Komplet guide til Process Hacker: Et avanceret alternativ til Jobliste

For mange Windows-brugere er Jobliste ikke nok. Derfor ender nogle med at ty til Process Hacker. Dette værktøj har vundet popularitet blandt administratorer, udviklere og sikkerhedsanalytikere, fordi det giver dem mulighed for at se og kontrollere systemet på et niveau, som den almindelige Windows Jobliste slet ikke kan forestille sig.

I denne omfattende guide vil vi gennemgå Hvad er Process Hacker, hvordan downloader og installerer man detHvad det tilbyder sammenlignet med Task Manager og Process Explorer, og hvordan man bruger det til at administrere processer, tjenester, netværk, disk, hukommelse og endda undersøge malware.

Hvad er Process Hacker, og hvorfor er det så kraftfuldt?

En proceshacker er dybest set, en avanceret proceshåndtering til WindowsDet er open source og helt gratis. Mange beskriver det som "Jobliste på steroider", og sandheden er, at den beskrivelse passer ret godt på det.

Dens mål er at give dig en et meget detaljeret overblik over, hvad der sker i dit systemProcesser, tjenester, hukommelse, netværk, disk ... og frem for alt giver dig værktøjer til at gribe ind, når noget sidder fast, bruger for mange ressourcer eller virker mistænkeligt for malware. Brugerfladen minder lidt om Process Explorer, men Process Hacker tilføjer en god del ekstra funktioner.

En af dens styrker er, at den kan opdage skjulte processer og afslutte "afskærmede" processer som Jobliste ikke kan lukke. Dette opnås takket være en kerneltilstandsdriver kaldet KProcessHacker, som gør det muligt for den at kommunikere direkte med Windows-kernen med forhøjede rettigheder.

At være et projekt Open source, koden er tilgængelig for alleDette fremmer gennemsigtighed: fællesskabet kan revidere det, opdage sikkerhedsbrister, foreslå forbedringer og sikre, at der ikke er nogen skjulte ubehagelige overraskelser. Mange virksomheder og cybersikkerhedsprofessionelle stoler på Process Hacker netop på grund af denne åbne filosofi.

Det er dog værd at huske på, at Nogle antivirusprogrammer markerer det som "risikabelt" eller et potentielt uønsket program (PUP).Ikke fordi det er ondsindet, men fordi det har kapacitet til at dræbe meget følsomme processer (herunder sikkerhedstjenester). Det er et meget kraftfuldt våben, og ligesom alle våben bør det bruges med omtanke.

Download Process Hacker: versioner, bærbar version og kildekode

For at få programmet skal man normalt gå til deres officiel oa-side dit arkiv på SourceForge / GitHubDer finder du altid den nyeste version og en hurtig oversigt over, hvad værktøjet kan.

I downloadsektionen vil du normalt se to hovedmodaliteter til 64-bit-systemer:

• Opsætning (anbefales)Det klassiske installationsprogram, det vi altid har brugt, anbefales til de fleste brugere.
• Binære filer (bærbare): bærbar version, som du kan køre direkte uden at installere.

Opsætningsmuligheden er ideel, hvis du vil Lad Process Hacker være installeret.integreret med Start-menuen og med yderligere muligheder (såsom at erstatte Jobliste). Den bærbare version er derimod perfekt til have den med på et USB-drev og bruge det på forskellige computere uden at skulle installere noget.

Lidt længere nede dukker de også normalt op 32-bit versionerHvis du stadig arbejder med ældre udstyr. De er ikke så almindelige i disse dage, men der er stadig miljøer, hvor de er nødvendige.

Hvis det der interesserer dig, er eksperimenter med kildekoden Eller du kan kompilere dit eget build; på den officielle hjemmeside finder du et direkte link til GitHub-repository'et. Derfra kan du gennemgå koden, følge ændringsloggen og endda foreslå forbedringer, hvis du gerne vil bidrage til projektet.

