Täielik juhend protsessihäkkeri kohta: täiustatud alternatiiv ülesannete haldurile

Paljude Windowsi kasutajate jaoks jääb Task Managerist puudu. Seetõttu pöörduvad mõned lõpuks Process Hackeri poole. See tööriist on administraatorite, arendajate ja turvaanalüütikute seas populaarsust kogunud, kuna see võimaldab neil süsteemi vaadata ja juhtida tasemel, mida tavaline Windowsi Task Manager ettegi ei kujuta.

Selles põhjalikus juhendis vaatame üle Mis on Process Hacker, kuidas seda alla laadida ja installida?Mida see pakub võrreldes tegumihalduri ja protsesside uurijaga ning kuidas seda kasutada protsesside, teenuste, võrgu, ketta, mälu haldamiseks ja isegi pahavara uurimiseks.

Mis on Process Hacker ja miks see nii võimas on?

Protsessihäkker on põhimõtteliselt täiustatud protsessihaldur Windowsi jaoksSee on avatud lähtekoodiga ja täiesti tasuta. Paljud inimesed kirjeldavad seda kui "steroididel töötavat ülesannete haldurit" ja tegelikult sobib see kirjeldus sellele üsna hästi.

Selle eesmärk on anda teile väga detailne ülevaade teie süsteemis toimuvastProtsessid, teenused, mälu, võrk, ketas… ja ennekõike tööriistad sekkumiseks, kui midagi takerdub, tarbib liiga palju ressursse või tundub pahavara kahtlane. Liides meenutab mõnevõrra Process Explorerit, kuid Process Hacker lisab hulga lisafunktsioone.

Üks selle tugevusi on see, et see suudab tuvastada peidetud protsesse ja peatada "varjestatud" protsesse mida tegumihaldur ei saa sulgeda. See saavutatakse tänu kerneli režiimi draiverile nimega KProcessHacker, mis võimaldab tal suhelda otse Windowsi kerneliga kõrgendatud õigustega.

Projektina olemine Avatud lähtekoodiga, kood on kõigile kättesaadavSee soodustab läbipaistvust: kogukond saab seda auditeerida, tuvastada turvaauke, pakkuda välja täiustusi ja tagada, et poleks varjatud ebameeldivaid üllatusi. Paljud ettevõtted ja küberturvalisuse spetsialistid usaldavad Process Hackerit just selle avatud filosoofia tõttu.

Siiski väärib märkimist, et Mõned viirusetõrjeprogrammid märgistavad selle "riskantseks" või potentsiaalselt soovimatuks programmiks (PUP).Mitte sellepärast, et see oleks pahatahtlik, vaid sellepärast, et sellel on võime tappa väga tundlikke protsesse (sealhulgas turvateenuseid). See on väga võimas relv ja nagu kõiki relvi, tuleks seda kasutada mõistlikult.

Laadi alla Process Hacker: versioonid, kaasaskantav versioon ja lähtekood

Programmi saamiseks tuleb tavaliselt minna nende lehele ametlik oa leht teie repositoorium SourceForge'is / GitHubisSealt leiad alati uusima versiooni ja kiire ülevaate tööriista võimalustest.

Allalaadimiste jaotises näete tavaliselt kaks peamist viisi 64-bitiste süsteemide jaoks:

• Seadistamine (soovitatav): klassikaline paigaldaja, mida oleme alati kasutanud ja mida soovitatakse enamiku kasutajate jaoks.
• Binaarfailid (kaasaskantavad): kaasaskantav versioon, mida saab otse ilma installimata käivitada.

Seadistusvalik on ideaalne, kui soovite Jäta Process Hacker juba installitud.integreeritud menüüga Start ja lisavõimalustega (näiteks tegumihalduri asendamine). Kaasaskantav versioon seevastu sobib ideaalselt kanna seda USB-mälupulgal ja kasutada seda erinevates arvutites ilma midagi installimata.

Veidi allpool ilmuvad nad tavaliselt ka 32-bitised versioonidJuhul kui te töötate endiselt vanemate seadmetega. Need pole tänapäeval enam nii levinud, kuid on siiski keskkondi, kus need on vajalikud.

Kui see, mis teid huvitab, on lähtekoodiga nokitsemine Või võid ise oma versiooni kompileerida; ametlikult veebisaidilt leiad otselingi GitHubi repositooriumile. Sealt saad koodi üle vaadata, muudatuste logi jälgida ja isegi täiustusi soovitada, kui soovid projektile kaasa aidata.

