Komplett guide til Process Hacker: Et avansert alternativ til Oppgavebehandling

For mange Windows-brukere kommer Oppgavebehandling til kort. Det er derfor noen ender opp med å ty til Process Hacker. Dette verktøyet har blitt populært blant administratorer, utviklere og sikkerhetsanalytikere fordi det lar dem se og kontrollere systemet på et nivå som standard Windows Oppgavebehandling ikke engang kan forestille seg.

I denne omfattende guiden skal vi gjennomgå Hva er Process Hacker, hvordan lastes det ned og installeresHva den tilbyr sammenlignet med Oppgavebehandling og Prosessutforsker, og hvordan du bruker den til å administrere prosesser, tjenester, nettverk, disk, minne og til og med undersøke skadelig programvare.

Hva er Process Hacker, og hvorfor er det så kraftig?

Prosesshacker er i bunn og grunn, en avansert prosessbehandler for WindowsDet er åpen kildekode og helt gratis. Mange beskriver det som «Oppgavebehandling på steroider», og sannheten er at den beskrivelsen passer ganske bra.

Målet er å gi deg en en svært detaljert oversikt over hva som skjer i systemet dittProsesser, tjenester, minne, nettverk, disk ... og fremfor alt gir det deg verktøy for å gripe inn når noe setter seg fast, bruker for mange ressurser eller virker mistenkelig for skadelig programvare. Grensesnittet minner noe om Process Explorer, men Process Hacker legger til en god del ekstrafunksjoner.

En av dens styrker er at den kan oppdage skjulte prosesser og avslutte "skjermede" prosesser som Oppgavebehandleren ikke kan lukke. Dette oppnås takket være en kjernemodusdriver kalt KProcessHacker, som lar den kommunisere direkte med Windows-kjernen med utvidede rettigheter.

Å være et prosjekt Åpen kildekode, koden er tilgjengelig for alleDette fremmer åpenhet: fellesskapet kan revidere det, oppdage sikkerhetsfeil, foreslå forbedringer og sørge for at det ikke er noen skjulte ubehagelige overraskelser. Mange selskaper og cybersikkerhetsfagfolk stoler på Process Hacker nettopp på grunn av denne åpne filosofien.

Det er imidlertid verdt å huske på at Noen antivirusprogrammer markerer det som «risikabelt» eller et PUP (potensielt uønsket program).Ikke fordi det er skadelig, men fordi det har kapasitet til å drepe svært sensitive prosesser (inkludert sikkerhetstjenester). Det er et svært kraftig våpen, og som alle våpen bør det brukes med omhu.

Last ned Process Hacker: versjoner, bærbar versjon og kildekode

For å få tak i programmet er det vanlig å gå til deres offisiell oa-side depotet ditt på SourceForge / GitHubDer finner du alltid den nyeste versjonen og en rask oppsummering av hva verktøyet kan gjøre.

I nedlastingsdelen vil du vanligvis se to hovedmodaliteter for 64-biters systemer:

• Oppsett (anbefales): det klassiske installasjonsprogrammet, det vi alltid har brukt, anbefalt for de fleste brukere.
• Binærfiler (bærbare): bærbar versjon, som du kan kjøre direkte uten å installere.

Oppsettalternativet er ideelt hvis du vil La Process Hacker være installert allerede.integrert med Start-menyen og med tilleggsalternativer (som å erstatte Oppgavebehandling). Den bærbare versjonen er derimot perfekt for ha den med på en USB-stasjon og bruk den på forskjellige datamaskiner uten å måtte installere noe.

Litt lenger nede dukker de vanligvis også opp 32-bit versjonerI tilfelle du fortsatt jobber med eldre utstyr. De er ikke like vanlige nå for tiden, men det finnes fortsatt miljøer der de er nødvendige.

Hvis det som interesserer deg er tukling med kildekoden Eller du kan kompilere din egen versjon. På den offisielle nettsiden finner du en direkte lenke til GitHub-repositoriet. Derfra kan du se gjennom koden, følge endringsloggen og til og med foreslå forbedringer hvis du ønsker å bidra til prosjektet.

