Heildarleiðbeiningar um Process Hacker: Ítarlegri valkostur við Task Manager

Fyrir marga Windows notendur er Task Manager ekki nógu góður. Þess vegna leita sumir til Process Hacker. Þetta tól hefur notið vinsælda meðal stjórnenda, forritara og öryggisgreinenda því það gerir þeim kleift að skoða og stjórna kerfinu á stigi sem hefðbundinn Windows Task Manager getur ekki einu sinni ímyndað sér.

Í þessari ítarlegu handbók munum við fara yfir Hvað er Process Hacker, hvernig á að hlaða því niður og setja það uppHvað það býður upp á samanborið við Task Manager og Process Explorer, og hvernig á að nota það til að stjórna ferlum, þjónustu, neti, diski, minni og jafnvel rannsaka spilliforrit.

Hvað er Process Hacker og hvers vegna er það svona öflugt?

Process Hacker er í grundvallaratriðum, háþróaður ferlastjóri fyrir WindowsÞað er opinn hugbúnaður og alveg ókeypis. Margir lýsa því sem „Verkefnastjóra á sterum“ og sannleikurinn er sá að sú lýsing passar nokkuð vel við það.

Markmið þess er að gefa þér mjög ítarlegt yfirlit yfir hvað er að gerast í kerfinu þínuFerlar, þjónusta, minni, net, diskur… og umfram allt, að gefa þér verkfæri til að grípa inn í þegar eitthvað festist, notar of mikið af auðlindum eða virðist grunsamlegt um spilliforrit. Viðmótið minnir nokkuð á Process Explorer, en Process Hacker bætir við fjölda aukaeiginleika.

Einn af styrkleikum þess er að það getur greina falda ferla og hætta „varða“ ferla sem Verkefnastjórinn getur ekki lokað. Þetta er gert þökk sé kjarnaham-rekli sem kallast KProcessHacker, sem gerir því kleift að eiga samskipti beint við Windows kjarnann með auknum réttindum.

Að vera verkefni Opinn hugbúnaður, kóðinn er aðgengilegur öllumÞetta stuðlar að gagnsæi: samfélagið getur gert úttekt á því, greint öryggisgalla, lagt til úrbætur og tryggt að engar óþægilegar óvæntar uppákomur komi upp. Mörg fyrirtæki og sérfræðingar í netöryggi treysta Process Hacker einmitt vegna þessarar opnu hugmyndafræði.

Það er þó vert að taka fram að Sum vírusvarnarforrit merkja það sem „áhættusamt“ eða sem hugsanlega óæskilegt forrit (PUP).Ekki vegna þess að það sé illgjarnt, heldur vegna þess að það hefur getu til að drepa mjög viðkvæma ferla (þar á meðal öryggisþjónustur). Það er mjög öflugt vopn og, eins og öll vopn, ætti að nota það af skynsemi.

Sækja Process Hacker: útgáfur, flytjanleg útgáfa og frumkóði

Til að fá forritið er venjulega farið á þeirra Opinbera OA síða gagnageymsluna þína á SourceForge / GitHubÞar finnur þú alltaf nýjustu útgáfuna og stutta yfirlit yfir hvað tólið getur gert.

Í niðurhalshlutanum sérðu venjulega tvær meginaðferðir fyrir 64-bita kerfi:

• Uppsetning (ráðlagt): klassíska uppsetningarforritið, það sem við höfum alltaf notað, mælt með fyrir flesta notendur.
• Tvöfaldar skrár (flytjanlegar)Flytjanleg útgáfa sem þú getur keyrt beint án þess að setja upp.

Uppsetningarvalkosturinn er tilvalinn ef þú vilt Láttu Process Hacker vera þegar uppsett.samþætt við Start valmyndina og með viðbótarvalkostum (eins og að skipta út Task Manager). Flytjanlega útgáfan er hins vegar fullkomin fyrir bera það með sér á USB-lykil og nota það á mismunandi tölvum án þess að þurfa að setja neitt upp.

