Целосен водич за Process Hacker: Напредна алтернатива на Task Manager

За многу корисници на Windows, Task Manager не е во ред. Затоа некои на крајот се свртуваат кон Process Hacker. Оваа алатка доби на популарност меѓу администраторите, програмерите и безбедносните аналитичари бидејќи им овозможува да го гледаат и контролираат системот на ниво што стандардниот Windows Task Manager не може ни да го замисли.

Во ова сеопфатно упатство ќе разгледаме Што е Process Hacker, како да го преземете и инсталиратеШто нуди во споредба со Task Manager и Process Explorer, и како да се користи за управување со процеси, услуги, мрежа, диск, меморија, па дури и истражување на малициозен софтвер.

Што е Process Hacker и зошто е толку моќен?

Процес Хакер е, во основа, напреден менаџер на процеси за WindowsСо отворен код е и целосно бесплатен. Многу луѓе го опишуваат како „Task Manager на стероиди“, а вистината е дека тој опис сосема добро му одговара.

Неговата цел е да ви даде многу детален преглед на тоа што се случува во вашиот системПроцеси, услуги, меморија, мрежа, диск… и, пред сè, ви дава алатки за интервенција кога нешто ќе се заглави, ќе потроши премногу ресурси или ќе изгледа сомнително за малициозен софтвер. Интерфејсот донекаде потсетува на Process Explorer, но Process Hacker додава добар број дополнителни функции.

Една од неговите силни страни е што може откривање на скриени процеси и прекинување на „заштитените“ процеси што менаџерот на задачи не може да го затвори. Ова се постигнува благодарение на драјвер за режим на јадро наречен KProcessHacker, кој му овозможува директно да комуницира со јадрото на Windows со зголемени привилегии.

Да се ​​биде проект Отворен код, кодот е достапен за секогоОва поттикнува транспарентност: заедницата може да ја ревидира, да открие безбедносни недостатоци, да предложи подобрувања и да се осигура дека нема скриени непријатни изненадувања. Многу компании и професионалци за сајбер безбедност му веруваат на Process Hacker токму поради оваа отворена филозофија.

Сепак, вреди да се напомене дека Некои антивирусни програми го означуваат како „ризично“ или PUP (потенцијално непосакувана програма).Не затоа што е злонамерно, туку затоа што има капацитет да уништи високо чувствителни процеси (вклучувајќи ги и безбедносните служби). Тоа е многу моќно оружје и, како и секое оружје, треба да се користи разумно.

Преземете го Process Hacker: верзии, пренослива верзија и изворен код

За да ја добиете програмата, вообичаено е да отидете кај нив официјална страница на ОА вашето складиште на SourceForge / GitHubТаму секогаш ќе ја најдете најновата верзија и краток преглед на тоа што може да направи алатката.

Во делот за преземања обично ќе видите два главни модалитети за 64-битни системи:

• Поставување (Препорачано)класичниот инсталер, оној што отсекогаш сме го користеле, препорачан за повеќето корисници.
• Бинарни датотеки (преносливи): пренослива верзија, која можете да ја стартувате директно без инсталација.

Опцијата за поставување е идеална ако сакате Оставете го Process Hacker веќе инсталиран.интегрирано со менито „Старт“ и со дополнителни опции (како што е замена на „Управувачот со задачи“. Преносливата верзија, од друга страна, е совршена за носете го на USB-уред и користете го на различни компјутери без потреба од инсталирање на ништо.

Малку подалеку тие исто така обично се појавуваат 32-битни верзииВо случај сè уште да работите со постара опрема. Тие не се толку чести денес, но сè уште има средини каде што се неопходни.

Ако она што те интересира е поигрување со изворниот код Или можете да го компајлирате сопствениот билд; на официјалната веб-страница ќе најдете директна врска до складиштето на GitHub. Оттаму можете да го прегледате кодот, да го следите дневникот на промени, па дури и да предложите подобрувања ако сакате да придонесете во проектот.