Programm kaalub väga vähe, umbes paar megabaitiSeega võtab allalaadimine isegi aeglase ühenduse korral vaid paar sekundit. Kui see on lõppenud, saate käivitada installija või, kui valisite kaasaskantava versiooni, siis otse käivitatava faili lahti pakkida ja käivitada.

Samm-sammult installimine Windowsi operatsioonisüsteemi

Installeri (Seadistus) valimisel on protsess Windowsis üsna tüüpiline, kuigi Mõned huvitavad valikud, mida tasub vaadata rahulikult.

Niipea kui topeltklõpsate allalaaditud failil, kuvab Windows selle Kasutajakonto kontroll (UAC) See hoiatab sind, et programm soovib süsteemis muudatusi teha. See on normaalne: Process Hacker vajab oma maagia toimimiseks teatud õigusi, seega pead jätkamiseks need vastu võtma.

Esimene asi, mida näete, on installiviisard tüüpilise litsentsi ekraanProcess Hackerit levitatakse GNU GPL versiooni 3 litsentsi alusel, välja arvatud mõned tekstis mainitud erandid. Enne jätkamist on hea mõte need üle vaadata, eriti kui kavatsete seda kasutada ettevõtte keskkondades.

 

Järgmises etapis soovitab paigaldaja vaikekaust kuhu programm kopeeritakse. Kui vaikesäte teile ei sobi, saate seda otse muuta, sisestades teise tee või kasutades nuppu Sirvi brauseris teise kausta valimiseks.

Siis komponentide loend mis moodustavad rakenduse: põhifailid, otseteed, draiveriga seotud valikud jne. Täieliku installimise korral on kõige lihtsam jätta kõik märgituks. Kui teate kindlalt, et te konkreetset funktsiooni ei kasuta, saate selle valiku tühistada, kuigi see võtab minimaalselt ruumi.

Järgmisena küsib assistent teilt kausta nimi menüüs StartTavaliselt soovitatakse kasutada käsku „Process Hacker 2” või midagi sarnast, mis loob selle nimega uue kausta. Kui eelistate, et otsetee ilmuks mõnes teises olemasolevas kaustas, saate klõpsata nuppu „Sirvi” ja see valida. Teil on ka võimalus Ärge looge Start-menüü kausta nii et menüüsse Start ei looda ühtegi kirjet.

Järgmisel ekraanil jõuate komplektini lisavõimalusi mis väärivad erilist tähelepanu:

• Luua või mitte luua otsetee töölaualja otsustage, kas see on ainult teie kasutajale või kõigile meeskonna kasutajatele.
• Rebend Protsessihäkker Windowsi käivitamiselJa kui sel juhul soovite, et see avaneks teavitusalal minimeerituna.
• Teha mida Process Hacker asendab ülesannete haldurit Windowsi standard.
• Installige KProcessHackeri draiver ja andke sellele süsteemile täielik juurdepääs (väga võimas valik, aga mitte soovitatav, kui te ei tea, mida see endaga kaasa toob).

Kui olete need eelistused valinud, kuvab installija teile konfiguratsiooni kokkuvõte Ja kui klõpsate nupul „Installi“, hakkab see faile kopeerima. Mõneks sekundiks näete väikest edenemisriba; protsess on kiire.

Kui see on lõpetatud, teavitab assistent teid, et Installimine on edukalt lõpule viidud ja kuvab mitu kasti:

• Viisardi sulgemisel käivitage Process Hacker.
• Avage installitud versiooni muudatuste logi.
• Külastage projekti ametlikku veebisaiti.

Vaikimisi on tavaliselt märgitud ainult see ruut. Käivita protsessihäkkerKui jätate selle valiku muutmata, siis klõpsates nupul „Valmis“, avaneb programm esimest korda ja saate sellega katsetama hakata.

Kuidas Process Hackerit käivitada ja esimesed sammud

Kui valisite installimise ajal töölaua otsetee loomise, on programmi käivitamine sama lihtne kui topeltklõpsake ikoonilSee on kiireim viis neile, kes seda sageli kasutavad.

Kui sul otsest ligipääsu pole, saad alati Ava see menüüst StartLihtsalt klõpsa nupul Start, mine jaotisse "Kõik rakendused" ja leia kaust "Process Hacker 2" (või mis tahes nimi, mille installimise ajal valisid). Sealt leiad programmi kirje ja saad selle klõpsuga avada.

