Kompletan vodič za Process Hacker: Napredna alternativa Upravitelju zadataka

Za mnoge korisnike Windowsa, Upravitelj zadataka nije dovoljan. Zato se neki na kraju okreću Process Hackeru. Ovaj alat je stekao popularnost među administratorima, programerima i sigurnosnim analitičarima jer im omogućava pregled i kontrolu sistema na nivou koji standardni Upravitelj zadataka Windowsa ne može ni zamisliti.

U ovom sveobuhvatnom vodiču pregledat ćemo Šta je Process Hacker, kako ga preuzeti i instaliratiŠta nudi u poređenju sa Upraviteljem zadataka i Istraživačem procesa, te kako ga koristiti za upravljanje procesima, uslugama, mrežom, diskom, memorijom, pa čak i istraživanjem zlonamjernog softvera.

Šta je Process Hacker i zašto je tako moćan?

Process Hacker je, u osnovi, napredni upravitelj procesa za WindowsOtvorenog je koda i potpuno besplatan. Mnogi ga opisuju kao "Upravitelj zadataka na steroidima", i istina je da mu taj opis prilično dobro odgovara.

Njegov cilj je da vam pruži vrlo detaljan pregled onoga što se dešava u vašem sistemuProcesi, servisi, memorija, mreža, disk... i, prije svega, pruža vam alate za intervenciju kada se nešto zaglavi, troši previše resursa ili se čini sumnjivim na zlonamjerni softver. Interfejs donekle podsjeća na Process Explorer, ali Process Hacker dodaje dobar broj dodatnih funkcija.

Jedna od njegovih snaga je to što može otkrivanje skrivenih procesa i prekidanje „zaštićenih“ procesa koji Upravitelj zadataka ne može zatvoriti. To se postiže zahvaljujući upravljačkom programu kernel-mode pod nazivom KProcessHacker, koji mu omogućava direktnu komunikaciju s Windows kernelom s povišenim privilegijama.

Biti projekat Otvorenog koda, kod je dostupan svimaOvo podstiče transparentnost: zajednica može da ga revidira, otkrije sigurnosne nedostatke, predloži poboljšanja i osigura da nema skrivenih neugodnih iznenađenja. Mnoge kompanije i stručnjaci za sajber sigurnost vjeruju Process Hackeru upravo zbog ove otvorene filozofije.

Međutim, vrijedi imati na umu da Neki antivirusni programi ga označavaju kao "rizičan" ili kao PUP (potencijalno neželjeni program).Ne zato što je zlonamjerno, već zato što ima sposobnost da uništi visoko osjetljive procese (uključujući sigurnosne servise). To je vrlo moćno oružje i, kao i svako oružje, treba ga koristiti razborito.

Preuzmite Process Hacker: verzije, prenosiva verzija i izvorni kod

Da biste dobili program, uobičajeno je da odete na njihovu službena OA stranica vaš repozitorij na SourceForge / GitHubTamo ćete uvijek pronaći najnoviju verziju i kratak sažetak onoga što alat može učiniti.

U odjeljku za preuzimanje obično ćete vidjeti dva glavna modaliteta za 64-bitne sisteme:

• Podešavanje (preporučeno)Klasični instalacijski program, onaj koji smo oduvijek koristili, preporučen za većinu korisnika.
• Binarne datoteke (prijenosne): prenosiva verzija, koju možete pokrenuti direktno bez instalacije.

Opcija podešavanja je idealna ako želite Ostavite Process Hacker već instaliran.integriran s menijem Start i s dodatnim opcijama (kao što je zamjena Upravitelja zadataka). S druge strane, prenosiva verzija je savršena za nosite ga na USB disku i koristiti ga na različitim računarima bez potrebe za instaliranjem ičega.

Malo dalje se obično pojavljuju i 32-bitne verzijeU slučaju da još uvijek radite sa starijom opremom. Danas nije toliko uobičajena, ali i dalje postoje okruženja u kojima je neophodna.

Ako je ono što vas zanima petljanje sa izvornim kodom Ili možete sami kompajlirati; na službenoj web stranici naći ćete direktnu vezu do GitHub repozitorija. Odatle možete pregledati kod, pratiti dnevnik promjena, pa čak i predložiti poboljšanja ako želite doprinijeti projektu.

