Popoln vodnik za Process Hacker: napredna alternativa upravitelju opravil

Za mnoge uporabnike sistema Windows upravitelj opravil ne zadostuje. Zato se nekateri na koncu obrnejo na Process Hacker. To orodje je pridobilo na priljubljenosti med skrbniki, razvijalci in varnostnimi analitiki, saj jim omogoča ogled in nadzor sistema na ravni, ki si je standardni upravitelj opravil sistema Windows sploh ne more predstavljati.

V tem obsežnem vodniku bomo pregledali Kaj je Process Hacker, kako ga prenesti in namestitiKaj ponuja v primerjavi z upraviteljem opravil in raziskovalcem procesov ter kako ga uporabljati za upravljanje procesov, storitev, omrežja, diska, pomnilnika in celo za raziskovanje zlonamerne programske opreme.

Kaj je Process Hacker in zakaj je tako močan?

Process Hacker je v bistvu napredni upravitelj procesov za WindowsJe odprtokoden in popolnoma brezplačen. Mnogi ga opisujejo kot "Upravitelj opravil na steroidih" in resnica je, da mu ta opis precej ustreza.

Njegov cilj je, da vam ponudi zelo podroben pregled dogajanja v vašem sistemuProcesi, storitve, pomnilnik, omrežje, disk ... in predvsem orodja za posredovanje, ko se kaj zatakne, porabi preveč virov ali se zdi sumljivo glede zlonamerne programske opreme. Vmesnik nekoliko spominja na Process Explorer, vendar Process Hacker dodaja kar nekaj dodatnih funkcij.

Ena od njegovih prednosti je, da lahko zazna skrite procese in prekine »zaščitene« procese ki ga upravitelj opravil ne more zapreti. To doseže z gonilnikom jedrnega načina, imenovanim KProcessHacker, ki mu omogoča neposredno komunikacijo z jedrom sistema Windows s povišanimi privilegiji.

Biti projekt Odprtokodna koda, koda je dostopna vsemTo spodbuja preglednost: skupnost lahko revidira postopek, odkrije varnostne pomanjkljivosti, predlaga izboljšave in zagotovi, da ni skritih neprijetnih presenečenj. Številna podjetja in strokovnjaki za kibernetsko varnost zaupajo Process Hackerju prav zaradi te odprte filozofije.

Vendar je vredno upoštevati, da Nekateri protivirusni programi ga označijo kot »tveganega« ali kot PUP (potencialno nezaželen program).Ne zato, ker bi bilo zlonamerno, ampak zato, ker ima zmožnost uničenja zelo občutljivih procesov (vključno z varnostnimi storitvami). Je zelo močno orožje in tako kot vsa orožja bi ga bilo treba uporabljati preudarno.

Prenesite Process Hacker: različice, prenosna različica in izvorna koda

Za pridobitev programa je običajno treba obiskati njihovo uradna stran OA vaš repozitorij na SourceForge / GitHubTam boste vedno našli najnovejšo različico in kratek povzetek tega, kaj orodje zmore.

V razdelku za prenose boste običajno videli dve glavni modaliteti za 64-bitne sisteme:

• Nastavitev (priporočeno): klasični namestitveni program, tisti, ki smo ga vedno uporabljali, priporočen za večino uporabnikov.
• Binarne datoteke (prenosne): prenosna različica, ki jo lahko zaženete neposredno brez namestitve.

Možnost nastavitve je idealna, če želite Pustite Process Hacker že nameščen.integriran z menijem Start in z dodatnimi možnostmi (kot je zamenjava upravitelja opravil). Prenosna različica pa je odlična za nosite ga na USB ključku in ga uporabljajte na različnih računalnikih, ne da bi morali karkoli nameščati.

Malo nižje se običajno pojavijo tudi 32-bitne različiceV primeru, da še vedno delate s starejšo opremo. Dandanes ni več tako pogosta, vendar še vedno obstajajo okolja, kjer je potrebna.

Če vas kaj zanima popravljanje izvorne kode Lahko pa sestavite svojo lastno gradnjo; na uradni spletni strani boste našli neposredno povezavo do repozitorija GitHub. Tam lahko pregledate kodo, sledite dnevniku sprememb in celo predlagate izboljšave, če želite prispevati k projektu.

Program tehta zelo malo, približno nekaj megabajtovPrenos torej traja le nekaj sekund, tudi s počasno povezavo. Ko je končan, lahko zaženete namestitveni program ali, če ste izbrali prenosno različico, izvlečete in zaženete izvedljivo datoteko neposredno.

Namestitev po korakih v sistemu Windows

Če izberete namestitveni program (Setup), je postopek dokaj tipičen v sistemu Windows, čeprav z Nekaj ​​zanimivih možnosti, ki jih je vredno preveriti mirno.

