Potpuni vodič za Process Hacker: Napredna alternativa Upravitelju zadataka

Za mnoge korisnike Windowsa, Upravitelj zadataka ne uspijeva. Zato se neki na kraju okreću Process Hackeru. Ovaj alat je stekao popularnost među administratorima, programerima i sigurnosnim analitičarima jer im omogućuje pregled i kontrolu sustava na razini koju standardni Upravitelj zadataka sustava Windows ne može ni zamisliti.

U ovom sveobuhvatnom vodiču pregledat ćemo Što je Process Hacker, kako ga preuzeti i instaliratiŠto nudi u usporedbi s Upraviteljem zadataka i Istraživačem procesa te kako ga koristiti za upravljanje procesima, uslugama, mrežom, diskom, memorijom, pa čak i istraživanjem zlonamjernog softvera.

Što je Process Hacker i zašto je tako moćan?

Process Hacker je, u osnovi, napredni upravitelj procesa za WindowsOtvorenog je koda i potpuno besplatan. Mnogi ga opisuju kao "Upravitelj zadataka na steroidima", a istina je da mu taj opis prilično dobro odgovara.

Njegov je cilj pružiti vam vrlo detaljan pregled onoga što se događa u vašem sustavuProcesi, servisi, memorija, mreža, disk… i, prije svega, pruža vam alate za intervenciju kada se nešto zaglavi, troši previše resursa ili se čini sumnjivim na zlonamjerni softver. Sučelje donekle podsjeća na Process Explorer, ali Process Hacker dodaje dobar broj dodatnih značajki.

Jedna od njegovih snaga je što može otkriti skrivene procese i završiti "zaštićene" procese koji Upravitelj zadataka ne može zatvoriti. To se postiže zahvaljujući upravljačkom programu kernel-mode pod nazivom KProcessHacker, koji mu omogućuje izravnu komunikaciju s Windows kernelom s povišenim privilegijama.

Biti projekt Otvoreni kod, kod je dostupan svimaTo potiče transparentnost: zajednica ga može revidirati, otkriti sigurnosne nedostatke, predložiti poboljšanja i osigurati da nema skrivenih neugodnih iznenađenja. Mnoge tvrtke i stručnjaci za kibernetičku sigurnost vjeruju Process Hackeru upravo zbog ove otvorene filozofije.

Vrijedi, međutim, imati na umu da Neki antivirusni programi označavaju ga kao "rizičan" ili PUP (potencijalno neželjeni program).Ne zato što je zlonamjerno, već zato što ima sposobnost ubijanja vrlo osjetljivih procesa (uključujući sigurnosne usluge). To je vrlo moćno oružje i, kao i svako oružje, treba ga koristiti razborito.

Preuzimanje Process Hackera: verzije, prijenosna verzija i izvorni kod

Da biste dobili program, uobičajeno je otići na njihovu službena OA stranica vaš repozitorij na SourceForgeu / GitHubuTamo ćete uvijek pronaći najnoviju verziju i kratak sažetak onoga što alat može učiniti.

U odjeljku za preuzimanje obično ćete vidjeti dva glavna modaliteta za 64-bitne sustave:

• Postavljanje (preporučeno): klasični instalacijski program, onaj koji smo oduvijek koristili, preporučen za većinu korisnika.
• Binarne datoteke (prijenosne)Prijenosna verzija, koju možete pokrenuti izravno bez instalacije.

Opcija Postavljanje je idealna ako želite Ostavite Process Hacker već instaliran.integriran s izbornikom Start i s dodatnim opcijama (kao što je zamjena Upravitelja zadataka). Prijenosna verzija, s druge strane, savršena je za nosite ga na USB pogonu i koristiti ga na različitim računalima bez potrebe za instaliranjem ičega.

Malo dalje se obično pojavljuju i 32-bitne verzijeU slučaju da još uvijek radite sa starijom opremom. Danas nisu toliko česti, ali još uvijek postoje okruženja u kojima su neophodni.

Ako je ono što vas zanima petljanje s izvornim kodom Ili možete sami sastaviti svoju verziju; na službenoj web stranici pronaći ćete izravnu poveznicu na GitHub repozitorij. Odatle možete pregledati kod, pratiti popis promjena, pa čak i predložiti poboljšanja ako želite doprinijeti projektu.