Esimesel korral, kui see algab, paistab silma see, et Liides on väga infost üle koormatud.Ära muretse: väikese harjutamisega muutub paigutus üsna loogiliseks ja korrastatuks. Tegelikult kuvab see palju rohkem andmeid kui tavaline tegumihaldur, jäädes samal ajal hallatavaks.

Ülaosas on sul rida Peamised vahekaardid: Protsessid, Teenused, Võrk ja KetasIgaüks neist näitab süsteemi erinevat aspekti: vastavalt töötavad protsessid, teenused ja draiverid, võrguühendused ja ketta tegevus.

Vaikimisi avaneval vahekaardil Protsessid näete kõiki protsesse hierarhilise puu kujulSee tähendab, et saate kiiresti tuvastada, millised protsessid on vanemad ja millised lapsed. Näiteks on tavaline näha Notepadi (notepad.exe) sõltuvat explorer.exe-st, nagu ka paljusid aknaid ja rakendusi, mida Explorerist käivitate.

Protsesside vahekaart: protsesside kontroll ja kontroll

Protsessivaade on Process Hackeri süda. Siit saate vaata, mis tegelikult jookseb oma masinal ja teha kiireid otsuseid, kui midagi valesti läheb.

Protsesside loendis on lisaks nimele ka veerud, näiteks PID (protsessi identifikaator), protsessori kasutatud võimsuse protsent, sisend-/väljundkiiruse koguarv, kasutusel olev mälu (privaatsed baidid), protsessi käivitav kasutaja ja lühike kirjeldus.

Kui liigutate hiirt ja hoiate seda hetkeks protsessi nime kohal, avaneb aken. hüpikaken lisateabegaKettal oleva käivitatava faili täielik tee (näiteks C:\Windows\System32\notepad.exe), täpne failiversioon ja selle allkirjastanud ettevõte (Microsoft Corporation jne). See teave on väga kasulik õigustatud protsesside eristamiseks potentsiaalselt pahatahtlikest imitatsioonidest.

Uudishimulik aspekt on see Protsessid on värvilised vastavalt nende tüübile või olekule (teenused, süsteemiprotsessid, peatatud protsessid jne). Iga värvi tähendust saab menüüs vaadata ja kohandada. Häkker > Valikud > Esiletõstmine, juhul kui soovite skeemi oma maitse järgi kohandada.

Kui paremklõpsate mis tahes protsessil, kuvatakse menüü kontekstimenüü täis valikuidÜks silmatorkavamaid on Atribuudid, mis kuvatakse esile tõstetuna ja avab akna, kus on äärmiselt detailne teave protsessi kohta.

See omaduste aken on korraldatud järgmiselt: mitu vahelehte (umbes üksteist)Iga vahekaart keskendub kindlale aspektile. Vahekaart Üldine näitab käivitatava faili teed, selle käivitamiseks kasutatavat käsurida, tööaega, peaprotsessi, protsessi keskkonnaploki (PEB) aadressi ja muid madala taseme andmeid.

Statistika vahekaart kuvab täpsemat statistikat: protsessi prioriteet, tarbitud protsessori tsüklite arv, nii programmi enda kui ka selle töödeldavate andmete poolt kasutatava mälu hulk, teostatavad sisend-/väljundoperatsioonid (lugemine ja kirjutamine kettale või teistele seadmetele) jne.

Vahekaart „Jõudlus” pakub Protsessori, mälu ja sisend-/väljundkasutuse graafikud Selle protsessi jaoks on väga kasulik tuvastada piike või anomaalset käitumist. Samal ajal võimaldab mälu vahekaart teil kontrollida ja isegi mälu sisu otse redigeerida protsessist, mis on väga täiustatud funktsioon, mida tavaliselt kasutatakse silumisel või pahavara analüüsimisel.

Lisaks omadustele sisaldab kontekstimenüü mitmeid võtmevalikud ülaosas:

• Lõpetage: lõpetab protsessi kohe.
• Lõpeta puu: sulgeb valitud protsessi ja kõik selle alamprotsessid.
• Peatama: külmutab ajutiselt protsessi, mida saab hiljem jätkata.
• Restart: taaskäivitab peatatud protsessi.

