Kompletný sprievodca programom Process Hacker: Pokročilá alternatíva k Správcovi úloh

Pre mnohých používateľov systému Windows je Správca úloh nedostatočný. Preto sa niektorí nakoniec obrátia na Process Hacker. Tento nástroj si získal popularitu medzi administrátormi, vývojármi a bezpečnostnými analytikmi, pretože im umožňuje prezerať a ovládať systém na úrovni, ktorú si štandardný Správca úloh systému Windows ani nedokáže predstaviť.

V tejto komplexnej príručke si prejdeme Čo je Process Hacker, ako si ho stiahnuť a nainštalovaťČo ponúka v porovnaní so Správcom úloh a Prieskumníkom procesov a ako ho používať na správu procesov, služieb, siete, disku, pamäte a dokonca aj na vyšetrovanie škodlivého softvéru.

Čo je Process Hacker a prečo je taký silný?

Process Hacker je v podstate pokročilý správca procesov pre WindowsJe to open source a úplne zadarmo. Mnoho ľudí ho opisuje ako „Správcu úloh na steroidoch“ a pravdou je, že tento popis naň celkom dobre sedí.

Jeho cieľom je poskytnúť vám veľmi podrobný prehľad o tom, čo sa deje vo vašom systémeProcesy, služby, pamäť, sieť, disk… a predovšetkým vám poskytuje nástroje na zásah, keď sa niečo zasekne, spotrebuje príliš veľa zdrojov alebo sa zdá byť podozrivé z škodlivého softvéru. Rozhranie trochu pripomína Process Explorer, ale Process Hacker pridáva množstvo ďalších funkcií.

Jednou z jeho silných stránok je, že dokáže odhaliť skryté procesy a ukončiť „tienené“ procesy ktorý Správca úloh nedokáže zatvoriť. To sa dosahuje vďaka ovládaču režimu jadra s názvom KProcessHacker, ktorý mu umožňuje priamu komunikáciu s jadrom systému Windows so zvýšenými oprávneniami.

Byť projektom Open source, kód je dostupný pre kohokoľvekToto podporuje transparentnosť: komunita ho môže auditovať, odhaľovať bezpečnostné chyby, navrhovať vylepšenia a zabezpečiť, aby neexistovali žiadne skryté nepríjemné prekvapenia. Mnoho spoločností a odborníkov na kybernetickú bezpečnosť dôveruje Process Hacker práve kvôli tejto otvorenej filozofii.

Stojí však za to mať na pamäti, že Niektoré antivírusové programy ho označujú ako „rizikový“ alebo ako PUP (potenciálne nechcený program).Nie preto, že je škodlivý, ale preto, že má schopnosť zabiť vysoko citlivé procesy (vrátane bezpečnostných služieb). Je to veľmi silná zbraň a ako všetky zbrane by sa mala používať rozumne.

Stiahnite si Process Hacker: verzie, prenosná verzia a zdrojový kód

Ak chcete získať program, zvyčajne stačí navštíviť ich oficiálna stránka OA váš repozitár na SourceForge / GitHubTam vždy nájdete najnovšiu verziu a stručný prehľad toho, čo nástroj dokáže.

V sekcii sťahovania zvyčajne uvidíte dve hlavné modality pre 64-bitové systémy:

• Nastavenie (odporúčané): klasický inštalátor, ten, ktorý sme vždy používali, odporúčaný pre väčšinu používateľov.
• Binárne súbory (prenosné)prenosná verzia, ktorú môžete spustiť priamo bez inštalácie.

Možnosť Nastavenie je ideálna, ak chcete Nechajte Process Hacker už nainštalovaný.integrovaný s ponukou Štart a s ďalšími možnosťami (napríklad nahradením Správcu úloh). Prenosná verzia je na druhej strane ideálna pre preneste si ho na USB kľúč a používať ho na rôznych počítačoch bez nutnosti inštalácie čohokoľvek.

O niečo ďalej sa zvyčajne objavujú aj 32-bitové verzieV prípade, že stále pracujete so starším vybavením. V dnešnej dobe už nie sú také bežné, ale stále existujú prostredia, kde sú potrebné.

Ak vás zaujíma experimentovanie so zdrojovým kódom Alebo si môžete skompilovať vlastnú zostavu; na oficiálnej webovej stránke nájdete priamy odkaz na repozitár GitHub. Odtiaľ si môžete skontrolovať kód, sledovať zoznam zmien a dokonca navrhnúť vylepšenia, ak chcete prispieť k projektu.