Aðeins lengra niður birtast þeir einnig venjulega 32-bita útgáfurEf þú ert enn að vinna með eldri búnað. Hann er ekki eins algengur nú til dags, en það eru samt aðstæður þar sem hann er nauðsynlegur.

Ef það sem vekur áhuga þinn er að fikta í frumkóðanum Eða þú getur þýtt þína eigin útgáfu; á opinberu vefsíðunni finnur þú beinan tengil á GitHub geymsluna. Þaðan geturðu skoðað kóðann, fylgst með breytingaskránni og jafnvel lagt til úrbætur ef þú vilt leggja þitt af mörkum til verkefnisins.

Forritið vegur mjög lítið, u.þ.b. nokkur megabætNiðurhalið tekur því aðeins nokkrar sekúndur, jafnvel með hæga tengingu. Þegar því er lokið geturðu keyrt uppsetningarforritið eða, ef þú velur flytjanlegu útgáfuna, dregið út og ræst keyrsluskrána beint.

Skref-fyrir-skref uppsetning á Windows

Ef þú velur uppsetningarforritið (Setup), þá er ferlið nokkuð dæmigert í Windows, þó með Nokkrir áhugaverðir möguleikar sem vert er að skoða rólega.

Um leið og þú tvísmellir á skrána sem hefur verið sótt birtist Windows Stjórnun notendareiknings (UAC) Það mun vara þig við því að forritið vilji gera breytingar á kerfinu. Þetta er eðlilegt: Process Hacker þarf ákveðin réttindi til að virka, svo þú verður að samþykkja þau til að halda áfram.

Það fyrsta sem þú sérð er uppsetningarhjálpin með dæmigerðum leyfisskjárProcess Hacker er dreift undir GNU GPL útgáfu 3 leyfinu, með nokkrum undantekningum sem nefndar eru í textanum. Það er góð hugmynd að fara yfir þetta áður en haldið er áfram, sérstaklega ef þú ætlar að nota það í fyrirtækjaumhverfi.

 

Í næsta skrefi leggur uppsetningaraðilinn til sjálfgefin mappa þar sem forritið verður afritað. Ef sjálfgefna slóðin hentar þér ekki geturðu breytt henni beint með því að slá inn aðra eða með því að nota hnappinn Skoða til að velja aðra möppu í vafranum.

Þá listi yfir íhluti sem mynda forritið: aðalskrár, flýtileiðir, valkostir tengdir reklum o.s.frv. Ef þú vilt fullkomna uppsetningu er einfaldast að láta allt vera hakað við. Ef þú veist með vissu að þú munt ekki nota ákveðinn eiginleika geturðu afvelt hann, þó að plássið sem hann tekur sé takmarkað.

Næst mun aðstoðarmaðurinn biðja þig um möppunafnið í Start valmyndinniÞað bendir venjulega á „Process Hacker 2“ eða eitthvað svipað, sem býr til nýja möppu með því nafni. Ef þú vilt að flýtileiðin birtist í annarri fyrirliggjandi möppu geturðu smellt á Skoða og valið hana. Þú hefur einnig möguleika á því. Ekki búa til Start Menu möppu þannig að engin færsla sé búin til í Start valmyndinni.

Á næsta skjá muntu komast að safni af viðbótarvalkostir sem verðskulda sérstaka athygli:

• Að búa til eða ekki flýtileið á skjáborðiog ákveða hvort það verði aðeins fyrir þinn notanda eða alla notendur í teyminu.
• Byrja Ferliþjófur við ræsingu WindowsOg ef í því tilfelli vilt þú að það opnist lágmarkað í tilkynningasvæðinu.
• Gerðu það Process Hacker kemur í stað Task Manager Windows staðall.
• Setjið upp KProcessHacker bílstjóri og veita því fullan aðgang að kerfinu (mjög öflugur valkostur, en ekki ráðlagður ef þú veist ekki hvað það felur í sér).