Programmet vejer meget lidt, ca. et par megabyteSå download tager kun et par sekunder, selv med en langsom forbindelse. Når den er færdig, kan du køre installationsprogrammet, eller hvis du har valgt den bærbare version, udpakke og starte den eksekverbare fil direkte.

Trin-for-trin installation på Windows

Hvis du vælger installationsprogrammet (Opsætning), er processen ret typisk i Windows, dog med Nogle interessante muligheder, der er værd at tjekke ud roligt.

Så snart du dobbeltklikker på den downloadede fil, viser Windows Brugerkontokontrol (UAC) Den vil advare dig om, at programmet ønsker at foretage ændringer i systemet. Dette er normalt: Process Hacker skal bruge visse rettigheder for at udføre sin magi, så du bliver nødt til at acceptere for at fortsætte.

Det første du ser er installationsguiden med den typiske licensskærmProcess Hacker distribueres under GNU GPL version 3-licensen, med nogle specifikke undtagelser nævnt i teksten. Det er en god idé at gennemgå disse, før du fortsætter, især hvis du planlægger at bruge det i virksomhedsmiljøer.

 

I næste trin foreslår installatøren en standardmappe hvor programmet skal kopieres. Hvis standardstien ikke passer dig, kan du ændre den direkte ved at skrive en anden sti eller ved at bruge knappen Gennemse for at vælge en anden mappe i browseren.

Så den komponentliste som programmet udgør: hovedfiler, genveje, driverrelaterede indstillinger osv. Hvis du ønsker en komplet installation, er det enkleste at lade alt være markeret. Hvis du med sikkerhed ved, at du ikke vil bruge en bestemt funktion, kan du fravælge den, selvom den plads, den optager, er minimal.

Dernæst vil assistenten bede dig om mappenavnet i Start-menuenDen foreslår normalt "Process Hacker 2" eller noget lignende, som opretter en ny mappe med det navn. Hvis du foretrækker, at genvejen vises i en anden eksisterende mappe, kan du klikke på Gennemse og vælge den. Du har også muligheden Opret ikke en startmenumappe så der ikke oprettes nogen post i Start-menuen.

På næste skærm kommer du til et sæt af ekstra muligheder som fortjener særlig opmærksomhed:

• At skabe eller ej genvej på skrivebordetog beslut, om det kun skal være for din bruger eller for alle brugere på teamet.
• Tåre Proceshacker ved Windows-opstartOg hvis du i så fald vil have den til at åbne minimeret i meddelelsesområdet.
• Gøre hvad Process Hacker erstatter Jobliste Windows-standard.
• Installer KProcessHacker-driver og giv den fuld adgang til systemet (en meget effektiv mulighed, men ikke anbefalet, hvis du ikke ved, hvad det indebærer).

Når du har valgt disse præferencer, viser installationsprogrammet dig en konfigurationsoversigt Og når du klikker på Installer, begynder den at kopiere filer. Du vil se en lille statuslinje i et par sekunder; processen er hurtig.

Når du er færdig, vil assistenten give dig besked om, at Installationen er gennemført og vil vise flere bokse:

• Kør Process Hacker, når du lukker guiden.
• Åbn ændringsloggen for den installerede version.
• Besøg projektets officielle hjemmeside.

Som standard er det normalt kun feltet, der er markeret. Kør proceshackerHvis du lader denne indstilling være uændret, åbnes programmet for første gang, når du klikker på Udfør, og du kan begynde at eksperimentere med det.

Sådan starter du Process Hacker og de første trin

Hvis du vælger at oprette en skrivebordsgenvej under installationen, vil det være så simpelt at starte programmet som dobbeltklik på ikonetDet er den hurtigste måde for dem, der bruger den ofte.

Hvis du ikke har direkte adgang, kan du altid Åbn den fra Start-menuenDu skal blot klikke på Start-knappen, gå til "Alle apps", og finde mappen "Process Hacker 2" (eller hvilket navn du nu valgte under installationen). Indeni finder du programposten, som du kan åbne med et enkelt klik.

