Panduan Lengkap untuk Memproses Penggodam: Alternatif Lanjutan kepada Pengurus Tugas

Bagi kebanyakan pengguna Windows, Pengurus Tugas gagal. Itulah sebabnya sesetengah orang akhirnya beralih kepada Penggodam Proses. Alat ini telah mendapat populariti dalam kalangan pentadbir, pembangun dan penganalisis keselamatan kerana ia membolehkan mereka melihat dan mengawal sistem pada tahap yang tidak dapat dibayangkan oleh Pengurus Tugas Windows standard.

Dalam panduan komprehensif ini kami akan menyemak Apa itu Process Hacker, bagaimana untuk memuat turun dan memasangnyaPerkara yang ditawarkannya berbanding Pengurus Tugas dan Penjelajah Proses, dan cara menggunakannya untuk mengurus proses, perkhidmatan, rangkaian, cakera, memori dan juga menyiasat perisian hasad.

Apakah Proses Hacker dan mengapa ia begitu berkuasa?

Penggodam Proses adalah, pada asasnya, pengurus proses lanjutan untuk WindowsIa adalah sumber terbuka dan percuma sepenuhnya. Ramai orang menyifatkannya sebagai "Pengurus Tugas mengenai steroid," dan sebenarnya, penerangan itu sesuai dengannya.

Matlamatnya adalah untuk memberi anda a pandangan yang sangat terperinci tentang apa yang berlaku dalam sistem andaProses, perkhidmatan, memori, rangkaian, cakera... dan, terutamanya, memberi anda alatan untuk campur tangan apabila sesuatu tersekat, menggunakan terlalu banyak sumber atau kelihatan mencurigakan dengan perisian hasad. Antara muka agak mengingatkan Process Explorer, tetapi Process Hacker menambah sejumlah besar ciri tambahan.

Salah satu kekuatannya ialah ia boleh mengesan proses tersembunyi dan menamatkan proses "terlindung". yang tidak boleh ditutup oleh Pengurus Tugas. Ini dicapai terima kasih kepada pemacu mod kernel yang dipanggil KProcessHacker, yang membolehkannya berkomunikasi secara langsung dengan kernel Windows dengan keistimewaan yang tinggi.

Menjadi projek Sumber terbuka, kod itu tersedia kepada sesiapa sahajaIni memupuk ketelusan: komuniti boleh mengauditnya, mengesan kelemahan keselamatan, mencadangkan penambahbaikan dan memastikan tiada kejutan tersembunyi yang tidak menyenangkan. Banyak syarikat dan profesional keselamatan siber mempercayai Process Hacker dengan tepat kerana falsafah terbuka ini.

Perlu diingat, bagaimanapun, bahawa Sesetengah program antivirus menandakannya sebagai "berisiko" atau PUP (Program Berpotensi Tidak Diingini).Bukan kerana ia berniat jahat, tetapi kerana ia mempunyai kapasiti untuk membunuh proses yang sangat sensitif (termasuk perkhidmatan keselamatan). Ia adalah senjata yang sangat kuat dan, seperti semua senjata, ia harus digunakan dengan bijak.

Muat turun Penggodam Proses: versi, versi mudah alih dan kod sumber

Untuk mendapatkan program, perkara biasa yang perlu dilakukan ialah pergi ke mereka halaman oa rasmi repositori anda di SourceForge / GitHubDi sana anda akan sentiasa mencari versi terkini dan ringkasan pantas tentang perkara yang boleh dilakukan oleh alat itu.

Dalam bahagian muat turun anda biasanya akan melihat dua modaliti utama untuk sistem 64-bit:

• Persediaan (Disyorkan): pemasang klasik, yang selalu kami gunakan, disyorkan untuk kebanyakan pengguna.
• Perduaan (mudah alih): versi mudah alih, yang anda boleh jalankan terus tanpa memasang.

Pilihan Persediaan sesuai jika anda mahu Tinggalkan Penggodam Proses telah dipasang.disepadukan dengan menu Mula dan dengan pilihan tambahan (seperti menggantikan Pengurus Tugas). Versi mudah alih, sebaliknya, sesuai untuk bawanya pada pemacu USB dan gunakannya pada komputer yang berbeza tanpa perlu memasang apa-apa.