Програмата тежи многу малку, околу неколку мегабајтиЗначи, преземањето трае само неколку секунди, дури и со бавна конекција. Откако ќе заврши, можете да го стартувате инсталерот или, ако сте ја избрале преносливата верзија, да ја отпакувате и директно да ја стартувате извршната датотека.

Чекор-по-чекор инсталација на Windows

Ако го изберете инсталерот (Поставување), процесот е прилично типичен во Windows, иако со Неколку интересни опции што вреди да се проверат мирно.

Штом кликнете двапати на преземената датотека, Windows ќе го прикаже Контрола на корисничка сметка (UAC) Ќе ве предупреди дека програмата сака да направи промени во системот. Ова е нормално: Process Hacker има потреба од одредени привилегии за да ја изврши својата магија, па затоа ќе мора да прифатите за да продолжите.

Првото нешто што ќе го видите е волшебникот за инсталација со типичните екран за лиценцаProcess Hacker се дистрибуира под лиценцата GNU GPL верзија 3, со некои специфични исклучоци споменати во текстот. Добра идеја е да ги прочитате овие пред да продолжите, особено ако планирате да го користите во корпоративни средини.

 

Во следниот чекор, инсталерот предлага стандардна папка каде што ќе биде копирана програмата. Ако стандардната патека не ви одговара, можете директно да ја промените со внесување на друга или со користење на копчето Прелистај за да изберете друга папка во прелистувачот.

Потоа листа на компоненти што ја сочинуваат апликацијата: главни датотеки, кратенки, опции поврзани со драјверите итн. Ако сакате целосна инсталација, наједноставно е да оставите сè штиклирано. Ако сте сигурни дека нема да користите одредена функција, можете да ја отселектирате, иако просторот што го зафаќа е минимален.

Потоа, асистентот ќе ве праша за име на папка во менито „Старт“Обично предлага „Process Hacker 2“ или нешто слично, што ќе креира нова папка со тоа име. Ако претпочитате кратенката да се појавува во друга постоечка папка, можете да кликнете на Прелистај и да ја изберете. Исто така, имате опција Не креирајте папка во менито „Старт“ така што не се креира запис во менито Start.

На следниот екран ќе стигнете до сет од дополнителни опции кои заслужуваат посебно внимание:

• Да се ​​создаде или не кратенка на работната површинаи одлучете дали ќе биде само за вашиот корисник или за сите корисници во тимот.
• Стартувај Процес хакер при стартување на WindowsИ ако во тој случај сакате да се отвори минимизирано во областа за известувања.
• Што да правам Процес Хакер го заменува менаџерот на задачи Стандард за Windows.
• Инсталирајте го Драјвер на KProcessHacker и дајте му целосен пристап до системот (многу моќна опција, но не се препорачува ако не знаете што подразбира таа).

Откако ќе ги изберете овие поставки, инсталерот ќе ви покаже резиме на конфигурацијата И кога ќе кликнете на Инсталирај, ќе започне копирањето на датотеките. Ќе видите мала лента за напредок неколку секунди; процесот е брз.

Кога ќе завршите, асистентот ќе ве извести дека Инсталацијата е успешно завршена и ќе прикаже неколку полиња:

• Стартувајте го Process Hacker кога го затворате асистентот.
• Отворете го дневникот на промени за инсталираната верзија.
• Посетете ја официјалната веб-страница на проектот.

Стандардно, обично е штиклирано само полето. Стартувај го хакерот на процесиАко ја оставите таа опција како што е, кога ќе кликнете на „Заврши“, програмата ќе се отвори за прв пат и можете да започнете да експериментирате со неа.

Како да го стартувате Process Hacker и првите чекори

Ако одберете да креирате кратенка на работната површина за време на инсталацијата, стартувањето на програмата ќе биде едноставно како кликнете двапати на иконатаТоа е најбрзиот начин за оние кои го користат често.