Þegar þú hefur valið þessar stillingar mun uppsetningarforritið sýna þér stillingaryfirlit Og þegar þú smellir á Setja upp, byrjar það að afrita skrár. Þú munt sjá litla framvindustika í nokkrar sekúndur; ferlið er fljótlegt.

Þegar því er lokið mun aðstoðarmaðurinn láta þig vita að Uppsetningunni hefur verið lokið með góðum árangri og mun birta nokkra reiti:

• Keyrðu Process Hacker þegar þú lokar leiðsagnarforritinu.
• Opnaðu breytingaskrána fyrir uppsettu útgáfuna.
• Heimsækið opinberu vefsíðu verkefnisins.

Sjálfgefið er að aðeins reiturinn sé hakaður við. Keyra Process HackerEf þú skilur þennan valkost eftir óbreyttan, þá opnast forritið í fyrsta skipti þegar þú smellir á Ljúka og þú getur byrjað að prófa það.

Hvernig á að ræsa Process Hacker og fyrstu skrefin

Ef þú velur að búa til flýtileið á skjáborðinu við uppsetningu, verður það eins einfalt og að ræsa forritið. tvísmellið á tákniðÞetta er hraðasta leiðin fyrir þá sem nota hana oft.

Ef þú hefur ekki beinan aðgang geturðu alltaf Opnaðu það úr Start valmyndinniSmelltu einfaldlega á Start hnappinn, farðu í „Öll forrit“ og finndu möppuna „Process Hacker 2“ (eða hvaða nafn sem þú valdir við uppsetninguna). Þar finnur þú forritafærsluna og getur opnað hana með einum smelli.

Í fyrsta skipti sem það byrjar, þá er það sem stendur upp úr að Viðmótið er mjög upplýsingahlaðið.Ekki örvænta: með smá æfingu verður uppsetningin nokkuð rökrétt og skipulögð. Reyndar birtir hún miklu meiri gögn en venjulegi Verkefnastjórinn, en er samt meðfærileg.

Efst er röð af Aðalflipar: Ferlar, Þjónusta, Net og DiskurHver og einn sýnir þér mismunandi þætti kerfisins: keyrsluferla, þjónustu og rekla, nettengingar og diskvirkni, hver um sig.

Í flipanum Ferlar, sem opnast sjálfkrafa, sérðu öll ferlana. í formi stigveldis trésÞetta þýðir að þú getur fljótt greint hvaða ferlar eru foreldraferlar og hverjir eru undirferlar. Til dæmis er algengt að sjá Notepad (notepad.exe) vera háðan explorer.exe, eins og margir gluggar og forrit sem þú ræsir úr Explorer.

Ferli flipi: skoðun og eftirlit með ferlum

Ferlisýnin er kjarninn í Process Hacker. Héðan geturðu sjá hvað er í raun í gangi á vélinni þinni og taka skjótar ákvarðanir þegar eitthvað fer úrskeiðis.

Í ferlislistanum, auk nafnsins, dálkar eins og PID (ferlisauðkenni), hlutfall af örgjörvanotkun, heildar I/O hraði, minni í notkun (einkabæti), notandi sem keyrir ferlið og stutt lýsing.

Ef þú færir músina og heldur henni yfir nafni ferlisins í smá stund, þá opnast gluggi. sprettigluggi með frekari upplýsingumÖll slóðin að keyrsluskránni á disknum (til dæmis C:\Windows\System32\notepad.exe), nákvæm útgáfa skráarinnar og fyrirtækið sem undirritaði hana (Microsoft Corporation, o.s.frv.). Þessar upplýsingar eru mjög gagnlegar til að greina á milli lögmætra ferla og hugsanlega illgjarnra eftirlíkinga.