Program teži vrlo malo, oko nekoliko megabajtaDakle, preuzimanje traje samo nekoliko sekundi, čak i uz sporu vezu. Nakon što je završeno, možete pokrenuti instalacijski program ili, ako ste odabrali prijenosnu verziju, izravno izdvojiti i pokrenuti izvršnu datoteku.

Instalacija korak po korak na Windowsima

Ako odaberete instalacijski program (Setup), postupak je prilično tipičan u sustavu Windows, iako s Neke zanimljive opcije koje vrijedi provjeriti mirno.

Čim dvaput kliknete na preuzetu datoteku, Windows će prikazati Kontrola korisničkog računa (UAC) Upozorit će vas da program želi napraviti promjene u sustavu. To je normalno: Process Hacker treba određene privilegije da bi radio, pa ćete ih morati prihvatiti da biste nastavili.

Prvo što ćete vidjeti je čarobnjak za instalaciju s tipičnim ekran za licencuProcess Hacker se distribuira pod GNU GPL verzijom 3 licence, uz neke specifične iznimke spomenute u tekstu. Dobra je ideja pregledati ih prije nego što nastavite, posebno ako ga planirate koristiti u korporativnim okruženjima.

 

U sljedećem koraku, instalater predlaže zadana mapa gdje će se program kopirati. Ako vam zadana putanja ne odgovara, možete je izravno promijeniti upisivanjem druge ili pomoću gumba Pretraga za odabir druge mape u pregledniku.

Zatim popis komponenti koji čine aplikaciju: glavne datoteke, prečaci, opcije povezane s upravljačkim programima itd. Ako želite potpunu instalaciju, najjednostavnije je ostaviti sve označeno. Ako ste sigurni da nećete koristiti određenu značajku, možete je poništiti, iako zauzima minimalan prostor.

Zatim će vas asistent pitati za naziv mape u izborniku StartObično predlaže „Process Hacker 2“ ili nešto slično, što će stvoriti novu mapu s tim nazivom. Ako želite da se prečac pojavi u drugoj postojećoj mapi, možete kliknuti Pregledaj i odabrati ga. Također imate mogućnost Nemojte stvarati mapu izbornika Start tako da se u izborniku Start ne stvori nikakav unos.

Na sljedećem ekranu doći ćete do skupa dodatne opcije koje zaslužuju posebnu pažnju:

• Stvoriti ili ne prečac na radnoj površinii odlučite hoće li biti samo za vašeg korisnika ili za sve korisnike u timu.
• Suza Haker procesa pri pokretanju sustava WindowsA ako u tom slučaju želite da se otvori minimizirano u području obavijesti.
• Učini to Process Hacker zamjenjuje Upravitelja zadataka Standardno za Windows.
• Instalirajte Upravljački program KProcessHackera i dajte mu puni pristup sustavu (vrlo moćna opcija, ali se ne preporučuje ako ne znate što podrazumijeva).

Nakon što odaberete ove postavke, instalacijski program će vam prikazati sažetak konfiguracije A kada kliknete Instaliraj, započet će kopiranje datoteka. Vidjet ćete malu traku napretka nekoliko sekundi; proces je brz.

Kada završite, asistent će vas obavijestiti da je Instalacija je uspješno završena i prikazat će nekoliko okvira:

• Pokreni Process Hacker prilikom zatvaranja čarobnjaka.
• Otvorite popis promjena za instaliranu verziju.
• Posjetite službenu web stranicu projekta.

Prema zadanim postavkama, obično je označen samo okvir. Pokreni haker procesaAko tu opciju ostavite kakva jest, kada kliknete Završi, program će se prvi put otvoriti i možete početi eksperimentirati s njim.

Kako pokrenuti Process Hacker i prvi koraci

Ako ste tijekom instalacije odabrali stvaranje prečaca na radnoj površini, pokretanje programa bit će jednostavno kao dvaput kliknite na ikonuTo je najbrži način za one koji ga često koriste.

Ako nemate izravan pristup, uvijek možete Otvorite ga iz izbornika StartJednostavno kliknite gumb Start, idite na "Sve aplikacije" i pronađite mapu "Process Hacker 2" (ili bilo koje drugo ime koje ste odabrali tijekom instalacije). Unutra ćete pronaći unos programa i možete ga otvoriti jednim klikom.