Ако немате директен пристап, секогаш можете Отворете го од менито „Старт“Едноставно кликнете на копчето „Старт“, одете во „Сите апликации“ и пронајдете ја папката „Process Hacker 2“ (или кое било име што сте го избрале за време на инсталацијата). Внатре ќе го најдете записот од програмата и можете да го отворите со еден клик.

Првиот пат кога започнува, она што се издвојува е тоа што Интерфејсот е премногу преоптоварен со информации.Не грижете се: со малку вежбање, распоредот станува доста логичен и организиран. Всушност, прикажува многу повеќе податоци од стандардниот менаџер на задачи, а сепак останува лесен за управување.

На врвот имате ред од Главни јазичиња: Процеси, Услуги, Мрежа и ДискСекој од нив ви покажува различен аспект од системот: процеси што работат, услуги и драјвери, мрежни врски и активност на дискот, соодветно.

Во табулаторот Процеси, кој се отвора по дифолт, ќе ги видите сите процеси во форма на хиерархиско дрвоОва значи дека можете брзо да идентификувате кои процеси се родители, а кои се деца. На пример, вообичаено е да се види дека Notepad (notepad.exe) зависи од explorer.exe, како и многу прозорци и апликации што ги стартувате од Explorer.

Таб за процеси: инспекција и контрола на процеси

Прегледот на процесот е срцето на Process Hacker. Оттука можете види што всушност се случува на вашиот уред и донесувајте брзи одлуки кога нешто тргнува наопаку.

Во листата на процеси, покрај името, колони како што е PID (идентификатор на процес), процент на искористеност на процесорот, вкупна брзина на влезно/излезно оптоварување, искористена меморија (приватни бајти), корисник кој го извршува процесот и краток опис.

Ако го поместите глувчето и го држите некое време над името на процесот, ќе се отвори прозорец. скокачко поле со дополнителни деталиЦелосната патека до извршната датотека на дискот (на пример, C:\Windows\System32\notepad.exe), точната верзија на датотеката и компанијата што ја потпишала (Microsoft Corporation, итн.). Оваа информација е многу корисна за разликување на легитимни процеси од потенцијално злонамерни имитации.

Куриозитет аспект е тоа Процесите се обоени според нивниот тип или состојба (услуги, системски процеси, суспендирани процеси итн.). Значењето на секоја боја може да се види и прилагоди во менито. Хакер > Опции > Означување, во случај да сакате да ја прилагодите шемата по ваш вкус.

Ако кликнете со десното копче на кој било процес, ќе се појави мени контекстно мени полно со опцииЕден од највпечатливите е Properties (Својства), кој се појавува означен и служи за отворање на прозорец со исклучително детални информации за процесот.

Тој прозорец со својства е организиран во повеќе јазичиња (околу единаесет)Секое јазиче се фокусира на специфичен аспект. Јазичето Општо ја прикажува патеката до извршната датотека, командната линија што се користи за нејзино стартување, времето на извршување, родителскиот процес, адресата на блокот на околината на процесот (PEB) и други податоци од пониско ниво.

Табулаторот „Статистика“ прикажува напредна статистика: приоритет на процесот, број на потрошени процесорски циклуси, количина на меморија што ја користат и самата програма и податоците што ги обработува, извршени влезно/излезни операции (читање и пишување на диск или други уреди) итн.

Табулаторот „Перформанси“ нуди Графикони за користење на процесорот, меморијата и влезно-излезните податоци За тој процес, нешто многу корисно за откривање на скокови или аномално однесување. Во меѓувреме, табулаторот „Меморија“ ви овозможува да проверите, па дури и директно уредување на содржината на меморијата на процесот, многу напредна функционалност што обично се користи при дебагирање или анализа на малициозен софтвер.

Покрај Својствата, контекстното мени вклучува голем број на клучни опции на врвот:

• Прекини: го завршува процесот веднаш.
• Заврши дрво: го затвора избраниот процес и сите негови подпроцеси.
• Суспендирај: привремено го замрзнува процесот, кој може да се продолжи подоцна.
• Рестартирај: рестартира процес кој бил суспендиран.