Lebih jauh ke bawah, mereka juga biasanya muncul versi 32-bitSekiranya anda masih bekerja dengan peralatan lama. Mereka tidak seperti biasa hari ini, tetapi masih terdapat persekitaran yang diperlukan.

Sekiranya yang menarik minat anda bermain-main dengan kod sumber Atau anda boleh menyusun binaan anda sendiri; di tapak web rasmi anda akan menemui pautan terus ke repositori GitHub. Dari situ anda boleh menyemak kod, mengikuti log perubahan dan juga mencadangkan penambahbaikan jika anda ingin menyumbang kepada projek.

Program ini beratnya sangat sedikit, sekitar beberapa megabaitJadi muat turun hanya mengambil masa beberapa saat, walaupun dengan sambungan yang perlahan. Setelah selesai, anda boleh menjalankan pemasang atau, jika anda memilih versi mudah alih, ekstrak dan lancarkan boleh laku secara terus.

Pemasangan langkah demi langkah pada Windows

Jika anda memilih pemasang (Persediaan), prosesnya agak tipikal dalam Windows, walaupun dengan Beberapa pilihan menarik yang patut anda lihat con calma.

Sebaik sahaja anda mengklik dua kali pada fail yang dimuat turun, Windows akan memaparkan fail Kawalan Akaun Pengguna (UAC) Ia akan memberi amaran kepada anda bahawa program ingin membuat perubahan pada sistem. Ini adalah perkara biasa: Penggodam Proses memerlukan keistimewaan tertentu untuk menjalankan sihirnya, jadi anda perlu menerima untuk meneruskan.

Perkara pertama yang anda akan lihat ialah wizard pemasangan dengan tipikal skrin lesenPenggodam Proses diedarkan di bawah lesen GNU GPL versi 3, dengan beberapa pengecualian khusus yang disebut dalam teks. Adalah idea yang baik untuk menyemak ini sebelum meneruskan, terutamanya jika anda bercadang untuk menggunakannya dalam persekitaran korporat.

Dalam langkah seterusnya, pemasang mencadangkan folder lalai di mana program akan disalin. Jika laluan lalai tidak sesuai dengan anda, anda boleh menukarnya terus dengan menaip laluan lain atau dengan menggunakan butang Layari untuk memilih folder lain dalam penyemak imbas.

Kemudian senarai komponen yang membentuk aplikasi: fail utama, pintasan, pilihan yang berkaitan dengan pemacu, dll. Jika anda mahukan pemasangan yang lengkap, perkara paling mudah ialah membiarkan semuanya diperiksa. Jika anda tahu pasti anda tidak akan menggunakan ciri tertentu, anda boleh nyahpilih ciri tersebut, walaupun ruang yang didudukinya adalah minimum.

Seterusnya, pembantu akan meminta anda untuk nama folder dalam menu MulaIa biasanya mencadangkan "Penggodam Proses 2" atau sesuatu yang serupa, yang akan mencipta folder baharu dengan nama itu. Jika anda lebih suka jalan pintas muncul dalam folder sedia ada yang lain, anda boleh mengklik Semak Imbas dan memilihnya. Anda juga mempunyai pilihan Jangan buat folder Menu Mula supaya tiada entri dibuat dalam menu Mula.

Pada skrin seterusnya anda akan mencapai satu set pilihan tambahan yang patut diberi perhatian khusus:

• Untuk mencipta atau tidak a jalan pintas di desktopdan tentukan sama ada ia hanya untuk pengguna anda atau untuk semua pengguna dalam pasukan.
• Arrancar Penggodam Proses pada permulaan WindowsDan jika dalam kes itu anda mahu ia dibuka diminimumkan di kawasan pemberitahuan.
• buatlah Penggodam Proses menggantikan Pengurus Tugas Standard Windows.
• Pasang Pemacu KProcessHacker dan berikan akses penuh kepada sistem (pilihan yang sangat berkuasa, tetapi tidak disyorkan jika anda tidak tahu apa yang diperlukan).