Første gang det starter, er det, der skiller sig ud, at Grænsefladen er meget informationsoverbelastet.Bare rolig: med lidt øvelse bliver layoutet ret logisk og organiseret. Faktisk viser det meget mere data end den almindelige Jobliste, samtidig med at det stadig er overskueligt.

Øverst har du en række af Hovedfaner: Processer, Tjenester, Netværk og DiskHver af dem viser dig et andet aspekt af systemet: henholdsvis kørende processer, tjenester og drivere, netværksforbindelser og diskaktivitet.

I fanen Processer, som er den, der åbnes som standard, vil du se alle processerne i form af et hierarkisk træDet betyder, at du hurtigt kan identificere, hvilke processer der er forældre, og hvilke der er underordnede. For eksempel er det almindeligt at se Notepad (notepad.exe) afhængig af explorer.exe, ligesom mange vinduer og programmer, du starter fra Stifinder.

Fanen Processer: procesinspektion og -kontrol

Procesvisningen er hjertet i Process Hacker. Herfra kan du se hvad der rent faktisk kører på din maskine og træffe hurtige beslutninger, når noget går galt.

I proceslisten, udover navnet, kolonner som f.eks. PID (procesidentifikator), procentdel af CPU-forbrug, samlet I/O-hastighed, hukommelse i brug (private bytes), bruger, der kører processen, og en kort beskrivelse.

Hvis du bevæger musen og holder den et øjeblik over navnet på en proces, åbnes et vindue. pop op-boks med yderligere detaljerDen fulde sti til den eksekverbare fil på disken (f.eks. C:\Windows\System32\notepad.exe), den nøjagtige filversion og det firma, der signerede den (Microsoft Corporation osv.). Disse oplysninger er meget nyttige til at skelne legitime processer fra potentielt ondsindede imitationer.

Et mærkeligt aspekt er det Processerne er farvede i henhold til deres type eller tilstand (tjenester, systemprocesser, suspenderede processer osv.). Betydningen af ​​hver farve kan ses og tilpasses i menuen. Hacker > Indstillinger > Fremhævning, hvis du ønsker at tilpasse ordningen til din smag.

Hvis du højreklikker på en hvilken som helst proces, vises en menu kontekstmenu fuld af mulighederEn af de mest slående er Egenskaber, som vises fremhævet og tjener til at åbne et vindue med ekstremt detaljerede oplysninger om processen.

Det egenskabsvindue er organiseret i flere faner (omkring elleve)Hver fane fokuserer på et specifikt aspekt. Fanen Generelt viser den eksekverbare sti, den kommandolinje, der bruges til at starte den, kørselstiden, den overordnede proces, PEB-adressen (procesmiljøblokken) og andre lavniveaudata.

Fanen Statistik viser avanceret statistik: procesprioritet, antal forbrugte CPU-cyklusser, mængden af ​​hukommelse brugt af både selve programmet og de data, det håndterer, udførte input/output-operationer (læser og skriver til disk eller andre enheder) osv.

Fanen Ydeevne tilbyder Grafer over CPU-, hukommelses- og I/O-forbrug Til den proces er der noget meget nyttigt til at detektere stigninger eller unormal adfærd. I mellemtiden giver fanen Hukommelse dig mulighed for at inspicere og endda redigere indholdet af hukommelsen direkte af processen, en meget avanceret funktionalitet, der normalt bruges til fejlfinding eller malwareanalyse.

Ud over Egenskaber indeholder kontekstmenuen en række nøglemuligheder øverst:

• Opsige: afslutter processen øjeblikkeligt.
• Afslut trælukker den valgte proces og alle dens underprocesser.
• Suspender: fryser midlertidigt processen, som kan genoptages senere.
• Genstartgenstarter en proces, der har været suspenderet.