Користењето на овие опции бара претпазливост, бидејќи Процес Хакерот може да прекине процеси што другите менаџери не можат.Ако исклучите нешто што е критично за системот или важна апликација, може да изгубите податоци или да предизвикате нестабилност. Тоа е идеална алатка за запирање на малициозен софтвер или процеси што не реагираат, но треба да знаете што правите.

Подолу во истото мени ќе најдете поставки за Приоритет на процесорот Во опцијата Приоритет, можете да поставите нивоа кои се движат од Реално време (максимален приоритет, процесот го добива процесорот секогаш кога ќе го побара) до Неактивен (минимален приоритет, работи само ако ништо друго не сака да го користи процесорот).

Вие исто така имате опција Приоритет на влез/излезОваа поставка го дефинира приоритетот на процесот за влезно/излезни операции (читање и пишување на диск, итн.) со вредности како што се Високо, Нормално, Ниско и Многу Ниско. Прилагодувањето на овие опции ви овозможува, на пример, да го ограничите влијанието на голема копија или програма што го преоптоварува дискот.

Друга многу интересна карактеристика е Испрати доОттаму можете да испраќате информации за процесот (или примерок) до разни онлајн услуги за антивирусна анализа, што е одлично кога се сомневате дека некој процес може да биде злонамерен и сакате второ мислење без да мора да ја извршувате целата работа рачно.

Управување со услуги, мрежа и дискови

Process Hacker не се фокусира само на процесите. Другите главни јазичиња ви даваат прилично добра контрола врз услугите, мрежните врски и активноста на дискот.

На табулаторот „Услуги“ ќе видите комплетен список на Windows услуги и драјвериОва ги вклучува и активните и стопираните услуги. Оттука, можете да стартувате, запирате, паузирате или продолжите со услугите, како и да го промените нивниот тип на стартување (автоматски, рачен или оневозможен) или корисничката сметка под која тие работат. За системските администратори, ова е чисто злато.

Табулаторот „Мрежа“ прикажува информации во реално време. кои процеси воспоставуваат мрежни врскиОва вклучува информации како што се локални и оддалечени IP адреси, порти и статус на поврзување. Многу е корисно за откривање програми што комуницираат со сомнителни адреси или за идентификување која апликација го преоптоварува вашиот пропусен опсег.

На пример, ако наидете на „browlock“ или веб-страница што го блокира вашиот прелистувач со постојани дијалози, можете да го користите табулаторот „Мрежа“ за да го лоцирате. специфичната врска на прелистувачот со тој домен и затворете го од Process Hacker, без потреба да го исклучите целиот процес на прелистувачот и да ги изгубите сите отворени јазичиња, или дури блокирај сомнителни врски од CMD ако претпочитате да дејствувате од командната линија.

Табулаторот Диск ги наведува активностите за читање и пишување извршени од системските процеси. Оттука можете да детектирате апликации што го преоптоваруваат дискот без очигледна причина или да идентификува сомнително однесување, како што е програма што масовно пишува и може да криптира датотеки (типично однесување на некој ransomware).

Напредни функции: рачки, мемориски дампови и „киднапирани“ ресурси

Покрај основната контрола на процесите и услугите, Process Hacker вклучува многу корисни алатки за специфични сценаријаособено при бришење на заклучени датотеки, истражување на чудни процеси или анализа на однесувањето на апликацијата.

Многу практична опција е Пронајди рачки или DLL-датотекиДо оваа функција е достапен од главното мени. Замислете дека се обидувате да избришете датотека, а Windows инсистира дека „ја користи друг процес“, но не ви кажува кој. Со оваа функција, можете да го напишете името на датотеката (или дел од неа) во лентата за филтрирање и да кликнете на „Пронајди“.

Програмата ги следи рачки (идентификатори на ресурси) и DLL-датотеки Отворете ја листата и прикажете ги резултатите. Кога ќе ја пронајдете датотеката што ве интересира, можете да кликнете со десното копче на глувчето и да изберете „Оди на преземање на процесот“ за да скокнете до соодветниот процес во табулаторот Процеси.