Sebaik sahaja anda telah memilih pilihan ini, pemasang akan menunjukkan kepada anda a ringkasan konfigurasi Dan apabila anda mengklik Pasang, ia akan mula menyalin fail. Anda akan melihat bar kemajuan kecil selama beberapa saat; prosesnya cepat.

Apabila selesai, pembantu akan memberitahu anda bahawa Pemasangan telah berjaya diselesaikan dan akan memaparkan beberapa kotak:

• Jalankan Penggodam Proses apabila menutup wizard.
• Buka changelog untuk versi yang dipasang.
• Lawati laman web rasmi projek.

Secara lalai, hanya kotak yang biasanya ditandakan. Jalankan Penggodam ProsesJika anda membiarkan pilihan itu seperti sedia ada, apabila anda mengklik Selesai, program akan dibuka buat kali pertama dan anda boleh mula mencubanya.

Bagaimana untuk memulakan Penggodam Proses dan langkah pertama

Jika anda memilih untuk membuat pintasan desktop semasa pemasangan, melancarkan program akan semudah klik dua kali pada ikonIa adalah cara terpantas bagi mereka yang sering menggunakannya.

Jika anda tidak mempunyai akses langsung, anda sentiasa boleh Bukanya dari menu MulaHanya klik butang Mula, pergi ke "Semua apl," dan cari folder "Penggodam Proses 2" (atau nama apa sahaja yang anda pilih semasa pemasangan). Di dalam, anda akan menemui entri program dan boleh membukanya dengan satu klik.

Kali pertama ia bermula, apa yang menonjol adalah bahawa Antara muka adalah maklumat yang terlalu sarat.Jangan risau: dengan sedikit latihan, susun atur menjadi agak logik dan teratur. Malah, ia memaparkan lebih banyak data daripada Pengurus Tugas standard, sementara masih boleh diurus.

Di bahagian atas anda mempunyai satu baris Tab utama: Proses, Perkhidmatan, Rangkaian dan CakeraSetiap satu menunjukkan kepada anda aspek sistem yang berbeza: menjalankan proses, perkhidmatan dan pemacu, sambungan rangkaian dan aktiviti cakera, masing-masing.

Dalam tab Proses, yang dibuka secara lalai, anda akan melihat semua proses dalam bentuk pokok hierarkiIni bermakna anda boleh dengan cepat mengenal pasti proses yang mana adalah ibu bapa dan yang mana adalah kanak-kanak. Sebagai contoh, adalah perkara biasa untuk melihat Notepad (notepad.exe) bergantung pada explorer.exe, begitu juga dengan banyak tetingkap dan aplikasi yang anda lancarkan daripada Explorer.

Tab Proses: pemeriksaan dan kawalan proses

Pandangan proses adalah nadi Penggodam Proses. Dari sini anda boleh lihat apa yang sebenarnya berjalan pada mesin anda dan buat keputusan pantas apabila berlaku masalah.

Dalam senarai proses, sebagai tambahan kepada nama, lajur seperti PID (pengecam proses), peratusan CPU yang digunakan, jumlah kadar I/O, memori yang digunakan (bait peribadi), pengguna yang menjalankan proses dan penerangan ringkas.

Jika anda menggerakkan tetikus dan menahannya seketika atas nama proses, tetingkap akan dibuka. kotak timbul dengan butiran tambahanLaluan penuh ke boleh laku pada cakera (contohnya, C:\Windows\System32\notepad.exe), versi fail yang tepat dan syarikat yang menandatanganinya (Microsoft Corporation, dll.). Maklumat ini sangat berguna untuk membezakan proses yang sah daripada tiruan yang berpotensi berniat jahat.

Satu aspek yang ingin tahu ialah Proses diwarnakan mengikut jenis atau keadaannya (perkhidmatan, proses sistem, proses yang digantung, dsb.). Makna setiap warna boleh dilihat dan disesuaikan dalam menu. Penggodam > Pilihan > Menyerlahkan, sekiranya anda ingin menyesuaikan skema mengikut keinginan anda.