Program teži vrlo malo, oko nekoliko megabajtaDakle, preuzimanje traje samo nekoliko sekundi, čak i sa sporom vezom. Nakon što se završi, možete pokrenuti instalacijski program ili, ako ste odabrali prenosivu verziju, izdvojiti i direktno pokrenuti izvršnu datoteku.

Instalacija korak po korak na Windowsu

Ako odaberete instalacijski program (Setup), proces je prilično tipičan za Windows, iako sa Neke zanimljive opcije koje vrijedi pogledati mirno.

Čim dvaput kliknete na preuzetu datoteku, Windows će prikazati Kontrola korisničkog računa (UAC) Upozorit će vas da program želi napraviti promjene u sistemu. To je normalno: Process Hackeru su potrebne određene privilegije da bi radio, tako da ćete morati prihvatiti da biste nastavili.

Prvo što ćete vidjeti je čarobnjak za instalaciju s tipičnim ekran za licencuProcess Hacker se distribuira pod GNU GPL verzijom 3 licence, uz neke specifične izuzetke spomenute u tekstu. Dobra je ideja da ih pregledate prije nego što nastavite, posebno ako ga planirate koristiti u korporativnim okruženjima.

 

U sljedećem koraku, instalater predlaže zadana mapa gdje će se program kopirati. Ako vam zadana putanja ne odgovara, možete je direktno promijeniti upisivanjem druge ili korištenjem dugmeta Pregledaj da biste odabrali drugu mapu u pregledniku.

Zatim spisak komponenti koji čine aplikaciju: glavne datoteke, prečice, opcije vezane za upravljačke programe itd. Ako želite potpunu instalaciju, najjednostavnije je ostaviti sve označeno. Ako ste sigurni da nećete koristiti određenu funkciju, možete je poništiti, iako zauzima minimalan prostor.

Zatim će vas asistent pitati za naziv mape u meniju StartObično predlaže „Process Hacker 2“ ili nešto slično, što će kreirati novu mapu s tim imenom. Ako želite da se prečica pojavi u drugoj postojećoj mapi, možete kliknuti na Pregledaj i odabrati je. Također imate opciju Ne kreirajte mapu u meniju Start tako da se ne kreira nijedan unos u meniju Start.

Na sljedećem ekranu ćete doći do skupa dodatne opcije koje zaslužuju posebnu pažnju:

• Stvoriti ili ne prečica na radnoj površinii odlučite hoće li to biti samo za vašeg korisnika ili za sve korisnike u timu.
• Pokreni Haker procesa pri pokretanju WindowsaA ako u tom slučaju želite da se otvori minimizirano u području za obavještenja.
• Uraditi šta Process Hacker zamjenjuje Upravitelja zadataka Standardni Windows.
• Instalirajte Drajver za KProcessHacker i dajte mu potpuni pristup sistemu (vrlo moćna opcija, ali se ne preporučuje ako ne znate šta ona podrazumijeva).

Nakon što odaberete ove postavke, instalacijski program će vam prikazati sažetak konfiguracije A kada kliknete na Instaliraj, kopiranje datoteka će početi. Vidjet ćete malu traku napretka nekoliko sekundi; proces je brz.

Kada završite, asistent će vas obavijestiti da je Instalacija je uspješno završena i prikazaće nekoliko okvira:

• Pokrenite Process Hacker prilikom zatvaranja čarobnjaka.
• Otvorite dnevnik promjena za instaliranu verziju.
• Posjetite službenu web stranicu projekta.

Podrazumevano, obično je označen samo okvir. Pokreni haker procesaAko tu opciju ostavite kakva jeste, kada kliknete na Završi, program će se prvi put otvoriti i možete početi eksperimentisati s njim.

Kako pokrenuti Process Hacker i prvi koraci

Ako ste tokom instalacije odabrali kreiranje prečice na radnoj površini, pokretanje programa će biti jednostavno kao dvaput kliknite na ikonuTo je najbrži način za one koji ga često koriste.

Ako nemate direktan pristup, uvijek možete Otvorite ga iz menija StartJednostavno kliknite na dugme Start, idite na "Sve aplikacije" i pronađite fasciklu "Process Hacker 2" (ili bilo koje drugo ime koje ste odabrali tokom instalacije). Unutra ćete pronaći unos programa i možete ga otvoriti jednim klikom.