Откако ќе се означи тој процес, можете да одлучите дали да го завршите (Terminate) за да ослободете ја датотеката и бидете во можност да избриши заклучени датотекиПред да го направите ова, Process Hacker ќе прикаже предупредување кое ќе ве потсети дека може да изгубите податоци. Повторно, тоа е моќна алатка која може да ве извлече од неизвесна ситуација кога сè друго ќе пропадне, но треба да се користи со претпазливост.

Друга напредна карактеристика е креирањето на мемориски дамповиОд контекстното мени на процесот, можете да изберете „Креирај дамп датотека…“ и да ја изберете папката каде што сакате да ја зачувате .dmp датотеката. Овие дамп датотеки се широко користени од аналитичарите за пребарување текстуални низи, клучеви за криптирање или индикатори за малициозен софтвер користејќи алатки како што се хексадецимални уредници, скрипти или YARA правила.

Процес Хакерот може да се справи и со .NET процеси поопфатно од некои слични алатки, што е корисно при дебагирање на апликации напишани на таа платформа или анализа на малициозен софтвер базиран на .NET.

Конечно, кога станува збор за откривање процеси што трошат ресурсиЕдноставно кликнете на заглавието на колоната на процесорот за да ја сортирате листата на процеси според употребата на процесорот или според приватните бајти и вкупната брзина на влезно/излезни податоци за да идентификувате кои процеси ја преоптоваруваат меморијата или го преоптоваруваат влезно/излезниот капацитет. Ова го олеснува лоцирањето на тесните грла.

Компатибилност, возач и безбедносни фактори

Историски гледано, Process Hacker работеше на Windows XP и понови верзии, што бара .NET Framework 2.0. Со текот на времето, проектот еволуираше, а најновите верзии се насочени кон Windows 10 и Windows 11, и 32 и 64 битни, со малку посовремени барања (одредени верзии се познати како System Informer, духовен наследник на Process Hacker 2.x).

Во 64-битните системи, се појавува деликатно прашање: потпишување на драјвер во режим на јадро (Потпишување на код во режим на јадро, KMCS). Windows дозволува вчитување само на драјвери потпишани со важечки сертификати признати од Microsoft, како мерка за спречување на руткити и други злонамерни драјвери.

Драјверот што Process Hacker го користи за своите понапредни функции можеби нема системски прифатен потпис или можеби е потпишан со тест сертификати. Ова значи дека, во стандардна 64-битна инсталација на WindowsДрајверот може да не се вчита и некои „длабоки“ функции ќе бидат оневозможени.

Напредните корисници можат да прибегнат кон опции како што се Активирајте го „тест режимот“ на Windows (што овозможува вчитување на пробни драјвери) или, во постарите верзии на системот, оневозможување на проверката на потписот на драјверот. Сепак, овие маневри значително ја намалуваат безбедноста на системот, бидејќи отвораат врата за други злонамерни драјвери да се протнат неконтролирано.

Дури и без вчитан драјвер, Process Hacker е сè уште многу моќна алатка за следењеЌе можете да видите процеси, услуги, мрежа, диск, статистика и многу други корисни информации. Едноставно ќе изгубите дел од вашата можност да ги прекинете заштитените процеси или да пристапите до одредени податоци на многу ниско ниво.

Во секој случај, вреди да се запомни дека некои антивирусни програми ќе го детектираат Process Hacker како Ризичен софтвер или PUP Токму затоа што може да се меша во безбедносните процеси. Ако го користите легитимно, можете да додадете исклучоци во вашето безбедносно решение за да спречите лажни аларми, секогаш свесни за тоа што правите.

За секој што сака подобро да разбере како се однесува нивниот Windows, од напредни корисници до професионалци за сајбер безбедност, Имањето на Process Hacker во вашата кутија со алатки прави огромна разлика кога станува збор за дијагностицирање, оптимизација или истражување на сложени проблеми во системот.