Einn forvitnilegur þáttur er sá að Ferlarnir eru litaðir eftir gerð þeirra eða stöðu (þjónustur, kerfisferlar, stöðvaðir ferlar o.s.frv.). Hægt er að skoða og aðlaga merkingu hvers litar í valmyndinni. Tölvuþrjótur > Valkostir > Auðkenning, ef þú vilt aðlaga kerfið að þínum óskum.

Ef þú hægrismellir á hvaða ferli sem er, þá birtist valmynd samhengisvalmynd full af valkostumEinn sá áberandi er Eiginleikar, sem birtist auðkenndur og þjónar til að opna glugga með afar ítarlegum upplýsingum um ferlið.

Þessi eiginleikagluggi er skipulagður í margir flipar (um ellefu)Hver flipi einbeitir sér að ákveðnum þætti. Almennt flipi sýnir keyrsluslóðina, skipanalínuna sem notuð er til að ræsa hana, keyrslutíma, yfirferlið, vistfang ferlisumhverfisblokkarinnar (PEB) og aðrar lágstigsupplýsingar.

Tölfræðiflipinn sýnir ítarlegri tölfræði: ferli forgangs, fjöldi örgjörvahringrása sem notaðar eru, minni sem bæði forritið sjálft notar og gögnin sem það meðhöndlar, inntaks-/úttaksaðgerðir sem framkvæmdar eru (les og skrifar á disk eða önnur tæki) o.s.frv.

Flipinn Afköst býður upp á Gröf yfir örgjörva-, minnis- og inntaks-/úttaksnotkun Fyrir það ferli, eitthvað mjög gagnlegt til að greina toppa eða óeðlilega hegðun. Á meðan gerir Minni-flipinn þér kleift að skoða og jafnvel breyta innihaldi minnisins beint ferlisins, mjög háþróuð virkni sem venjulega er notuð í kembiforritum eða greiningu á spilliforritum.

Auk Eiginleika inniheldur samhengisvalmyndin fjölda eiginleika lykilvalkostir efst:

• Ljúka: lýkur ferlinu samstundis.
• Ljúka trélokar völdu ferli og öllum undirferlum þess.
• Fresta: frystir tímabundið ferlið, sem hægt er að halda áfram síðar.
• Endurræsa: endurræsir ferli sem hefur verið stöðvað.

Notkun þessara valkosta krefst varúðar, því Process Hacker getur stöðvað ferla sem aðrir stjórnendur geta ekki.Ef þú eyðir einhverju sem er mikilvægt fyrir kerfið eða mikilvægt forrit gætirðu tapað gögnum eða valdið óstöðugleika. Þetta er tilvalið tól til að stöðva spilliforrit eða óvirk ferli, en þú þarft að vita hvað þú ert að gera.

Lengra niður í sömu valmynd finnur þú stillingar fyrir Forgangur örgjörva Í Forgangsvalkostinum er hægt að stillta stig allt frá rauntíma (hámarksforgangur, ferlið fær örgjörvann þegar það biður um hann) til aðgerðaleysis (lágmarksforgangur, það keyrir aðeins ef ekkert annað vill nota örgjörvann).

Þú hefur einnig möguleikann Forgangur inntaks/úttaksÞessi stilling skilgreinir forgangsröðun ferlisins fyrir inntak/úttak (lestur og skrif á disk o.s.frv.) með gildum eins og Hátt, Venjulegt, Lágt og Mjög lágt. Með því að stilla þessa valkosti er hægt að takmarka áhrif stórs eintaks eða forrits sem mettar diskinn.

Annar mjög áhugaverður eiginleiki er Senda tilÞaðan er hægt að senda upplýsingar um ferlið (eða sýnishorn) til ýmissa greiningarþjónustu á netinu fyrir vírusvarnarefni, sem er frábært þegar þú grunar að ferli gæti verið illgjarnt og vilt fá aðra skoðun án þess að þurfa að vinna allt verkið handvirkt.