Takoj ko dvokliknete preneseno datoteko, bo Windows prikazal Nadzor uporabniškega računa (UAC) Opozorilo vas bo, da želi program spremeniti sistem. To je normalno: Process Hacker potrebuje določene privilegije za delovanje, zato jih boste morali sprejeti, da boste lahko nadaljevali.

Prva stvar, ki jo boste videli, je čarovnik za namestitev s tipičnimi zaslon z dovoljenjemProcess Hacker se distribuira pod licenco GNU GPL različice 3, z nekaj posebnimi izjemami, omenjenimi v besedilu. Preden nadaljujete, je dobro, da jih preberete, še posebej, če ga nameravate uporabljati v poslovnih okoljih.

 

V naslednjem koraku monter predlaga privzeta mapa kamor bo program kopiran. Če vam privzeta pot ne ustreza, jo lahko spremenite neposredno tako, da vnesete drugo ali pa uporabite gumb Brskanje , da v brskalniku izberete drugo mapo.

Potem pa seznam komponent ki sestavljajo aplikacijo: glavne datoteke, bližnjice, možnosti, povezane z gonilniki, itd. Če želite popolno namestitev, je najpreprosteje, da pustite vse označeno. Če ste prepričani, da določene funkcije ne boste uporabljali, jo lahko prekličete, čeprav zasede minimalen prostor.

Nato vas bo asistent vprašal za ime mape v meniju StartObičajno predlaga »Process Hacker 2« ali kaj podobnega, kar bo ustvarilo novo mapo s tem imenom. Če želite, da se bližnjica prikaže v drugi obstoječi mapi, lahko kliknete Prebrskaj in jo izberete. Na voljo imate tudi možnost Ne ustvarjajte mape menija Start tako da v meniju Start ne bo ustvarjen noben vnos.

Na naslednjem zaslonu boste prišli do nabora dodatne možnosti ki si zaslužijo posebno pozornost:

• Ustvariti ali ne bližnjica na namizjuin se odločite, ali bo to samo za vašega uporabnika ali za vse uporabnike v ekipi.
• Trgati Procesni heker ob zagonu sistema WindowsIn če v tem primeru želite, da se odpre minimizirano v območju za obvestila.
• Naredi to Process Hacker nadomešča upravitelja opravil Standardno za Windows.
• Namestite Gonilnik KProcessHackerja in mu omogočite poln dostop do sistema (zelo zmogljiva možnost, vendar ni priporočljiva, če ne veste, kaj pomeni).

Ko izberete te nastavitve, vam bo namestitveni program prikazal povzetek konfiguracije Ko kliknete Namesti, se bo začelo kopiranje datotek. Za nekaj sekund boste videli majhno vrstico napredka; postopek je hiter.

Ko končate, vas bo asistent obvestil, da Namestitev je bila uspešno zaključena in prikazal bo več polj:

• Zaženi Process Hacker, ko zapreš čarovnika.
• Odprite dnevnik sprememb za nameščeno različico.
• Obiščite uradno spletno stran projekta.

Privzeto je običajno označeno samo polje. Zaženi hekerja procesovČe to možnost pustite takšno, kot je, se bo program prvič odprl, ko kliknete Dokončaj, in lahko začnete eksperimentirati z njim.

Kako začeti s programom Process Hacker in prvi koraki

Če ste med namestitvijo ustvarili bližnjico na namizju, bo zagon programa tako preprost kot dvokliknite ikonoTo je najhitrejši način za tiste, ki ga pogosto uporabljajo.

Če nimate neposrednega dostopa, lahko vedno Odprite ga iz menija StartPreprosto kliknite gumb Start, pojdite na »Vse aplikacije« in poiščite mapo »Process Hacker 2« (ali katero koli ime ste izbrali med namestitvijo). V njej boste našli vnos programa in ga lahko odprete z enim klikom.

Ko se prvič zažene, izstopa to, da Vmesnik je zelo preobremenjen z informacijami.Brez skrbi: z malo vaje postane postavitev precej logična in organizirana. Pravzaprav prikaže veliko več podatkov kot standardni upravitelj opravil, hkrati pa ostaja obvladljiv.

Na vrhu imaš vrsto Glavni zavihki: Procesi, Storitve, Omrežje in DiskVsak od njih prikazuje drugačen vidik sistema: procese, storitve in gonilnike, omrežne povezave in aktivnost diska.