Prvi put kad se pokrene, ono što se ističe jest da Sučelje je preopterećeno informacijama.Ne brinite: uz malo vježbe, raspored postaje prilično logičan i organiziran. Zapravo, prikazuje puno više podataka od standardnog Upravitelja zadataka, a istovremeno ostaje jednostavan za upravljanje.

Na vrhu imate red Glavne kartice: Procesi, Usluge, Mreža i DiskSvaki od njih prikazuje drugačiji aspekt sustava: pokrenute procese, usluge i upravljačke programe, mrežne veze i aktivnost diska.

Na kartici Procesi, koja se otvara prema zadanim postavkama, vidjet ćete sve procese u obliku hijerarhijskog stablaTo znači da možete brzo prepoznati koji su procesi roditelji, a koji djeca. Na primjer, uobičajeno je vidjeti Notepad (notepad.exe) ovisan o explorer.exe, kao i mnogi prozori i aplikacije koje pokrećete iz Explorera.

Kartica Procesi: inspekcija i kontrola procesa

Prikaz procesa je srce Process Hackera. Odavde možete vidjeti što se zapravo pokreće na vašem računalu i brzo donosite odluke kada nešto pođe po zlu.

U popisu procesa, osim naziva, stupci kao što su PID (identifikator procesa), postotak korištenog CPU-a, ukupna brzina I/O operacija, memorija u upotrebi (privatni bajtovi), korisnik koji pokreće proces i kratak opis.

Ako pomaknete miš i na trenutak ga zadržite iznad naziva procesa, otvorit će se prozor. skočni prozor s dodatnim detaljimaPuna putanja do izvršne datoteke na disku (na primjer, C:\Windows\System32\notepad.exe), točna verzija datoteke i tvrtka koja ju je potpisala (Microsoft Corporation itd.). Ove su informacije vrlo korisne za razlikovanje legitimnih procesa od potencijalno zlonamjernih imitacija.

Zanimljiv aspekt je taj Procesi su obojeni prema njihovoj vrsti ili stanju (usluge, sistemski procesi, obustavljeni procesi itd.). Značenje svake boje može se pregledati i prilagoditi u izborniku. Haker > Opcije > Isticanje, u slučaju da želite prilagoditi shemu svojim željama.

Ako desnom tipkom miša kliknete bilo koji proces, pojavit će se izbornik kontekstni izbornik pun opcijaJedno od najupečatljivijih je Svojstva, koje se pojavljuje istaknuto i služi za otvaranje prozora s izuzetno detaljnim informacijama o procesu.

Taj prozor svojstava je organiziran u više kartica (oko jedanaest)Svaka kartica fokusira se na određeni aspekt. Kartica Općenito prikazuje putanju izvršne datoteke, naredbeni redak koji se koristi za njezino pokretanje, vrijeme izvođenja, nadređeni proces, adresu bloka okruženja procesa (PEB) i ostale podatke niske razine.

Kartica Statistika prikazuje napredne statistike: prioritet procesa, broj potrošenih CPU ciklusa, količina memorije koju koristi i sam program i podaci koje obrađuje, izvršene ulazno/izlazne operacije (čitanje i pisanje na disk ili druge uređaje) itd.

Kartica Performanse nudi Grafikoni korištenja CPU-a, memorije i I/O-a Za taj proces, nešto vrlo korisno za otkrivanje skokova ili anomalnog ponašanja. U međuvremenu, kartica Memorija omogućuje vam pregled, pa čak i izravno uređivanje sadržaja memorije procesa, vrlo napredna funkcionalnost koja se obično koristi za otklanjanje pogrešaka ili analizu zlonamjernog softvera.

Osim Svojstava, kontekstni izbornik uključuje i niz ključne opcije na vrhu:

• okončati: odmah završava proces.
• Završi stablo: zatvara odabrani proces i sve njegove podprocese.
• Obustaviti: privremeno zamrzava proces, koji se kasnije može nastaviti.
• Restart: ponovno pokreće prekinuti proces.