Þjónusta, net og diskastjórnun

Process Hacker einbeitir sér ekki bara að ferlum. Hinir aðalflipar gefa þér nokkuð fín stjórn á þjónustu, nettengingum og diskvirkni.

Á flipanum Þjónusta sérðu fullan lista yfir Windows þjónusta og reklarÞetta á við um bæði virkar og stöðvaðar þjónustur. Héðan er hægt að ræsa, stöðva, gera hlé á eða endurræsa þjónustur, sem og breyta ræsingargerð þeirra (sjálfvirk, handvirk eða óvirk) eða notandareikningnum sem þær keyra undir. Fyrir kerfisstjóra er þetta gullmoli.

Netflipinn birtir upplýsingar í rauntíma. hvaða ferli eru að koma á nettengingumÞetta felur í sér upplýsingar eins og staðbundnar og fjarlægar IP-tölur, tengi og stöðu tenginga. Þetta er mjög gagnlegt til að greina forrit sem eiga samskipti við grunsamleg netföng eða til að bera kennsl á hvaða forrit er að metta bandvíddina þína.

Til dæmis, ef þú rekst á „browlock“ eða vefsíðu sem lokar vafrann þinn með stöðugum svarglugga, geturðu notað flipann Net til að finna það. sértæk tenging vafrans við það lén og loka því frá Process Hacker, án þess að þurfa að drepa allt vafraferlið og missa alla opna flipa, eða jafnvel loka fyrir grunsamlegar tengingar frá CMD ef þú kýst að framkvæma aðgerðina úr skipanalínunni.

Í flipanum Diskur er listi yfir les- og skrifaðgerðir sem kerfisferlar framkvæma. Héðan er hægt að greina forrit sem ofhlaða diskinn án augljósrar ástæðu eða bera kennsl á grunsamlega hegðun, eins og forrit sem skrifar gríðarlega mikið og gæti verið að dulkóða skrár (dæmigerð hegðun sumra ransomware).

Ítarlegri eiginleikar: handföng, minnisdump og „rændar“ auðlindir

Auk grunnstýringar á ferlum og þjónustu, felur Process Hacker í sér mjög gagnleg verkfæri fyrir ákveðnar aðstæðursérstaklega þegar læstar skrár eru eytt, undarleg ferli eru rannsökuð eða hegðun forrita er greind.

Mjög hagnýtur kostur er Finna handföng eða DLL-skrárÞessi aðgerð er aðgengileg úr aðalvalmyndinni. Ímyndaðu þér að þú reynir að eyða skrá og Windows fullyrðir að hún sé „notuð af öðru ferli“ en segir þér ekki hvaða ferli það er. Með þessari aðgerð geturðu slegið inn skráarnafnið (eða hluta þess) í síustikuna og smellt á Finna.

Forritið fylgist með handföng (auðkenni auðlinda) og DLL-skrár Opnaðu listann og sýndu niðurstöðurnar. Þegar þú finnur skrána sem þú hefur áhuga á geturðu hægrismellt og valið „Fara í eigandi ferli“ til að fara í samsvarandi ferli í flipanum Ferli.

Þegar þetta ferli hefur verið auðkennt geturðu ákveðið hvort þú viljir hætta því (Ljúka) til að gefa út skrána og geta eyða læstum skrámÁður en þú gerir þetta mun Process Hacker birta viðvörun sem minnir þig á að þú gætir tapað gögnum. Aftur, þetta er öflugt tól sem getur hjálpað þér úr klípu þegar allt annað bregst, en það ætti að nota með varúð.

Annar háþróaður eiginleiki er að búa til minnisdumparÍ samhengisvalmynd ferlisins er hægt að velja „Búa til dumpskrá…“ og velja möppuna þar sem þú vilt vista .dmp skrána. Þessar dumpskrár eru mikið notaðar af greinendum til að leita að textastrengjum, dulkóðunarlyklum eða vísbendingum um spilliforrit með því að nota verkfæri eins og hex-ritla, forskriftir eða YARA-reglur.