Jika anda klik kanan pada mana-mana proses, menu akan muncul menu konteks penuh dengan pilihanSalah satu yang paling menarik ialah Properties, yang kelihatan diserlahkan dan berfungsi untuk membuka tetingkap dengan maklumat yang sangat terperinci tentang proses tersebut.

Tetingkap sifat itu disusun ke dalam berbilang tab (sekitar sebelas)Setiap tab memfokuskan pada aspek tertentu. Tab Umum menunjukkan laluan boleh laku, baris arahan yang digunakan untuk melancarkannya, masa berjalan, proses induk, alamat blok persekitaran proses (PEB) dan data peringkat rendah yang lain.

Tab Statistik memaparkan statistik lanjutan: keutamaan proses, bilangan kitaran CPU yang digunakan, jumlah memori yang digunakan oleh kedua-dua program itu sendiri dan data yang dikendalikannya, operasi input/output yang dilakukan (membaca dan menulis pada cakera atau peranti lain), dsb.

Tab Prestasi menawarkan CPU, memori dan graf penggunaan I/O Untuk proses itu, sesuatu yang sangat berguna untuk mengesan pancang atau tingkah laku anomali. Sementara itu, tab Memori membolehkan anda memeriksa dan juga terus mengedit kandungan memori daripada proses itu, fungsi yang sangat maju yang biasanya digunakan dalam penyahpepijatan atau analisis perisian hasad.

Selain Properties, menu konteks termasuk beberapa opciones clave di bahagian atas:

• Terminate: menamatkan proses dengan serta-merta.
• Menamatkan Pokok: menutup proses yang dipilih dan semua proses anaknya.
• Suspend: membekukan sementara proses, yang boleh disambung semula kemudian.
• Restart: memulakan semula proses yang telah digantung.

Menggunakan pilihan ini memerlukan berhati-hati, kerana Penggodam Proses boleh menamatkan proses yang tidak boleh dilakukan oleh pengurus lain.Jika anda membunuh sesuatu yang kritikal kepada sistem atau aplikasi penting, anda boleh kehilangan data atau menyebabkan ketidakstabilan. Ia merupakan alat yang sesuai untuk menghentikan perisian hasad atau proses tidak bertindak balas, tetapi anda perlu tahu perkara yang anda lakukan.

Lebih jauh ke bawah dalam menu yang sama, anda akan menemui tetapan untuk Keutamaan CPU Dalam pilihan Keutamaan, anda boleh menetapkan tahap daripada Masa Nyata (keutamaan maksimum, proses mendapat pemproses apabila ia memintanya) kepada Terbiar (keutamaan minimum, ia hanya berjalan jika tiada lagi yang mahu menggunakan CPU).

Anda juga mempunyai pilihan Keutamaan I/OTetapan ini mentakrifkan keutamaan proses untuk operasi input/output (membaca dan menulis pada cakera, dsb.) dengan nilai seperti Tinggi, Normal, Rendah dan Sangat Rendah. Melaraskan pilihan ini membolehkan anda, sebagai contoh, untuk mengehadkan kesan salinan besar atau program yang memenuhi cakera.

Satu lagi ciri yang sangat menarik ialah Send toDari situ anda boleh menghantar maklumat tentang proses (atau sampel) ke pelbagai perkhidmatan analisis antivirus dalam talian, yang bagus apabila anda mengesyaki sesuatu proses mungkin berniat jahat dan mahukan pendapat kedua tanpa perlu melakukan semua kerja secara manual.

Perkhidmatan, rangkaian dan pengurusan cakera

Penggodam Proses tidak hanya menumpukan pada proses. Tab utama yang lain memberi anda a kawalan yang agak baik ke atas perkhidmatan, sambungan rangkaian dan aktiviti cakera.