Programmet veier svært lite, rundt noen få megabyteSå nedlastingen tar bare noen få sekunder, selv med en treg tilkobling. Når den er ferdig, kan du kjøre installasjonsprogrammet, eller hvis du valgte den bærbare versjonen, pakke ut og starte den kjørbare filen direkte.

Steg-for-steg-installasjon på Windows

Hvis du velger installasjonsprogrammet (Setup), er prosessen ganske vanlig i Windows, men med Noen interessante alternativer verdt å sjekke ut rolig.

Så snart du dobbeltklikker på den nedlastede filen, vil Windows vise Brukerkontokontroll (UAC) Den vil advare deg om at programmet ønsker å gjøre endringer i systemet. Dette er normalt: Process Hacker trenger visse rettigheter for å utføre magien sin, så du må godta dem for å fortsette.

Det første du ser er installasjonsveiviseren med den typiske lisensskjermProcess Hacker distribueres under GNU GPL versjon 3-lisensen, med noen spesifikke unntak nevnt i teksten. Det er lurt å lese disse før du fortsetter, spesielt hvis du planlegger å bruke det i bedriftsmiljøer.

 

I neste trinn foreslår installatøren en standardmappe hvor programmet skal kopieres. Hvis standardbanen ikke passer deg, kan du endre den direkte ved å skrive inn en annen, eller ved å bruke knappen Søk for å velge en annen mappe i nettleseren.

Så den komponentliste som utgjør programmet: hovedfiler, snarveier, driverrelaterte alternativer osv. Hvis du ønsker en fullstendig installasjon, er det enkleste å la alt være avmerket. Hvis du vet sikkert at du ikke kommer til å bruke en bestemt funksjon, kan du fjerne merkingen for den, selv om plassen den opptar er minimal.

Deretter vil assistenten spørre deg om mappenavnet i Start-menyenDet foreslår vanligvis «Process Hacker 2» eller noe lignende, som vil opprette en ny mappe med det navnet. Hvis du foretrekker at snarveien vises i en annen eksisterende mappe, kan du klikke på Bla gjennom og velge den. Du har også muligheten Ikke lag en startmeny-mappe slik at det ikke opprettes noen oppføring i Start-menyen.

På neste skjermbilde kommer du til et sett med flere alternativer som fortjener spesiell oppmerksomhet:

• Å opprette eller ikke snarvei på skrivebordetog avgjør om det bare skal være for brukeren din eller for alle brukerne i teamet.
• Rive Prosesshacker ved oppstart av WindowsOg hvis du i så fall vil at den skal åpnes minimert i varslingsområdet.
• Gjøre hva Prosesshacker erstatter Oppgavebehandling Windows-standard.
• Installer KProcessHacker-driver og gi den full tilgang til systemet (et veldig kraftig alternativ, men ikke anbefalt hvis du ikke vet hva det innebærer).

Når du har valgt disse innstillingene, vil installasjonsprogrammet vise deg en konfigurasjonssammendrag Og når du klikker på Installer, begynner den å kopiere filer. Du vil se en liten fremdriftslinje i noen sekunder; prosessen er rask.

Når du er ferdig, vil assistenten varsle deg om at Installasjonen er fullført og vil vise flere bokser:

• Kjør Process Hacker når du lukker veiviseren.
• Åpne endringsloggen for den installerte versjonen.
• Besøk prosjektets offisielle nettside.

Som standard er det vanligvis bare boksen som er avkrysset. Kjør prosesshackerHvis du lar det alternativet være som det er, åpnes programmet for første gang når du klikker på Fullfør, og du kan begynne å eksperimentere med det.

Slik starter du Process Hacker og de første stegene

Hvis du valgte å opprette en snarvei på skrivebordet under installasjonen, vil det være så enkelt som å starte programmet dobbeltklikk på ikonetDet er den raskeste måten for de som bruker den ofte.