Program váži veľmi málo, okolo niekoľko megabajtovSťahovanie teda trvá len niekoľko sekúnd, a to aj pri pomalom pripojení. Po dokončení môžete spustiť inštalátor alebo, ak ste si vybrali prenosnú verziu, extrahovať a spustiť spustiteľný súbor priamo.

Postupná inštalácia v systéme Windows

Ak vyberiete inštalátor (Setup), proces je v systéme Windows pomerne typický, hoci s Niekoľko zaujímavých možností, ktoré stoja za to pozrieť pokojne.

Hneď ako dvakrát kliknete na stiahnutý súbor, systém Windows zobrazí Kontrola používateľských účtov (UAC) Upozorní vás, že program chce vykonať zmeny v systéme. To je normálne: Process Hacker potrebuje na vykonávanie svojich úloh určité oprávnenia, takže ich budete musieť akceptovať, aby ste mohli pokračovať.

Prvá vec, ktorú uvidíte, je sprievodca inštaláciou s typickými obrazovka s licenciouProcess Hacker je distribuovaný pod licenciou GNU GPL verzie 3 s niekoľkými špecifickými výnimkami uvedenými v texte. Je dobré si ich pred pokračovaním prečítať, najmä ak ho plánujete používať v podnikovom prostredí.

 

V ďalšom kroku inštalátor navrhne predvolený priečinok kam sa program skopíruje. Ak vám predvolená cesta nevyhovuje, môžete ju zmeniť priamo zadaním inej cesty alebo pomocou tlačidla prezerať vyberte iný priečinok v prehliadači.

Potom zoznam komponentov ktoré tvoria aplikáciu: hlavné súbory, skratky, možnosti súvisiace s ovládačmi atď. Ak chcete kompletnú inštaláciu, najjednoduchšie je nechať všetko zaškrtnuté. Ak ste si istí, že konkrétnu funkciu nebudete používať, môžete jej začiarknutie zrušiť, hoci zaberá minimálny priestor.

Ďalej sa vás asistent opýta na názov priečinka v ponuke ŠtartZvyčajne sa zobrazí ponuka „Process Hacker 2“ alebo niečo podobné, čo vytvorí nový priečinok s týmto názvom. Ak chcete, aby sa odkaz zobrazoval v inom existujúcom priečinku, môžete kliknúť na Prehľadávať a vybrať ho. Máte tiež možnosť Nevytvárajte priečinok ponuky Štart aby sa v ponuke Štart nevytvorila žiadna položka.

Na ďalšej obrazovke sa zobrazí súbor ďalšie možnosti ktoré si zaslúžia osobitnú pozornosť:

• Vytvoriť alebo nevytvoriť odkaz na plochea rozhodnite sa, či to bude len pre vášho používateľa alebo pre všetkých používateľov v tíme.
• Roztrhnúť Hacker procesov pri spustení systému WindowsA ak v tom prípade chcete, aby sa minimalizované otvorilo v oblasti oznámení.
• Urob čo Process Hacker nahrádza Správcu úloh Štandard pre Windows.
• Nainštalujte Ovládač KProcessHacker a poskytnúť mu plný prístup k systému (veľmi výkonná možnosť, ale neodporúča sa, ak neviete, čo to obnáša).

Po výbere týchto preferencií vám inštalátor zobrazí súhrn konfigurácie A keď kliknete na tlačidlo Inštalovať, začne sa kopírovanie súborov. Na niekoľko sekúnd sa zobrazí malý indikátor priebehu; proces je rýchly.

Po dokončení vás asistent upozorní, že Inštalácia bola úspešne dokončená a zobrazí sa niekoľko políčok:

• Pri zatváraní sprievodcu spustite Process Hacker.
• Otvorte zoznam zmien pre nainštalovanú verziu.
• Navštívte oficiálnu webovú stránku projektu.

Predvolene je zvyčajne začiarknuté iba políčko. Spustiť proces HackerAk túto možnosť ponecháte tak, ako je, po kliknutí na tlačidlo Dokončiť sa program prvýkrát otvorí a môžete s ním začať experimentovať.

Ako začať s Process Hackerom a prvé kroky

Ak ste sa počas inštalácie rozhodli vytvoriť odkaz na pracovnej ploche, spustenie programu bude také jednoduché ako dvakrát kliknite na ikonuJe to najrýchlejší spôsob pre tých, ktorí ho často používajú.