Process Hacker getur einnig séð um .NET ferlar ítarlegra en sum svipuð verkfæri, sem er gagnlegt við villuleit í forritum sem eru skrifuð á þeim vettvangi eða greiningu á spilliforritum sem byggja á .NET.

Að lokum, þegar kemur að því að greina auðlindafríandi ferliSmelltu einfaldlega á dálkhaus örgjörvans til að raða listanum yfir ferla eftir notkun örgjörvans, eða á einkabæti og heildarhraða inntaks/úttaks (I/O) til að bera kennsl á hvaða ferlar eru að taka mikið af minni eða ofhlaða inntak/úttak. Þetta gerir það mjög auðvelt að finna flöskuhálsa.

Atriði varðandi samhæfni, rekla og öryggi

Sögulega séð starfaði Process Hacker á Windows XP og nýrri útgáfur, sem krefst .NET Framework 2.0. Með tímanum hefur verkefnið þróast og nýjustu útgáfurnar eru miðaðar við Windows 10 og Windows 11, bæði 32 og 64 bita, með nokkuð nútímalegri kröfum (ákveðnar útgáfur eru þekktar sem System Informer, andlegur arftaki Process Hacker 2.x).

Í 64-bita kerfum kemur viðkvæmt mál upp í myndinni: Undirritun bílstjóra í kjarnaham (Kjarnakóðaundirritun, KMCS). Windows leyfir aðeins að hlaða inn reklum sem eru undirritaðir með gildum vottorðum sem Microsoft viðurkennir, sem ráðstöfun til að koma í veg fyrir rótarsett og aðra illgjarna rekla.

Rekstrarforritið sem Process Hacker notar fyrir flóknari aðgerðir sínar gæti ekki haft kerfissamþykkta undirskrift, eða hann gæti verið undirritaður með prófunarvottorðum. Þetta þýðir að, í venjulegri 64-bita Windows uppsetninguRekstrarforritið gæti ekki hlaðist inn og sumir „djúpir“ eiginleikar verða óvirkir.

Ítarlegri notendur geta gripið til valkosta eins og virkjaðu „prófunarstillingu“ í Windows (sem gerir kleift að hlaða inn prufuútgáfum af reklum) eða, í eldri útgáfum kerfisins, að slökkva á staðfestingu undirskriftar ökumanna. Hins vegar draga þessar aðgerðir verulega úr öryggi kerfisins, þar sem þær opna dyrnar fyrir aðra illgjarna ökumenn til að sleppa í gegn óáreittir.

Jafnvel án þess að rekill sé hlaðinn inn, þá er Process Hacker samt sem áður ... mjög öflugt eftirlitstækiÞú munt geta séð ferla, þjónustu, net, diska, tölfræði og margar aðrar gagnlegar upplýsingar. Þú munt einfaldlega missa hluta af getu þinni til að stöðva varin ferli eða fá aðgang að ákveðnum mjög lágstigs gögnum.

Í öllum tilvikum er vert að hafa í huga að sum vírusvarnarforrit munu greina Process Hacker sem ... Áhættuhugbúnaður eða óæskilegur hugbúnaður Einmitt vegna þess að það getur truflað öryggisferli. Ef þú notar það á lögmætan hátt geturðu bætt við undantekningum í öryggislausnina þína til að koma í veg fyrir falskar viðvaranir, og verið alltaf meðvitaður um hvað þú ert að gera.

Fyrir alla sem vilja skilja betur hvernig Windows kerfið þeirra hagar sér, allt frá lengra komnum notendum til sérfræðinga í netöryggi, Að hafa Process Hacker í verkfærakistunni þinni skiptir miklu máli þegar kemur að því að greina, fínstilla eða rannsaka flókin vandamál í kerfinu.