Prvi put kada se pokrene, ono što upada u oči je da Interfejs je preopterećen informacijama.Ne brinite: uz malo vježbe, raspored postaje prilično logičan i organiziran. U stvari, prikazuje mnogo više podataka nego standardni Upravitelj zadataka, a istovremeno ostaje lako upravljiv.

Na vrhu imate red Glavne kartice: Procesi, Usluge, Mreža i DiskSvaki od njih prikazuje drugačiji aspekt sistema: pokrenute procese, servise i upravljačke programe, mrežne veze i aktivnost diska, respektivno.

Na kartici Procesi, koja se otvara po zadanim postavkama, vidjet ćete sve procese. u obliku hijerarhijskog stablaTo znači da možete brzo prepoznati koji su procesi roditelji, a koji djeca. Na primjer, uobičajeno je vidjeti Notepad (notepad.exe) ovisno o explorer.exe, kao i mnogi prozori i aplikacije koje pokrećete iz Explorera.

Kartica Procesi: inspekcija i kontrola procesa

Prikaz procesa je srž Process Hackera. Odavde možete pogledajte šta se zapravo pokreće na vašem računaru i brzo donosite odluke kada nešto pođe po zlu.

U listi procesa, pored imena, kolone kao što su PID (identifikator procesa), postotak korištenog CPU-a, ukupna brzina I/O operacija, memorija u upotrebi (privatni bajtovi), korisnik koji pokreće proces i kratak opis.

Ako pomaknete miš i zadržite ga trenutak iznad naziva procesa, otvorit će se prozor. iskačući prozor s dodatnim detaljimaPuna putanja do izvršne datoteke na disku (na primjer, C:\Windows\System32\notepad.exe), tačna verzija datoteke i kompanija koja ju je potpisala (Microsoft Corporation, itd.). Ove informacije su veoma korisne za razlikovanje legitimnih procesa od potencijalno zlonamjernih imitacija.

Zanimljiv aspekt je da Procesi su obojeni prema njihovom tipu ili stanju (servisi, sistemski procesi, obustavljeni procesi itd.). Značenje svake boje može se pregledati i prilagoditi u meniju. Haker > Opcije > Isticanje, u slučaju da želite prilagoditi shemu svojim željama.

Ako kliknete desnim tasterom miša na bilo koji proces, pojaviće se meni kontekstni meni pun opcijaJedna od najupečatljivijih opcija su Svojstva (Properties), koja su istaknuta i služe za otvaranje prozora s izuzetno detaljnim informacijama o procesu.

Taj prozor sa svojstvima je organizovan u više kartica (oko jedanaest)Svaka kartica se fokusira na određeni aspekt. Kartica Općenito prikazuje putanju izvršne datoteke, komandnu liniju koja se koristi za njeno pokretanje, vrijeme izvršavanja, roditeljski proces, adresu bloka okruženja procesa (PEB) i druge podatke niskog nivoa.

Kartica Statistika prikazuje napredne statistike: prioritet procesa, broj potrošenih CPU ciklusa, količina memorije koju koristi i sam program i podaci koje obrađuje, izvršene ulazno/izlazne operacije (čitanje i pisanje na disk ili druge uređaje) itd.

Kartica Performanse nudi Grafikoni korištenja CPU-a, memorije i I/O operacija Za taj proces, nešto vrlo korisno za otkrivanje skokova ili anomalnog ponašanja. U međuvremenu, kartica Memorija vam omogućava da pregledate, pa čak i direktno uređivanje sadržaja memorije procesa, vrlo napredna funkcionalnost koja se obično koristi za otklanjanje grešaka ili analizu zlonamjernog softvera.

Pored Svojstava, kontekstni meni sadrži i nekoliko ključne opcije na vrhu:

• Prekini: odmah završava proces.
• Završi stablo: zatvara odabrani proces i sve njegove podprocese.
• Obustavi: privremeno zamrzava proces, koji se kasnije može nastaviti.
• Ponovo pokreni: ponovo pokreće proces koji je bio suspendovan.