Hvis du ikke har direkte tilgang, kan du alltids Åpne den fra Start-menyenBare klikk på Start-knappen, gå til «Alle apper» og finn mappen «Process Hacker 2» (eller hvilket navn du nådde under installasjonen). Der finner du programoppføringen, og du kan åpne den med et klikk.

Første gang det starter, er det som skiller seg ut at Grensesnittet er veldig overbelastet med informasjon.Ikke bli skremt: med litt øvelse blir oppsettet ganske logisk og organisert. Faktisk viser det mye mer data enn standard Oppgavebehandling, samtidig som det fortsatt er håndterbart.

Øverst har du en rad med Hovedfaner: Prosesser, Tjenester, Nettverk og DiskHver av dem viser deg et annet aspekt av systemet: henholdsvis kjørende prosesser, tjenester og drivere, nettverkstilkoblinger og diskaktivitet.

I Prosesser-fanen, som er den som åpnes som standard, vil du se alle prosessene i form av et hierarkisk treDette betyr at du raskt kan identifisere hvilke prosesser som er foreldre og hvilke som er underordnede. For eksempel er det vanlig å se Notisblokk (notepad.exe) avhengig av explorer.exe, i likhet med mange vinduer og programmer du starter fra Utforsker.

Prosesser-fanen: prosessinspeksjon og -kontroll

Prosessvisningen er kjernen i Process Hacker. Herfra kan du se hva som faktisk kjører på maskinen din og ta raske avgjørelser når noe går galt.

I prosesslisten, i tillegg til navnet, kolonner som PID (prosessidentifikator), prosentandel av CPU-bruk, total I/O-hastighet, minne i bruk (private byte), bruker som kjører prosessen og en kort beskrivelse.

Hvis du beveger musen og holder den et øyeblikk over navnet på en prosess, åpnes et vindu. popup-boks med ytterligere detaljerDen fullstendige banen til den kjørbare filen på disken (for eksempel C:\Windows\System32\notepad.exe), den nøyaktige filversjonen og selskapet som signerte den (Microsoft Corporation, osv.). Denne informasjonen er svært nyttig for å skille legitime prosesser fra potensielt ondsinnede imitasjoner.

Et merkelig aspekt er at Prosessene er farget i henhold til type eller tilstand (tjenester, systemprosesser, suspenderte prosesser osv.). Betydningen av hver farge kan vises og tilpasses i menyen. Hacker > Valg > Utheving, i tilfelle du ønsker å tilpasse opplegget etter din smak.

Hvis du høyreklikker på en hvilken som helst prosess, vil en meny dukke opp kontekstmeny full av alternativerEn av de mest slående er Egenskaper, som vises uthevet og tjener til å åpne et vindu med ekstremt detaljert informasjon om prosessen.

Det egenskapsvinduet er organisert i flere faner (rundt elleve)Hver fane fokuserer på et spesifikt aspekt. Fanen Generelt viser den kjørbare prosessen, kommandolinjen som brukes til å starte den, kjøretiden, den overordnede prosessen, PEB-adressen (prosessmiljøblokken) og andre lavnivådata.

Statistikk-fanen viser avansert statistikk: prosessprioritet, antall CPU-sykluser som brukes, mengden minne som brukes av både selve programmet og dataene det håndterer, utførte input/output-operasjoner (leser og skriver til disk eller andre enheter), osv.

Fanen Ytelse tilbyr Grafer for CPU-, minne- og I/O-bruk For den prosessen, noe veldig nyttig for å oppdage topper eller unormal oppførsel. I mellomtiden lar Minne-fanen deg inspisere og til og med redigere innholdet i minnet direkte av prosessen, en svært avansert funksjonalitet som vanligvis brukes i feilsøking eller analyse av skadelig programvare.

I tillegg til Egenskaper inneholder hurtigmenyen en rekke nøkkelalternativer på toppen:

• Terminere: avslutter prosessen umiddelbart.
• Avslutt treetlukker den valgte prosessen og alle dens underprosesser.
• suspendere: fryser prosessen midlertidig, som kan gjenopptas senere.
• Restart: starter en prosess på nytt som har blitt suspendert.