Ak nemáte priamy prístup, vždy môžete Otvorte ho z ponuky ŠtartJednoducho kliknite na tlačidlo Štart, prejdite na „Všetky aplikácie“ a vyhľadajte priečinok „Process Hacker 2“ (alebo akýkoľvek iný názov, ktorý ste si zvolili počas inštalácie). Vnútri nájdete položku programu a môžete ju otvoriť jedným kliknutím.

Pri prvom spustení je pozoruhodné, že Rozhranie je veľmi preťažené informáciami.Nebojte sa: s trochou cviku sa rozloženie stane celkom logickým a organizovaným. V skutočnosti zobrazuje oveľa viac údajov ako štandardný Správca úloh a zároveň zostáva ľahko ovládateľný.

Na vrchu máte rad Hlavné karty: Procesy, Služby, Sieť a DiskKaždý z nich zobrazuje iný aspekt systému: spustené procesy, služby a ovládače, sieťové pripojenia a aktivitu disku.

Na karte Procesy, ktorá sa otvorí štandardne, uvidíte všetky procesy. vo forme hierarchického stromuTo znamená, že môžete rýchlo identifikovať, ktoré procesy sú rodičovské a ktoré deti. Napríklad je bežné vidieť Poznámkový blok (notepad.exe) závislý od explorer.exe, rovnako ako mnoho okien a aplikácií, ktoré spúšťate z Prieskumníka.

Karta Procesy: kontrola a riadenie procesov

Pohľad na proces je srdcom Process Hackeru. Odtiaľto môžete pozrite sa, čo vlastne beží na vašom počítači a rýchlo sa rozhodovať, keď sa niečo pokazí.

V zozname procesov sa okrem názvu zobrazujú aj stĺpce ako napríklad PID (identifikátor procesu), percento využitia CPU, celková rýchlosť I/O, použitá pamäť (súkromné ​​bajty), používateľ spúšťajúci proces a stručný popis.

Ak pohnete myšou a chvíľu ju podržíte nad názvom procesu, otvorí sa okno. vyskakovacie okno s ďalšími podrobnosťamiÚplná cesta k spustiteľnému súboru na disku (napríklad C:\Windows\System32\notepad.exe), presná verzia súboru a spoločnosť, ktorá ho podpísala (Microsoft Corporation atď.). Tieto informácie sú veľmi užitočné na rozlíšenie legitímnych procesov od potenciálne škodlivých napodobenín.

Zaujímavým aspektom je to Procesy sú farebné podľa ich typu alebo stavu (služby, systémové procesy, pozastavené procesy atď.). Význam každej farby je možné zobraziť a prispôsobiť v ponuke. Hacker > Možnosti > Zvýraznenie, v prípade, že si chcete schému prispôsobiť podľa svojich predstáv.

Ak kliknete pravým tlačidlom myši na ľubovoľný proces, zobrazí sa ponuka kontextové menu plné možnostíJednou z najvýraznejších je položka Vlastnosti, ktorá sa zvýrazní a slúži na otvorenie okna s mimoriadne podrobnými informáciami o procese.

Toto okno vlastností je usporiadané do viacero kariet (približne jedenásť)Každá karta sa zameriava na konkrétny aspekt. Karta Všeobecné zobrazuje cestu k spustiteľnému súboru, príkazový riadok použitý na jeho spustenie, čas behu, rodičovský proces, adresu bloku prostredia procesu (PEB) a ďalšie údaje nízkej úrovne.

Karta Štatistika zobrazuje rozšírené štatistiky: procesná priorita, počet spotrebovaných cyklov CPU, množstvo pamäte používanej samotným programom aj dátami, ktoré spracováva, vykonané vstupno-výstupné operácie (čítanie a zápis na disk alebo iné zariadenia) atď.

Karta Výkon ponúka Grafy využitia CPU, pamäte a I/O Pre tento proces je to veľmi užitočné na detekciu výkyvov alebo anomálneho správania. Karta Pamäť vám zároveň umožňuje skontrolovať a dokonca aj priamo upravovať obsah pamäte procesu, čo je veľmi pokročilá funkcia, ktorá sa zvyčajne používa pri ladení alebo analýze škodlivého softvéru.

Okrem Vlastností obsahuje kontextová ponuka niekoľko ďalších kľúčové možnosti na vrchu:

• vypovedať: okamžite ukončí proces.
• Ukončiť strom: zatvorí vybraný proces a všetky jeho podradené procesy.
• Pozastaviť: dočasne pozastaví proces, ktorý je možné neskôr obnoviť.
• reštart: reštartuje proces, ktorý bol pozastavený.