Korištenje ovih opcija zahtijeva oprez, jer Haker procesa može prekinuti procese koje drugi menadžeri ne mogu.Ako ubijete nešto što je ključno za sistem ili važnu aplikaciju, mogli biste izgubiti podatke ili uzrokovati nestabilnost. To je idealan alat za zaustavljanje zlonamjernog softvera ili procesa koji ne reagiraju, ali morate znati šta radite.

Dalje u istom meniju, naći ćete postavke za Prioritet CPU-a U opciji Prioritet, možete postaviti nivoe u rasponu od Realno vrijeme (maksimalni prioritet, proces dobija procesor kad god to zatraži) do Neaktivan (minimalni prioritet, proces se izvršava samo ako ništa drugo ne želi koristiti CPU).

Takođe imate mogućnost Prioritet ulazno/izlaznih signalaOva postavka definira prioritet procesa za ulazno/izlazne operacije (čitanje i pisanje na disk, itd.) s vrijednostima kao što su Visoko, Normalno, Nisko i Vrlo nisko. Podešavanje ovih opcija vam omogućava, na primjer, da ograničite utjecaj velike kopije ili programa koji preopterećuje disk.

Još jedna veoma zanimljiva karakteristika je Pošalji naOdatle možete poslati informacije o procesu (ili uzorak) raznim online antivirusnim analitičkim servisima, što je odlično kada sumnjate da je proces zlonamjeran i želite drugo mišljenje bez potrebe da sav posao obavljate ručno.

Upravljanje uslugama, mrežom i diskovima

Process Hacker se ne fokusira samo na procese. Ostale glavne kartice vam daju prilično fina kontrola nad servisima, mrežnim vezama i aktivnošću diska.

Na kartici Usluge vidjet ćete kompletnu listu Windows servisi i drajveriOvo uključuje i aktivne i zaustavljene servise. Odavde možete pokretati, zaustavljati, pauzirati ili nastaviti servise, kao i mijenjati njihov tip pokretanja (automatski, ručni ili onemogućeni) ili korisnički račun pod kojim se pokreću. Za sistem administratore, ovo je čisto zlato.

Kartica Mreža prikazuje informacije u stvarnom vremenu. koji procesi uspostavljaju mrežne vezeOvo uključuje informacije kao što su lokalne i udaljene IP adrese, portovi i status veze. Vrlo je korisno za otkrivanje programa koji komuniciraju sa sumnjivim adresama ili za identifikaciju aplikacije koja zasićuje vaš propusni opseg.

Na primjer, ako naiđete na "browlock" ili web stranicu koja blokira vaš preglednik stalnim dijaloškim okvirima, možete koristiti karticu Mreža da biste je pronašli. specifična veza preglednika s tom domenom i zatvorite ga iz Process Hackera, bez potrebe za prekidanjem cijelog procesa preglednika i gubitkom svih otvorenih kartica, ili čak blokiranje sumnjivih veza iz CMD-a ako više volite djelovati iz komandne linije.

Kartica Disk navodi aktivnosti čitanja i pisanja koje izvršavaju sistemski procesi. Ovdje možete otkriti aplikacije koje preopterećuju disk bez vidljivog razloga ili identificirati sumnjivo ponašanje, kao što je program koji masovno piše i mogao bi šifrirati datoteke (tipično ponašanje nekih ransomware programa).

Napredne funkcije: ručke, memorijski ispisi i "oteti" resursi

Pored osnovne kontrole procesa i usluga, Process Hacker uključuje veoma korisni alati za specifične scenarijeposebno prilikom brisanja zaključanih datoteka, istraživanja čudnih procesa ili analize ponašanja aplikacija.

Vrlo praktična opcija je Pronađite ručke ili DLL-oveOva funkcija je dostupna iz glavnog menija. Zamislite da pokušavate izbrisati datoteku, a Windows insistira da je "koristi drugi proces", ali vam ne kaže koji. Pomoću ove funkcije možete upisati naziv datoteke (ili dio njega) u traku za filtriranje i kliknuti na Pronađi.

Program prati ručke (identifikatori resursa) i DLL-ovi Otvorite listu i prikažite rezultate. Kada pronađete datoteku koja vas zanima, možete kliknuti desnim tasterom miša i odabrati "Idi na proces koji posjeduje" da biste prešli na odgovarajući proces na kartici Procesi.