Brug af disse muligheder kræver forsigtighed, fordi Process Hacker kan afslutte processer, som andre ledere ikke kan.Hvis du lukker noget kritisk for systemet eller en vigtig applikation, kan du miste data eller forårsage ustabilitet. Det er et ideelt værktøj til at stoppe malware eller processer, der ikke reagerer, men du skal vide, hvad du laver.

Længere nede i samme menu finder du indstillinger for CPU-prioritet I indstillingen Prioritet kan du indstille niveauer lige fra Realtid (maksimal prioritet, processen henter processoren, når den anmoder om den) til Inaktiv (minimum prioritet, den kører kun, hvis intet andet ønsker at bruge CPU'en).

Du har også muligheden I/O-prioritetDenne indstilling definerer procesprioriteten for input/output-operationer (læsning og skrivning til disk osv.) med værdier som Høj, Normal, Lav og Meget Lav. Justering af disse indstillinger giver dig mulighed for f.eks. at begrænse virkningen af ​​en stor kopi eller et program, der mætter disken.

En anden meget interessant funktion er Send tilDerfra kan du sende oplysninger om processen (eller en prøve) til forskellige online antivirusanalysetjenester, hvilket er fantastisk, når du har mistanke om, at en proces kan være skadelig og ønsker en second opinion uden at skulle udføre alt arbejdet manuelt.

Service-, netværks- og diskhåndtering

Process Hacker fokuserer ikke kun på processer. De andre hovedfaner giver dig en ret fin kontrol over tjenester, netværksforbindelser og diskaktivitet.

På fanen Tjenester finder du en komplet liste over Windows-tjenester og drivereDette inkluderer både aktive og stoppede tjenester. Herfra kan du starte, stoppe, sætte på pause eller genoptage tjenester, samt ændre deres opstartstype (automatisk, manuel eller deaktiveret) eller den brugerkonto, de kører under. For systemadministratorer er dette rent guld.

Fanen Netværk viser oplysninger i realtid. hvilke processer der etablerer netværksforbindelserDette inkluderer oplysninger såsom lokale og eksterne IP-adresser, porte og forbindelsesstatus. Det er meget nyttigt til at registrere programmer, der kommunikerer med mistænkelige adresser, eller til at identificere, hvilken applikation der mætter din båndbredde.

Hvis du for eksempel støder på en "browlock" eller et websted, der blokerer din browser med konstante dialogbokse, kan du bruge fanen Netværk til at finde det. browserens specifikke forbindelse til det pågældende domæne og luk den fra Process Hacker, uden at skulle afslutte hele browserprocessen og miste alle åbne faner, eller endda bloker mistænkelige forbindelser fra CMD hvis du foretrækker at handle fra kommandolinjen.

Fanen Disk viser en liste over læse- og skriveaktiviteter udført af systemprocesser. Herfra kan du registrere programmer, der overbelaster disken uden åbenlys grund eller identificere mistænkelig adfærd, såsom et program, der skriver massivt og muligvis krypterer filer (typisk adfærd for nogle typer ransomware).

Avancerede funktioner: håndtag, hukommelsesdumps og "kaprede" ressourcer

Ud over grundlæggende proces- og servicekontrol inkorporerer Process Hacker meget nyttige værktøjer til specifikke scenarierisær når man sletter låste filer, undersøger mærkelige processer eller analyserer programadfærd.

En meget praktisk mulighed er Find håndtag eller DLL'erDenne funktion er tilgængelig fra hovedmenuen. Forestil dig, at du prøver at slette en fil, og Windows insisterer på, at den "bruges af en anden proces", men fortæller dig ikke hvilken. Med denne funktion kan du skrive filnavnet (eller en del af det) i filterlinjen og klikke på Søg.

Programmet sporer håndtag (ressource-id'er) og DLL'er Åbn listen, og vis resultaterne. Når du finder den fil, du er interesseret i, kan du højreklikke og vælge "Gå til ejerproces" for at hoppe til den tilsvarende proces under fanen Processer.