Používanie týchto možností si vyžaduje opatrnosť, pretože Process Hacker dokáže ukončiť procesy, ktoré iní manažéri nedokážu.Ak ukončíte niečo kritické pre systém alebo dôležitú aplikáciu, môžete stratiť údaje alebo spôsobiť nestabilitu. Je to ideálny nástroj na zastavenie škodlivého softvéru alebo nereagujúcich procesov, ale musíte vedieť, čo robíte.

Ďalej v tej istej ponuke nájdete nastavenia pre Priorita CPU V možnosti Priorita môžete nastaviť úrovne od Reálny čas (maximálna priorita, proces získa procesor vždy, keď o to požiada) až po Nečinnosť (minimálna priorita, proces beží iba vtedy, ak nič iné nechce využívať CPU).

Máte tiež možnosť Priorita I/OToto nastavenie definuje prioritu procesu pre vstupno-výstupné operácie (čítanie a zápis na disk atď.) s hodnotami ako Vysoká, Normálna, Nízka a Veľmi nízka. Úpravou týchto možností môžete napríklad obmedziť vplyv veľkej kópie alebo programu, ktorý zahlcuje disk.

Ďalšou veľmi zaujímavou vlastnosťou je OdoslaťOdtiaľ môžete odoslať informácie o procese (alebo vzorku) rôznym online antivírusovým analytickým službám, čo je skvelé, keď máte podozrenie, že proces môže byť škodlivý a chcete druhý názor bez toho, aby ste museli všetku prácu robiť manuálne.

Správa služieb, siete a diskov

Process Hacker sa nezameriava len na procesy. Ostatné hlavné karty vám poskytujú pomerne jemná kontrola nad službami, sieťovými pripojeniami a aktivitou disku.

Na karte Služby uvidíte kompletný zoznam Služby a ovládače systému WindowsTo zahŕňa aktívne aj zastavené služby. Odtiaľto môžete spúšťať, zastavovať, pozastavovať alebo obnovovať služby, ako aj meniť ich typ spustenia (automatické, manuálne alebo zakázané) alebo používateľský účet, pod ktorým bežia. Pre správcov systému je to čistá lahôdka.

Karta Sieť zobrazuje informácie v reálnom čase. ktoré procesy nadväzujú sieťové pripojeniaPatria sem informácie, ako sú lokálne a vzdialené IP adresy, porty a stav pripojenia. Je to veľmi užitočné na detekciu programov komunikujúcich s podozrivými adresami alebo na identifikáciu aplikácie, ktorá zahlcuje vašu šírku pásma.

Napríklad, ak narazíte na „browlock“ alebo webovú stránku, ktorá blokuje váš prehliadač neustálymi dialógovými oknami, môžete na jej vyhľadanie použiť kartu Sieť. konkrétne pripojenie prehliadača k danej doméne a zatvorte ho z Process Hackeru bez toho, aby ste museli ukončiť celý proces prehliadača a stratiť všetky otvorené karty alebo dokonca blokovať podozrivé pripojenia z CMD ak uprednostňujete konanie z príkazového riadku.

Na karte Disk sú uvedené aktivity čítania a zápisu vykonávané systémovými procesmi. Tu môžete zistiť aplikácie, ktoré preťažujú disk bez zjavného dôvodu alebo identifikovať podozrivé správanie, napríklad program, ktorý masívne zapisuje a mohol by šifrovať súbory (typické správanie niektorých ransomvérov).

Pokročilé funkcie: popisovače, výpisy pamäte a „unesené“ zdroje

Okrem základného riadenia procesov a služieb zahŕňa Process Hacker aj veľmi užitočné nástroje pre špecifické scenárenajmä pri odstraňovaní uzamknutých súborov, vyšetrovaní zvláštnych procesov alebo analýze správania aplikácií.

Veľmi praktickou možnosťou je Nájsť popisovače alebo knižnice DLLTáto funkcia je prístupná z hlavnej ponuky. Predstavte si, že sa pokúšate odstrániť súbor a systém Windows trvá na tom, že ho „používa iný proces“, ale nepovie vám, ktorý to je. Pomocou tejto funkcie môžete zadať názov súboru (alebo jeho časť) do panela Filter a kliknúť na tlačidlo Hľadať.

Program sleduje, identifikátory zdrojov a knižnice DLL Otvorte zoznam a zobrazte výsledky. Keď nájdete súbor, ktorý vás zaujíma, môžete kliknúť pravým tlačidlom myši a vybrať možnosť „Prejsť na vlastnícky proces“, čím prejdete na príslušný proces na karte Procesy.