Na zavihku Procesi, ki se privzeto odpre, boste videli vse procese v obliki hierarhičnega drevesaTo pomeni, da lahko hitro prepoznate, kateri procesi so starši in kateri so otroci. Na primer, pogosto je videti, da je Notepad (notepad.exe) odvisen od explorer.exe, prav tako kot številna okna in aplikacije, ki jih zaženete iz Raziskovalca.

Zavihek Procesi: pregled in nadzor procesov

Pogled procesa je srce programa Process Hacker. Od tu lahko poglej, kaj dejansko teče na vašem računalniku in se hitro odločate, ko gre kaj narobe.

Na seznamu procesov so poleg imena prikazani tudi stolpci, kot je PID (identifikator procesa), odstotek uporabe CPE-ja, skupna hitrost V/I, uporabljeni pomnilnik (zasebni bajti), uporabnik, ki izvaja proces, in kratek opis.

Če premaknete miško in jo za trenutek pridržite nad imenom procesa, se odpre okno. pojavno okno z dodatnimi podrobnostmiCelotna pot do izvedljive datoteke na disku (na primer C:\Windows\System32\notepad.exe), natančna različica datoteke in podjetje, ki jo je podpisalo (Microsoft Corporation itd.). Te informacije so zelo uporabne za razlikovanje med legitimnimi procesi in potencialno zlonamernimi imitacijami.

Nenavaden vidik je, da Procesi so obarvani glede na njihovo vrsto ali stanje (storitve, sistemski procesi, zaustavljeni procesi itd.). Pomen posamezne barve si lahko ogledate in prilagodite v meniju. Hacker > Možnosti > Označevanje, če želite shemo prilagoditi svojim željam.

Če z desno miškino tipko kliknete kateri koli proces, se prikaže meni kontekstni meni, poln možnostiEna najbolj presenetljivih je Lastnosti, ki je označena in odpre okno z izjemno podrobnimi informacijami o postopku.

To okno z lastnostmi je organizirano v več zavihkov (približno enajst)Vsak zavihek se osredotoča na določen vidik. Zavihek Splošno prikazuje pot do izvedljive datoteke, ukazno vrstico, ki se uporablja za njen zagon, čas izvajanja, nadrejeni proces, naslov bloka procesnega okolja (PEB) in druge podatke nizke ravni.

Zavihek Statistika prikazuje napredno statistiko: prioriteta procesa, število porabljenih ciklov CPU-ja, količina pomnilnika, ki jo uporablja tako sam program kot podatki, ki jih obdeluje, izvedene vhodno/izhodne operacije (branje in pisanje na disk ali druge naprave) itd.

Zavihek Učinkovitost ponuja Grafi uporabe procesorja, pomnilnika in V/I Za ta postopek je nekaj zelo uporabnega za zaznavanje konic ali nenavadnega vedenja. Medtem vam zavihek Pomnilnik omogoča pregled in celo neposredno urejanje vsebine pomnilnika procesa, zelo napredna funkcionalnost, ki se običajno uporablja pri odpravljanju napak ali analizi zlonamerne programske opreme.

Poleg Lastnosti kontekstni meni vsebuje še več ključne možnosti na vrhu:

• Prekinite: takoj konča postopek.
• Prekini drevo: zapre izbrani proces in vse njegove podprocese.
• Začasno prekine: začasno zamrzne postopek, ki ga je mogoče pozneje nadaljevati.
• Restart: ponovno zažene prekinjen proces.

Uporaba teh možnosti zahteva previdnost, ker Procesni heker lahko prekine procese, ki jih drugi upravljavci ne morejo.Če uničite nekaj, kar je ključnega za sistem, ali pomembno aplikacijo, lahko izgubite podatke ali povzročite nestabilnost. To je idealno orodje za zaustavitev zlonamerne programske opreme ali neodzivnih procesov, vendar morate vedeti, kaj počnete.

V istem meniju boste našli nastavitve za Prednost procesorja V možnosti Prioriteta lahko nastavite ravni od Real time (največja prioriteta, proces dobi procesor, kadar koli ga zahteva) do Idle (minimalna prioriteta, proces se izvaja le, če nič drugega ne želi uporabljati CPU-ja).

Imate tudi možnost Prioriteta V/ITa nastavitev določa prioriteto procesa za vhodno/izhodne operacije (branje in pisanje na disk itd.) z vrednostmi, kot so Visoka, Normalna, Nizka in Zelo nizka. Prilagajanje teh možnosti vam omogoča, na primer, da omejite vpliv velike kopije ali programa, ki preobremeni disk.

Druga zelo zanimiva lastnost je PošljiOd tam lahko pošljete informacije o postopku (ali vzorec) različnim spletnim storitvam za analizo protivirusnih programov, kar je odlično, če sumite, da je postopek zlonameren, in želite drugo mnenje, ne da bi morali vse delo opraviti ročno.