Pada tab Perkhidmatan anda akan melihat senarai lengkap Perkhidmatan dan pemacu WindowsIni termasuk perkhidmatan aktif dan berhenti. Dari sini, anda boleh memulakan, menghentikan, menjeda atau menyambung semula perkhidmatan, serta menukar jenis permulaan mereka (automatik, manual atau dilumpuhkan) atau akaun pengguna di mana ia dijalankan. Bagi pentadbir sistem, ini adalah emas tulen.

Tab Rangkaian memaparkan maklumat masa nyata. proses manakah yang mewujudkan sambungan rangkaianIni termasuk maklumat seperti alamat IP tempatan dan jauh, port dan status sambungan. Ia sangat berguna untuk mengesan program yang berkomunikasi dengan alamat yang mencurigakan atau mengenal pasti aplikasi yang memenuhi lebar jalur anda.

Sebagai contoh, jika anda menemui "browlock" atau tapak web yang menyekat penyemak imbas anda dengan kotak dialog tetap, anda boleh menggunakan tab Rangkaian untuk mencarinya. sambungan khusus penyemak imbas ke domain itu dan tutupnya daripada Penggodam Proses, tanpa perlu mematikan keseluruhan proses penyemak imbas dan kehilangan semua tab terbuka, atau bahkan menyekat sambungan yang mencurigakan daripada CMD jika anda lebih suka bertindak dari baris arahan.

Tab Cakera menyenaraikan aktiviti baca dan tulis yang dilakukan oleh proses sistem. Dari sini anda boleh mengesan aplikasi yang membebankan cakera tanpa sebab yang jelas atau mengenal pasti tingkah laku yang mencurigakan, seperti program yang menulis secara besar-besaran dan boleh menyulitkan fail (tingkah laku biasa sesetengah perisian tebusan).

Ciri lanjutan: pemegang, pembuangan memori dan sumber "dirampas".

Sebagai tambahan kepada proses asas dan kawalan perkhidmatan, Proses Hacker menggabungkan alat yang sangat berguna untuk senario tertentuterutamanya apabila memadam fail terkunci, menyiasat proses pelik, atau menganalisis gelagat aplikasi.

Pilihan yang sangat praktikal ialah Cari pemegang atau DLLCiri ini boleh diakses dari menu utama. Bayangkan anda cuba memadam fail dan Windows menegaskan bahawa ia "sedang digunakan oleh proses lain" tetapi tidak memberitahu anda yang mana satu. Dengan fungsi ini, anda boleh menaip nama fail (atau sebahagian daripadanya) dalam bar Penapis dan klik Cari.

Program ini menjejaki pemegang (pengecam sumber) dan DLL Buka senarai dan tunjukkan hasilnya. Apabila anda mencari fail yang anda minati, anda boleh klik kanan dan pilih "Pergi ke proses pemilikan" untuk melompat ke proses yang sepadan dalam tab Proses.

Setelah proses itu diserlahkan, anda boleh memutuskan sama ada untuk menamatkannya (Tamatkan) kepada lepaskan fail dan dapat memadam fail yang dikunciSebelum anda melakukan ini, Proses Hacker akan memaparkan amaran yang mengingatkan anda bahawa anda mungkin kehilangan data. Sekali lagi, ia adalah alat yang berkuasa yang boleh mengeluarkan anda daripada ikatan apabila semuanya gagal, tetapi ia harus digunakan dengan berhati-hati.

Satu lagi ciri lanjutan ialah penciptaan longgokan ingatanDaripada menu konteks proses, anda boleh memilih "Buat fail dump…" dan pilih folder tempat anda ingin menyimpan fail .dmp. Lambakan ini digunakan secara meluas oleh penganalisis untuk mencari rentetan teks, kunci penyulitan atau penunjuk perisian hasad menggunakan alat seperti editor hex, skrip atau peraturan YARA.

Proses Hacker juga boleh mengendalikan .proses BERSIH lebih komprehensif daripada beberapa alatan yang serupa, yang berguna apabila menyahpepijat aplikasi yang ditulis pada platform tersebut atau menganalisis perisian hasad berdasarkan .NET.