Bruk av disse alternativene krever forsiktighet, fordi Prosesshacker kan avslutte prosesser som andre ledere ikke kan.Hvis du avslutter noe som er kritisk for systemet eller et viktig program, kan du miste data eller forårsake ustabilitet. Det er et ideelt verktøy for å stoppe skadelig programvare eller prosesser som ikke reagerer, men du må vite hva du gjør.

Lenger nede i samme meny finner du innstillinger for CPU-prioritet I Prioritet-alternativet kan du angi nivåer som spenner fra Sanntid (maksimal prioritet, prosessen henter prosessoren når den ber om det) til Inaktiv (minimum prioritet, den kjører bare hvis ingenting annet vil bruke CPU-en).

Du har også muligheten I/O-prioritetDenne innstillingen definerer prosessprioriteten for input/output-operasjoner (lesing og skriving til disk osv.) med verdier som Høy, Normal, Lav og Svært Lav. Ved å justere disse alternativene kan du for eksempel begrense virkningen av en stor kopi eller et program som metter disken.

En annen veldig interessant funksjon er Send tilDerfra kan du sende informasjon om prosessen (eller et eksempel) til diverse antivirusanalysetjenester på nett, noe som er flott når du mistenker at en prosess kan være skadelig og ønsker en ny vurdering uten å måtte gjøre alt arbeidet manuelt.

Tjeneste-, nettverks- og diskadministrasjon

Process Hacker fokuserer ikke bare på prosesser. De andre hovedfanene gir deg en ganske fin kontroll over tjenester, nettverkstilkoblinger og diskaktivitet.

I fanen Tjenester vil du se en fullstendig liste over Windows-tjenester og drivereDette inkluderer både aktive og stoppede tjenester. Herfra kan du starte, stoppe, sette på pause eller gjenoppta tjenester, samt endre oppstartstypen deres (automatisk, manuell eller deaktivert) eller brukerkontoen de kjører under. For systemadministratorer er dette rent gull.

Nettverk-fanen viser informasjon i sanntid. hvilke prosesser oppretter nettverkstilkoblingerDette inkluderer informasjon som lokale og eksterne IP-adresser, porter og tilkoblingsstatus. Det er veldig nyttig for å oppdage programmer som kommuniserer med mistenkelige adresser eller identifisere hvilket program som metter båndbredden din.

Hvis du for eksempel støter på en «brynlås» eller et nettsted som blokkerer nettleseren din med konstante dialogbokser, kan du bruke Nettverk-fanen for å finne den. nettleserens spesifikke forbindelse til det domenet og lukk den fra Process Hacker, uten å måtte avslutte hele nettleserprosessen og miste alle åpne faner, eller til og med blokker mistenkelige tilkoblinger fra CMD hvis du foretrekker å handle fra kommandolinjen.

Disk-fanen viser lese- og skriveaktivitetene som utføres av systemprosesser. Herfra kan du oppdage applikasjoner som overbelaster disken uten åpenbar grunn eller identifisere mistenkelig atferd, for eksempel et program som skriver massivt og kan kryptere filer (typisk atferd for noe ransomware).

Avanserte funksjoner: håndtak, minnedumper og "kaprede" ressurser

I tillegg til grunnleggende prosess- og tjenestekontroll, inneholder Process Hacker svært nyttige verktøy for spesifikke scenarierspesielt når man sletter låste filer, undersøker merkelige prosesser eller analyserer programatferd.

Et veldig praktisk alternativ er Finn referanser eller DLL-erDenne funksjonen er tilgjengelig fra hovedmenyen. Tenk deg at du prøver å slette en fil, og Windows insisterer på at den "brukes av en annen prosess", men forteller deg ikke hvilken. Med denne funksjonen kan du skrive inn filnavnet (eller deler av det) i filterlinjen og klikke på Søk.

Programmet sporer håndtak (ressursidentifikatorer) og DLL-er Åpne listen og vis resultatene. Når du finner filen du er interessert i, kan du høyreklikke og velge «Gå til eierprosess» for å hoppe til den tilsvarende prosessen i Prosesser-fanen.