Korištenje ovih opcija zahtijeva oprez, jer Haker procesa može prekinuti procese koje drugi upravitelji ne mogu.Ako uništite nešto ključno za sustav ili važnu aplikaciju, mogli biste izgubiti podatke ili uzrokovati nestabilnost. To je idealan alat za zaustavljanje zlonamjernog softvera ili procesa koji ne reagiraju, ali morate znati što radite.

Dalje u istom izborniku pronaći ćete postavke za Prioritet procesora U opciji Prioritet možete postaviti razine u rasponu od Realno vrijeme (maksimalni prioritet, proces dobiva procesor kad god ga zatraži) do Mirovanje (minimalni prioritet, proces se pokreće samo ako ništa drugo ne želi koristiti CPU).

Imate i opciju Prioritet ulazno/izlaznih signalaOva postavka definira prioritet procesa za ulazno/izlazne operacije (čitanje i pisanje na disk itd.) s vrijednostima kao što su Visoko, Normalno, Nisko i Vrlo nisko. Podešavanje ovih opcija omogućuje vam, na primjer, ograničavanje utjecaja velike kopije ili programa koji preopterećuje disk.

Još jedna vrlo zanimljiva značajka je PošaljiOd tamo možete poslati informacije o procesu (ili uzorak) raznim online antivirusnim uslugama za analizu, što je izvrsno kada sumnjate da bi proces mogao biti zlonamjeran i želite drugo mišljenje bez potrebe da sav posao obavljate ručno.

Upravljanje uslugama, mrežom i diskovima

Process Hacker se ne fokusira samo na procese. Ostale glavne kartice vam daju prilično fina kontrola nad uslugama, mrežnim vezama i aktivnošću diska.

Na kartici Usluge vidjet ćete potpuni popis Windows servisi i upravljački programiTo uključuje i aktivne i zaustavljene usluge. Ovdje možete pokrenuti, zaustaviti, pauzirati ili nastaviti usluge, kao i promijeniti njihovu vrstu pokretanja (automatsko, ručno ili onemogućeno) ili korisnički račun pod kojim se pokreću. Za administratore sustava ovo je čisto zlato.

Kartica Mreža prikazuje informacije u stvarnom vremenu. koji procesi uspostavljaju mrežne vezeTo uključuje informacije kao što su lokalne i udaljene IP adrese, portovi i status veze. Vrlo je korisno za otkrivanje programa koji komuniciraju sa sumnjivim adresama ili za prepoznavanje koja aplikacija zasićuje vašu propusnost.

Na primjer, ako naiđete na "browlock" ili web-stranicu koja blokira vaš preglednik stalnim dijaloškim okvirima, možete je pronaći pomoću kartice Mreža. specifična veza preglednika s tom domenom i zatvorite ga iz Process Hackera, bez potrebe za prekidanjem cijelog procesa preglednika i gubitkom svih otvorenih kartica ili čak blokiranje sumnjivih veza iz CMD-a ako više volite djelovati iz naredbenog retka.

Kartica Disk navodi aktivnosti čitanja i pisanja koje izvršavaju sistemski procesi. Ovdje možete otkriti aplikacije koje preopterećuju disk bez vidljivog razloga ili identificirati sumnjivo ponašanje, poput programa koji masovno piše i mogao bi šifrirati datoteke (tipično ponašanje nekih ransomware programa).

Napredne značajke: ručke, memorijski dumpovi i "oteti" resursi

Uz osnovnu kontrolu procesa i usluga, Process Hacker uključuje vrlo korisni alati za specifične scenarijeposebno prilikom brisanja zaključanih datoteka, istraživanja čudnih procesa ili analize ponašanja aplikacija.

Vrlo praktična opcija je Pronalaženje ručki ili DLL-ovaOva je značajka dostupna iz glavnog izbornika. Zamislite da pokušavate izbrisati datoteku, a Windows inzistira na tome da je "koristi drugi proces", ali vam ne kaže koji. Pomoću ove funkcije možete upisati naziv datoteke (ili njegov dio) u traku za filtriranje i kliknuti Pronađi.

Program prati ručke (identifikatori resursa) i DLL-ovi Otvorite popis i prikažite rezultate. Kada pronađete datoteku koja vas zanima, možete kliknuti desnom tipkom miša i odabrati "Idi na proces koji posjeduje" da biste prešli na odgovarajući proces na kartici Procesi.