Keď je daný proces zvýraznený, môžete sa rozhodnúť, či ho chcete ukončiť (Ukončiť). uvoľniť súbor a byť schopný odstrániť uzamknuté súboryPredtým, ako to urobíte, Process Hacker zobrazí upozornenie, ktoré vám pripomenie, že môžete stratiť údaje. Opäť platí, že je to mocný nástroj, ktorý vás môže dostať z ťažkej situácie, keď všetko ostatné zlyhá, ale mal by sa používať opatrne.

Ďalšou pokročilou funkciou je vytvorenie výpisy pamäteZ kontextovej ponuky procesu môžete vybrať možnosť „Vytvoriť súbor s výpisom…“ a vybrať priečinok, kam chcete uložiť súbor .dmp. Tieto výpisy často používajú analytici na vyhľadávanie textových reťazcov, šifrovacích kľúčov alebo indikátorov škodlivého softvéru pomocou nástrojov, ako sú hexadecimálne editory, skripty alebo pravidlá YARA.

Process Hacker to zvládne aj Procesy .NET komplexnejšie ako niektoré podobné nástroje, čo je užitočné pri ladení aplikácií napísaných na tejto platforme alebo pri analýze škodlivého softvéru založeného na .NET.

Nakoniec, pokiaľ ide o odhaľovanie procesy náročné na zdrojeJednoducho kliknite na hlavičku stĺpca CPU a zoradíte zoznam procesov podľa využitia procesora alebo na Súkromné ​​bajty a Celkovú rýchlosť I/O a identifikujete, ktoré procesy zaberajú pamäť alebo preťažujú I/O. Vďaka tomu je lokalizácia úzkych miest veľmi jednoduchá.

Kompatibilita, ovládač a bezpečnostné aspekty

Historicky, Process Hacker fungoval na Windows XP a novšie verzie, ktorý vyžaduje .NET Framework 2.0. Postupom času sa projekt vyvíjal a najnovšie verzie sú zamerané na Windows 10 a Windows 11, 32-bitové aj 64-bitové, s o niečo modernejšími požiadavkami (niektoré zostavy sú známe ako System Informer, duchovný nástupca Process Hacker 2.x).

V 64-bitových systémoch prichádza do úvahy chúlostivý problém: podpisovanie ovládačov v režime jadra (Podpisovanie kódu v režime jadra, KMCS). Systém Windows umožňuje načítanie iba ovládačov podpísaných platnými certifikátmi uznanými spoločnosťou Microsoft ako opatrenie na zabránenie rootkitom a iným škodlivým ovládačom.

Ovládač, ktorý Process Hacker používa pre svoje pokročilejšie funkcie, nemusí mať podpis akceptovaný systémom alebo môže byť podpísaný testovacími certifikátmi. To znamená, že v štandardnej 64-bitovej inštalácii systému WindowsOvládač sa nemusí načítať a niektoré „hlboké“ funkcie budú deaktivované.

Pokročilí používatelia môžu využiť možnosti ako napríklad aktivovať „testovací režim“ systému Windows (čo umožňuje načítanie skúšobných ovládačov) alebo v starších verziách systému vypnutie overovania podpisu vodiča. Tieto manévre však výrazne znižujú bezpečnosť systému, pretože otvárajú dvere iným škodlivým ovládačom, aby sa nekontrolovane prešmykli.

Aj bez načítaného ovládača je Process Hacker stále veľmi výkonný monitorovací nástrojBudete môcť vidieť procesy, služby, sieť, disk, štatistiky a mnoho ďalších užitočných informácií. Jednoducho stratíte časť možnosti ukončiť tienené procesy alebo pristupovať k určitým údajom veľmi nízkej úrovne.

V každom prípade je potrebné pamätať na to, že niektoré antivírusové programy detekujú Process Hacker ako Rizikový softvér alebo PUP Práve preto, že môže narúšať bezpečnostné procesy. Ak ho používate legitímne, môžete do svojho bezpečnostného riešenia pridať výnimky, aby ste predišli falošným poplachom a vždy vedeli, čo robíte.

Pre každého, kto chce lepšie pochopiť, ako sa jeho systém Windows správa, od pokročilých používateľov až po profesionálov v oblasti kybernetickej bezpečnosti, Mať Process Hacker vo svojom archíve nástrojov má obrovský vplyv keď príde čas na diagnostiku, optimalizáciu alebo vyšetrovanie zložitých problémov v systéme.