Akhirnya, apabila ia datang untuk mengesan proses yang memakan sumberHanya klik pada pengepala lajur CPU untuk mengisih senarai proses mengikut penggunaan pemproses, atau pada bait peribadi dan kadar jumlah I/O untuk mengenal pasti proses mana yang memonopoli memori atau melebihkan I/O. Ini menjadikan pengesanan kesesakan sangat mudah.

Pertimbangan keserasian, pemandu dan keselamatan

Dari segi sejarah, Proses Hacker beroperasi pada Windows XP dan versi yang lebih baru, memerlukan .NET Framework 2.0. Dari masa ke masa projek itu telah berkembang, dan versi terbaharu ditujukan kepada Windows 10 dan Windows 11, kedua-dua 32 dan 64 bit, dengan keperluan yang agak lebih moden (binaan tertentu dikenali sebagai System Informer, pengganti rohani kepada Process Hacker 2.x).

Dalam sistem 64-bit, isu rumit berlaku: tandatangan pemacu mod kernel (Tandatangan Kod Mod Kernel, KMCS). Windows hanya membenarkan memuatkan pemacu yang ditandatangani dengan sijil sah yang diiktiraf oleh Microsoft, sebagai langkah untuk menghalang rootkit dan pemacu berniat jahat yang lain.

Pemacu yang Process Hacker gunakan untuk fungsinya yang lebih maju mungkin tidak mempunyai tandatangan yang diterima sistem, atau ia mungkin ditandatangani dengan sijil ujian. Ini bermakna, dalam pemasangan Windows 64-bit standardPemandu mungkin tidak memuatkan dan beberapa ciri "mendalam" akan dilumpuhkan.

Pengguna lanjutan boleh menggunakan pilihan seperti aktifkan "mod ujian" Windows (yang membenarkan memuatkan pemandu percubaan) atau, dalam versi sistem yang lebih lama, melumpuhkan pengesahan tandatangan pemandu. Walau bagaimanapun, gerakan ini mengurangkan keselamatan sistem dengan ketara, kerana ia membuka pintu untuk pemandu berniat jahat lain untuk menyelinap tanpa dihalang.

Walaupun tanpa pemandu dimuatkan, Proses Hacker masih a alat pemantauan yang sangat berkuasaAnda akan dapat melihat proses, perkhidmatan, rangkaian, cakera, statistik dan banyak lagi maklumat berguna yang lain. Anda hanya akan kehilangan sebahagian daripada keupayaan anda untuk menamatkan proses terlindung atau mengakses data peringkat sangat rendah tertentu.

Walau apa pun, perlu diingat bahawa sesetengah program antivirus akan mengesan Penggodam Proses sebagai Perisian risiko atau PUP Tepat kerana ia boleh mengganggu proses keselamatan. Jika anda menggunakannya secara sah, anda boleh menambah pengecualian pada penyelesaian keselamatan anda untuk mengelakkan penggera palsu, sentiasa menyedari perkara yang anda lakukan.

Bagi sesiapa yang ingin memahami dengan lebih baik bagaimana Windows mereka berkelakuan, daripada pengguna lanjutan kepada profesional keselamatan siber, Mempunyai Penggodam Proses dalam kotak alat anda membuat perbezaan yang besar apabila tiba masanya untuk mendiagnosis, mengoptimumkan atau menyiasat masalah rumit dalam sistem.

Artikel berkaitan:

Perkara yang perlu dilakukan dalam 24 jam pertama selepas penggodaman: akaun mudah alih, PC dan dalam talian

Daniel Terrasa

Editor khusus dalam isu teknologi dan internet dengan lebih daripada sepuluh tahun pengalaman dalam media digital yang berbeza. Saya telah bekerja sebagai editor dan pencipta kandungan untuk e-dagang, komunikasi, pemasaran dalam talian dan syarikat pengiklanan. Saya juga telah menulis di laman web ekonomi, kewangan dan sektor lain. Kerja saya juga minat saya. Sekarang, melalui artikel saya dalam Tecnobits, saya cuba meneroka semua berita dan peluang baharu yang dunia teknologi tawarkan kepada kita setiap hari untuk memperbaiki kehidupan kita.