Nakon što je taj proces označen, možete odlučiti hoćete li ga završiti (Prekini) otpustite datoteku i budite u mogućnosti izbrisati zaključane datotekePrije nego što to učinite, Process Hacker će prikazati upozorenje koje vas podsjeća da biste mogli izgubiti podatke. Ponovno, to je moćan alat koji vas može izvući iz zastoja kada sve ostalo ne uspije, ali ga treba koristiti s oprezom.

Još jedna napredna značajka je stvaranje izvatci memorijeIz kontekstnog izbornika procesa možete odabrati "Stvori datoteku s izvatkom…" i odabrati mapu u koju želite spremiti .dmp datoteku. Ove izvatke analitičari često koriste za pretraživanje tekstualnih nizova, ključeva za šifriranje ili indikatora zlonamjernog softvera pomoću alata kao što su heksadecimalni urednici, skripte ili YARA pravila.

Process Hacker također može podnijeti .NET procesi sveobuhvatnije od nekih sličnih alata, što je korisno prilikom otklanjanja pogrešaka u aplikacijama napisanim na toj platformi ili analize zlonamjernog softvera temeljenog na .NET-u.

Konačno, kada je u pitanju otkrivanje procesi koji troše resurseJednostavno kliknite na zaglavlje stupca CPU da biste sortirali popis procesa prema korištenju procesora ili na privatne bajtove i ukupnu brzinu ulazno/izlaznih operacija da biste identificirali procese koji zauzimaju memoriju ili preopterećuju ulazno/izlazne operacije. To uvelike olakšava lociranje uskih grla.

Kompatibilnost, upravljački program i sigurnosna razmatranja

Povijesno gledano, Process Hacker je djelovao na Windows XP i novije verzije, što zahtijeva .NET Framework 2.0. Tijekom vremena projekt se razvijao, a najnovije verzije usmjerene su na Windows 10 i Windows 11, obje 32-bitne i 64-bitne, s nešto modernijim zahtjevima (određene verzije poznate su kao System Informer, duhovni nasljednik Process Hackera 2.x).

U 64-bitnim sustavima dolazi do izražaja delikatan problem: potpisivanje upravljačkog programa u kernel modu (Potpisivanje koda u kernelskom načinu rada, KMCS). Windows dopušta učitavanje samo upravljačkih programa potpisanih valjanim certifikatima koje priznaje Microsoft, kao mjeru sprječavanja rootkitova i drugih zlonamjernih upravljačkih programa.

Upravljački program koji Process Hacker koristi za svoje naprednije funkcije možda nema potpis koji prihvaća sustav ili je možda potpisan testnim certifikatima. To znači da, u standardnoj 64-bitnoj instalaciji sustava WindowsUpravljački program se možda neće učitati i neke "duboke" značajke bit će onemogućene.

Napredni korisnici mogu koristiti opcije kao što su aktivirajte "testni način rada" sustava Windows (što omogućuje učitavanje probnih upravljačkih programa) ili, u starijim verzijama sustava, onemogućavanje provjere potpisa vozača. Međutim, ovi manevri značajno smanjuju sigurnost sustava jer otvaraju vrata drugim zlonamjernim vozačima da se provuku bez nadzora.

Čak i bez učitanog upravljačkog programa, Process Hacker je i dalje vrlo moćan alat za praćenjeMoći ćete vidjeti procese, usluge, mrežu, disk, statistiku i mnoge druge korisne informacije. Jednostavno ćete izgubiti dio mogućnosti prekidanja zaštićenih procesa ili pristupa određenim podacima vrlo niske razine.

U svakom slučaju, vrijedi zapamtiti da će neki antivirusni programi detektirati Process Hacker kao Riskware ili PUP Upravo zato što može ometati sigurnosne procese. Ako ga koristite legitimno, možete dodati izuzeća svom sigurnosnom rješenju kako biste spriječili lažne alarme, uvijek svjesni što radite.

Za sve koji žele bolje razumjeti kako se njihov Windows ponaša, od naprednih korisnika do stručnjaka za kibernetičku sigurnost, Imati Process Hacker u svom alatu čini ogromnu razliku kada dođe vrijeme za dijagnosticiranje, optimizaciju ili istraživanje složenih problema u sustavu.