Når processen er fremhævet, kan du beslutte, om du vil afslutte den (Afslutte) for at frigive filen og være i stand til at slet låste filerFør du gør dette, viser Process Hacker en advarsel, der minder dig om, at du kan miste data. Igen er det et effektivt værktøj, der kan hjælpe dig ud af en knibe, når alt andet fejler, men det bør bruges med forsigtighed.

En anden avanceret funktion er oprettelsen af hukommelsesdumpsFra en process kontekstmenu kan du vælge "Opret dumpfil…" og vælge den mappe, hvor du vil gemme .dmp-filen. Disse dumpfiler bruges i vid udstrækning af analytikere til at søge efter tekststrenge, krypteringsnøgler eller malware-indikatorer ved hjælp af værktøjer som hex-editorer, scripts eller YARA-regler.

Process Hacker kan også håndtere .NET-processer mere omfattende end nogle lignende værktøjer, hvilket er nyttigt ved fejlfinding af applikationer skrevet på den platform eller analyse af malware baseret på .NET.

Endelig, når det kommer til at opdage ressourcekrævende processerKlik blot på CPU-kolonneoverskriften for at sortere proceslisten efter processorforbrug, eller på Private bytes og I/O samlet hastighed for at identificere, hvilke processer der bruger hukommelse eller overbelaster I/O. Dette gør det meget nemt at finde flaskehalse.

Overvejelser vedrørende kompatibilitet, drivere og sikkerhed

Historisk set opererede Process Hacker på Windows XP og nyere versioner, der kræver .NET Framework 2.0. Over tid har projektet udviklet sig, og de nyeste versioner er rettet mod Windows 10 og Windows 11, både 32 og 64 bit, med noget mere moderne krav (visse builds er kendt som System Informer, den åndelige efterfølger til Process Hacker 2.x).

I 64-bit systemer opstår et delikat problem: signering af driver i kernetilstand (Kernel-Mode Code Signing, KMCS). Windows tillader kun indlæsning af drivere, der er signeret med gyldige certifikater, der er anerkendt af Microsoft, som en foranstaltning til at forhindre rootkits og andre ondsindede drivere.

Driveren, som Process Hacker bruger til sine mere avancerede funktioner, har muligvis ikke en systemaccepteret signatur, eller den er muligvis signeret med testcertifikater. Det betyder, at i en standard 64-bit Windows-installationDriveren indlæses muligvis ikke, og nogle "dybe" funktioner vil blive deaktiveret.

Avancerede brugere kan ty til muligheder som f.eks. aktiver Windows "testtilstand" (som tillader indlæsning af prøvedrivere) eller, i ældre versioner af systemet, deaktivering af verifikation af driversignatur. Disse manøvrer reducerer dog systemsikkerheden betydeligt, da de åbner døren for, at andre ondsindede drivere kan slippe ukontrolleret igennem.

Selv uden en driver indlæst, er Process Hacker stadig en meget kraftfuldt overvågningsværktøjDu vil kunne se processer, tjenester, netværk, disk, statistik og mange andre nyttige oplysninger. Du vil simpelthen miste noget af din evne til at afslutte afskærmede processer eller få adgang til visse data på meget lavt niveau.

Under alle omstændigheder er det værd at huske, at nogle antivirusprogrammer vil registrere Process Hacker som Risikosoftware eller PUP Netop fordi det kan forstyrre sikkerhedsprocesser. Hvis du bruger det legitimt, kan du tilføje undtagelser til din sikkerhedsløsning for at forhindre falske alarmer, og altid være opmærksom på, hvad du laver.

For alle, der ønsker bedre at forstå, hvordan deres Windows opfører sig, fra avancerede brugere til cybersikkerhedsprofessionelle, At have Process Hacker i din værktøjskasse gør en kæmpe forskel når det er tid til at diagnosticere, optimere eller undersøge komplicerede problemer i systemet.