Nende valikute kasutamine nõuab ettevaatust, sest Protsessihäkker saab lõpetada protsesse, mida teised haldurid ei saa.Kui sa lõpetad süsteemi või olulise rakenduse jaoks kriitilise tegevuse, võid kaotada andmeid või põhjustada ebastabiilsust. See on ideaalne tööriist pahavara või mittereageerivate protsesside peatamiseks, aga sa pead teadma, mida sa teed.

Samast menüüst allpool leiate seaded järgmistele funktsioonidele: Protsessori prioriteet Prioriteedivaliku alt saate määrata tasemeid alates reaalajast (maksimaalne prioriteet, protsess saab protsessori käsu alati, kui ta seda nõuab) kuni jõudeolekuni (minimaalne prioriteet, protsess töötab ainult siis, kui miski muu ei soovi protsessorit kasutada).

Sul on ka võimalus Sisend-/väljundprioriteetSee säte määrab sisend-/väljundtoimingute (ketta lugemine ja kirjutamine jne) protsessi prioriteedi selliste väärtustega nagu Kõrge, Tavaline, Madal ja Väga madal. Nende valikute muutmine võimaldab teil näiteks piirata suure koopia või ketta ülekoormava programmi mõju.

Teine väga huvitav omadus on SaadaSealt saate saata protsessi kohta teavet (või näidist) erinevatele veebipõhistele viirusetõrje analüüsiteenustele, mis on suurepärane, kui kahtlustate, et protsess võib olla pahatahtlik ja soovite teist arvamust ilma kogu tööd käsitsi tegemata.

Teenuse-, võrgu- ja kettahaldus

Process Hacker ei keskendu ainult protsessidele. Teised peamised vahekaardid annavad sulle... üsna peen kontroll teenuste, võrguühenduste ja kettategevuse üle.

Teenuste vahekaardil näete täielikku loendit Windowsi teenused ja draiveridSee hõlmab nii aktiivseid kui ka peatatud teenuseid. Siit saate teenuseid käivitada, peatada, peatada või jätkata, samuti muuta nende käivitustüüpi (automaatne, käsitsi või keelatud) või kasutajakontot, mille all need töötavad. Süsteemiadministraatorite jaoks on see puhas kuld.

Vahekaart „Võrk” kuvab reaalajas teavet. Millised protsessid loovad võrguühendusiSee hõlmab teavet, näiteks kohalikke ja kaug-IP-aadresse, porte ja ühenduse olekut. See on väga kasulik kahtlaste aadressidega suhtlevate programmide tuvastamiseks või ribalaiust koormava rakenduse tuvastamiseks.

Näiteks kui kohtate brauserilukustust või veebisaiti, mis blokeerib teie brauseri pidevalt kuvatavate dialoogiboksidega, saate selle leidmiseks kasutada vahekaarti Võrk. brauseri konkreetne ühendus selle domeeniga ja sulgege see Process Hackerist, ilma et peaksite kogu brauseriprotsessi tapma ja kõik avatud vahelehed kaotama või isegi blokeeri CMD-st kahtlased ühendused kui eelistate tegutseda käsurealt.

Vahekaart „Kett” loetleb süsteemiprotsesside lugemis- ja kirjutamistoimingud. Siit saate tuvastada rakendused, mis ülekoormavad ketast ilma nähtava põhjuseta või tuvastada kahtlast käitumist, näiteks programmi, mis kirjutab massiliselt ja võib faile krüpteerida (mõne lunavara tüüpiline käitumine).

Täiustatud funktsioonid: käepidemed, mälutõmmised ja "kaaperdatud" ressursid

Lisaks põhilisele protsesside ja teenuste juhtimisele hõlmab Process Hacker ka järgmist: väga kasulikud tööriistad konkreetsete olukordade jaokseriti lukustatud failide kustutamisel, kummaliste protsesside uurimisel või rakenduste käitumise analüüsimisel.

Väga praktiline variant on Leidke käepidemeid või DLL-eSellele funktsioonile pääseb ligi peamenüüst. Kujutage ette, et proovite faili kustutada ja Windows väidab, et seda "kasutab teine ​​protsess", kuid ei ütle, milline protsess. Selle funktsiooni abil saate filtriribale tippida faili nime (või selle osa) ja klõpsata nuppu "Otsi".

Programm jälgib, käepidemed (ressursi identifikaatorid) ja DLL-id Avage loend ja kuvage tulemused. Kui olete leidnud soovitud faili, saate sellel paremklõpsata ja valida „Mine omanikuprotsessi juurde”, et hüpata vastava protsessi juurde vahekaardil Protsessid.