Nakon što je taj proces označen, možete odlučiti hoćete li ga završiti (Prekini) da biste oslobodite datoteku i budite u mogućnosti obrišite zaključane datotekePrije nego što to uradite, Process Hacker će prikazati upozorenje koje vas podsjeća da biste mogli izgubiti podatke. Opet, to je moćan alat koji vas može izvući iz zastoja kada sve ostalo ne uspije, ali ga treba koristiti s oprezom.

Još jedna napredna funkcija je kreiranje izvatci memorijeIz kontekstnog menija procesa možete odabrati "Kreiraj datoteku s podacima..." i odabrati mapu u koju želite spremiti .dmp datoteku. Ove datoteke s podacima analitičari široko koriste za pretraživanje tekstualnih nizova, ključeva za šifriranje ili indikatora zlonamjernog softvera pomoću alata kao što su heksadecimalni editori, skripte ili YARA pravila.

Process Hacker također može rukovati .NET procesi sveobuhvatnije od nekih sličnih alata, što je korisno prilikom otklanjanja grešaka u aplikacijama napisanim na toj platformi ili analize zlonamjernog softvera zasnovanog na .NET-u.

Konačno, kada je u pitanju otkrivanje procesi koji troše resurseJednostavno kliknite na zaglavlje kolone CPU da biste sortirali listu procesa po korištenju procesora ili na privatne bajtove i ukupnu brzinu I/O operacija da biste identifikovali koji procesi zauzimaju memoriju ili preopterećuju I/O. Ovo znatno olakšava lociranje uskih grla.

Kompatibilnost, upravljački programi i sigurnosne mjere

Historijski gledano, Process Hacker je radio na Windows XP i novije verzije, što zahtijeva .NET Framework 2.0. Vremenom se projekat razvijao, a najnovije verzije su usmjerene na Windows 10 i Windows 11, obje 32-bitne i 64-bitne, sa nešto modernijim zahtjevima (određene verzije su poznate kao System Informer, duhovni nasljednik Process Hackera 2.x).

U 64-bitnim sistemima, dolazi do izražaja delikatan problem: potpisivanje drajvera u kernel modu (Potpisivanje koda u kernelskom načinu rada, KMCS). Windows dozvoljava učitavanje samo drajvera potpisanih važećim certifikatima koje priznaje Microsoft, kao mjeru sprječavanja rootkitova i drugih zlonamjernih drajvera.

Drajver koji Process Hacker koristi za svoje naprednije funkcije možda nema sistemski prihvaćen potpis ili je možda potpisan testnim certifikatima. To znači da, u standardnoj 64-bitnoj instalaciji WindowsaDrajver se možda neće učitati i neke "duboke" funkcije će biti onemogućene.

Napredni korisnici mogu pribjeći opcijama kao što su aktivirajte "testni način rada" za Windows (što omogućava učitavanje probnih drajvera) ili, u starijim verzijama sistema, onemogućavanje provjere potpisa drajvera. Međutim, ovi manevri značajno smanjuju sigurnost sistema, jer otvaraju vrata drugim zlonamjernim drajverima da se provuku bez nadzora.

Čak i bez učitavanog drajvera, Process Hacker je i dalje... veoma moćan alat za praćenjeMoći ćete vidjeti procese, servise, mrežu, disk, statistiku i mnoge druge korisne informacije. Jednostavno ćete izgubiti dio njegove mogućnosti prekidanja zaštićenih procesa ili pristupa određenim podacima vrlo niskog nivoa.

U svakom slučaju, vrijedi zapamtiti da će neki antivirusni programi detektovati Process Hacker kao Riskware ili PUP Upravo zato što može ometati sigurnosne procese. Ako ga koristite legitimno, možete dodati izuzeća svom sigurnosnom rješenju kako biste spriječili lažne alarme, uvijek svjesni šta radite.

Za sve koji žele bolje razumjeti kako se njihov Windows ponaša, od naprednih korisnika do stručnjaka za sajber sigurnost, Imati Process Hacker u svom setu alata pravi ogromnu razliku kada dođe vrijeme za dijagnosticiranje, optimizaciju ili istraživanje složenih problema u sistemu.