Når prosessen er uthevet, kan du bestemme om du vil avslutte den (Avslutte) for å frigi filen og være i stand til å slett låste filerFør du gjør dette, vil Process Hacker vise en advarsel som minner deg på at du kan miste data. Igjen, det er et kraftig verktøy som kan hjelpe deg ut av en vanskelig situasjon når alt annet mislykkes, men det bør brukes med forsiktighet.

En annen avansert funksjon er opprettelsen av minnedumperFra hurtigmenyen til en prosess kan du velge «Opprett dumpfil…» og velge mappen der du vil lagre .dmp-filen. Disse dumpfilene brukes mye av analytikere til å søke etter tekststrenger, krypteringsnøkler eller indikatorer for skadelig programvare ved hjelp av verktøy som heksadesimale redigeringsprogrammer, skript eller YARA-regler.

Prosesshacker kan også håndtere .NET-prosesser mer omfattende enn noen lignende verktøy, noe som er nyttig når du feilsøker applikasjoner skrevet på den plattformen eller analyserer skadelig programvare basert på .NET.

Til slutt, når det gjelder å oppdage ressurskrevende prosesserBare klikk på CPU-kolonneoverskriften for å sortere prosesslisten etter prosessorbruk, eller på private byte og total I/O-hastighet for å identifisere hvilke prosesser som bruker opp minne eller overbelaster I/O. Dette gjør det veldig enkelt å finne flaskehalser.

Kompatibilitet, drivere og sikkerhetshensyn

Historisk sett opererte Process Hacker på Windows XP og senere versjoner, som krever .NET Framework 2.0. Over tid har prosjektet utviklet seg, og de nyeste versjonene er rettet mot Windows 10 og Windows 11, både 32 og 64 bit, med noe mer moderne krav (visse versjoner er kjent som System Informer, den åndelige etterfølgeren til Process Hacker 2.x).

I 64-bits systemer spiller et delikat problem inn: signering av drivere i kjernemodus (Kernel-Mode Code Signing, KMCS). Windows tillater bare lasting av drivere signert med gyldige sertifikater som er anerkjent av Microsoft, som et tiltak for å forhindre rootkits og andre ondsinnede drivere.

Driveren som Process Hacker bruker for sine mer avanserte funksjoner har kanskje ikke en systemgodkjent signatur, eller den kan være signert med testsertifikater. Dette betyr at, i en standard 64-biters Windows-installasjonDriveren lastes kanskje ikke, og noen «dype» funksjoner vil bli deaktivert.

Avanserte brukere kan ty til alternativer som aktivere Windows "testmodus" (som tillater lasting av prøvedrivere) eller, i eldre versjoner av systemet, deaktivering av verifisering av driversignatur. Disse manøvrene reduserer imidlertid systemsikkerheten betydelig, ettersom de åpner døren for at andre ondsinnede drivere kan slippe gjennom ukontrollert.

Selv uten en driver lastet inn, er Process Hacker fortsatt en et veldig kraftig overvåkingsverktøyDu vil kunne se prosesser, tjenester, nettverk, disk, statistikk og mye annen nyttig informasjon. Du vil rett og slett miste noe av muligheten til å avslutte skjermede prosesser eller få tilgang til visse data på svært lavt nivå.

Uansett er det verdt å huske at noen antivirusprogrammer vil oppdage Process Hacker som Risikoprogrammer eller PUP Nettopp fordi det kan forstyrre sikkerhetsprosesser. Hvis du bruker det på legitim måte, kan du legge til unntak i sikkerhetsløsningen din for å forhindre falske alarmer, og alltid være klar over hva du gjør.

For alle som ønsker å bedre forstå hvordan Windows-systemet deres oppfører seg, fra avanserte brukere til cybersikkerhetseksperter, Å ha Process Hacker i verktøykassen din utgjør en stor forskjell når det er på tide å diagnostisere, optimalisere eller undersøke kompliserte problemer i systemet.