Kui see protsess on esile tõstetud, saate otsustada, kas see lõpetada (Lõpeta). liberar el archivo y poder kustuta lukustatud failidEnne seda kuvab Process Hacker hoiatuse, mis tuletab meelde, et võite andmeid kaotada. Jällegi on see võimas tööriist, mis aitab teid olukorrast välja, kui kõik muu ebaõnnestub, kuid seda tuleks kasutada ettevaatlikult.

Teine täiustatud funktsioon on loomine mälutõmmisedProtsessi kontekstimenüüst saate valida „Loo mälutõmmise fail…“ ja valida kausta, kuhu soovite .dmp-faili salvestada. Analüütikud kasutavad neid mälutõmmiseid laialdaselt tekstistringide, krüpteerimisvõtmete või pahavara indikaatorite otsimiseks selliste tööriistade abil nagu heksaeditorid, skriptid või YARA reeglid.

Protsessihäkker saab hakkama ka .NET-protsessid põhjalikumalt kui mõned sarnased tööriistad, mis on kasulik sellel platvormil kirjutatud rakenduste silumisel või .NET-põhise pahavara analüüsimisel.

Lõpuks, kui asi puudutab tuvastamist ressursimahukad protsessidProtsessorikasutuse järgi protsesside loendi sortimiseks klõpsake lihtsalt CPU veeru päisel või mälu hõivavate või sisend-/väljundvõimsust ülekoormavate protsesside tuvastamiseks klõpsake privaatbaitide ja sisend-/väljundkiiruse järgi. See muudab kitsaskohtade leidmise väga lihtsaks.

Ühilduvuse, draiveri ja turvalisuse kaalutlused

Ajalooliselt tegutses Process Hacker järgmiselt: Windows XP ja uuemad versioonid, mis nõuab .NET Framework 2.0. Aja jooksul on projekt arenenud ja uusimad versioonid on suunatud Windows 10 ja Windows 11 jaoks, nii 32- kui ka 64-bitistele, mõnevõrra moodsamate nõuetega (teatud versioonid on tuntud kui System Informer, mis on Process Hacker 2.x vaimne järeltulija).

64-bitistes süsteemides tuleb mängu delikaatne küsimus: kerneli režiimi draiveri allkirjastamine (Kernel-Mode Code Signing, KMCS). Windows lubab juurkomplektide ja muude pahatahtlike draiverite tõkestamiseks laadida ainult draivereid, mis on allkirjastatud Microsofti poolt tunnustatud kehtivate sertifikaatidega.

Draiver, mida Process Hacker oma täiustatud funktsioonide jaoks kasutab, ei pruugi olla süsteemi poolt aktsepteeritud allkirjaga või see võib olla allkirjastatud testsertifikaatidega. See tähendab, et tavalises 64-bitises Windowsi installisDraiver ei pruugi laadida ja mõned "süvafunktsioonid" keelatakse.

Edasijõudnud kasutajad saavad kasutada selliseid valikuid nagu Aktiveeri Windowsi "testimisrežiim" (mis lubab laadida prooviversiooni draivereid) või vanemates süsteemi versioonides draiveri allkirja kontrollimise keelamine. Need manöövrid vähendavad aga oluliselt süsteemi turvalisust, kuna avavad ukse teistele pahatahtlikele draiveritele, kes saavad kontrollimatult läbi lipsata.

Isegi ilma draiverita on Process Hacker ikkagi väga võimas jälgimisvahendNäete protsesse, teenuseid, võrku, ketast, statistikat ja palju muud kasulikku teavet. Kaotate lihtsalt osa oma võimalusest peatada kaitstud protsesse või pääseda juurde teatud väga madala taseme andmetele.

Igal juhul tasub meeles pidada, et mõned viirusetõrjeprogrammid tuvastavad Process Hackeri kui Riskvara või PUP Just seetõttu, et see võib turvaprotsesse häirida. Kui kasutate seda seaduslikult, saate oma turvalahendusele lisada erandeid, et vältida valehäireid, olles alati teadlik, mida teete.

Kõigile, kes soovivad paremini mõista oma Windowsi käitumist, alates edasijõudnud kasutajatest kuni küberturvalisuse spetsialistideni. Process Hackeri omamine teie tööriistakastis muudab oluliselt kui on aeg süsteemi keerulisi probleeme diagnoosida, optimeerida või uurida.