато става въпрос за откриване процеси, изискващи ресурсиПросто щракнете върху заглавието на колоната CPU, за да сортирате списъка с процеси по използване на процесора, или върху Private bytes и I/O total rate, за да определите кои процеси използват памет или претоварват I/O. Това прави локализирането на пречките много лесно.

Съображения за съвместимост, драйвери и сигурност

В исторически план, Process Hacker е работил върху Windows XP и по-нови версии, изискващ .NET Framework 2.0. С течение на времето проектът се е развил и най-новите версии са насочени към Windows 10 и Windows 11, както 32-битови, така и 64-битови, с малко по-модерни изисквания (някои компилации са известни като System Informer, духовен наследник на Process Hacker 2.x).

В 64-битовите системи възниква деликатен проблем: подписване на драйвери в режим на ядрото (Подписване на код в режим на ядро, KMCS). Windows позволява зареждане само на драйвери, подписани с валидни сертификати, разпознати от Microsoft, като мярка за предотвратяване на руткитове и други злонамерени драйвери.

Драйверът, който Process Hacker използва за по-разширените си функции, може да няма системно приет подпис или да е подписан с тестови сертификати. Това означава, че в стандартна 64-битова инсталация на WindowsДрайверът може да не се зареди и някои „дълбоки“ функции ще бъдат деактивирани.

Напредналите потребители могат да прибягнат до опции като активирайте „тестов режим“ на Windows (което позволява зареждане на пробни драйвери) или, в по-стари версии на системата, деактивиране на проверката на подписа на драйвера. Тези маневри обаче значително намаляват сигурността на системата, тъй като отварят вратата за други злонамерени драйвери да се промъкнат безконтролно.

Дори без зареден драйвер, Process Hacker все още е много мощен инструмент за наблюдениеЩе можете да виждате процеси, услуги, мрежа, диск, статистика и много друга полезна информация. Просто ще загубите част от възможността си да прекратявате защитени процеси или да осъществявате достъп до определени данни от много ниско ниво.

Във всеки случай, струва си да се помни, че някои антивирусни програми ще открият Process Hacker като Рисков софтуер или потенциално нежелани програми (PUP) Именно защото може да попречи на процесите за сигурност. Ако го използвате легитимно, можете да добавите изключения към вашето решение за сигурност, за да предотвратите фалшиви аларми, като винаги сте наясно какво правите.

За всеки, който иска да разбере по-добре как се държи неговият Windows, от напреднали потребители до специалисти по киберсигурност, Наличието на Process Hacker във вашия инструментариум прави огромна разлика когато дойде време за диагностициране, оптимизиране или проучване на сложни проблеми в системата.