Upravljanje storitev, omrežja in diskov

Process Hacker se ne osredotoča samo na procese. Drugi glavni zavihki vam ponujajo dokaj dober nadzor nad storitvami, omrežnimi povezavami in aktivnostjo diska.

Na zavihku Storitve boste videli celoten seznam Storitve in gonilniki sistema WindowsTo vključuje tako aktivne kot zaustavljene storitve. Tukaj lahko zaženete, ustavite, začasno ustavite ali nadaljujete storitve ter spremenite vrsto zagona (samodejni, ročni ali onemogočen) ali uporabniški račun, pod katerim se izvajajo. Za sistemske skrbnike je to čisti zlati dodatek.

Zavihek Omrežje prikazuje informacije v realnem času. kateri procesi vzpostavljajo omrežne povezaveTo vključuje informacije, kot so lokalni in oddaljeni naslovi IP, vrata in stanje povezave. To je zelo uporabno za zaznavanje programov, ki komunicirajo s sumljivimi naslovi, ali za ugotavljanje, katera aplikacija preobremenjuje vašo pasovno širino.

Če na primer naletite na »zaklep brskalnika« ali spletno mesto, ki blokira vaš brskalnik s stalnimi pogovornimi okni, ga lahko poiščete na zavihku Omrežje. specifična povezava brskalnika s to domeno in ga zaprite iz programa Process Hacker, ne da bi morali ustaviti celoten proces brskalnika in izgubiti vse odprte zavihke ali celo blokiranje sumljivih povezav iz CMD če raje delujete iz ukazne vrstice.

Zavihek Disk prikazuje dejavnosti branja in pisanja, ki jih izvajajo sistemski procesi. Tukaj lahko zaznate aplikacije, ki preobremenijo disk brez očitnega razloga ali prepoznati sumljivo vedenje, na primer program, ki množično piše in bi lahko šifriral datoteke (tipično vedenje nekaterih izsiljevalskih programov).

Napredne funkcije: ročaji, izpisi pomnilnika in »ugrabljeni« viri

Poleg osnovnega nadzora procesov in storitev vključuje Process Hacker zelo uporabna orodja za specifične scenariješe posebej pri brisanju zaklenjenih datotek, preiskovanju nenavadnih procesov ali analizi vedenja aplikacij.

Zelo praktična možnost je Iskanje ročajev ali DLL-jevDo te funkcije lahko dostopate iz glavnega menija. Predstavljajte si, da poskušate izbrisati datoteko in Windows vztraja, da jo »uporablja drug proces«, vendar vam ne pove, kateri. S to funkcijo lahko v vrstico Filter vnesete ime datoteke (ali njegov del) in kliknete Najdi.

Program spremlja ročaji (identifikatorji virov) in DLL-ji Odprite seznam in prikažite rezultate. Ko najdete datoteko, ki vas zanima, lahko kliknete z desno tipko miške in izberete »Pojdi na lastniški proces«, da skočite na ustrezni proces na zavihku Procesi.

Ko je ta postopek označen, se lahko odločite, ali ga želite končati (Prekini), da sprostite datoteko in bodite sposobni izbriši zaklenjene datotekePreden to storite, bo Process Hacker prikazal opozorilo, ki vas opomni, da lahko izgubite podatke. Spet je to močno orodje, ki vas lahko reši iz zagate, ko vse drugo odpove, vendar ga je treba uporabljati previdno.

Druga napredna funkcija je ustvarjanje izpisi pomnilnikaV kontekstnem meniju procesa lahko izberete »Ustvari datoteko za izpis pomnilnika ...« in izberete mapo, kamor želite shraniti datoteko .dmp. Te izpise podatkov analitiki pogosto uporabljajo za iskanje besedilnih nizov, šifrirnih ključev ali indikatorjev zlonamerne programske opreme z orodji, kot so šestnajstiški urejevalniki, skripti ali pravila YARA.

Process Hacker lahko obravnava tudi Procesi .NET bolj celovito kot nekatera podobna orodja, kar je uporabno pri odpravljanju napak v aplikacijah, napisanih na tej platformi, ali pri analizi zlonamerne programske opreme, ki temelji na .NET.

Končno, ko gre za odkrivanje procesi, ki porabljajo virePreprosto kliknite glavo stolpca CPU, da razvrstite seznam procesov po uporabi procesorja, ali pa po zasebnih bajtih in skupni hitrosti V/I, da ugotovite, kateri procesi porabijo veliko pomnilnika ali preobremenijo V/I. To zelo olajša iskanje ozkih grl.

Združljivost, gonilnik in varnostni vidiki

Zgodovinsko gledano je Process Hacker deloval na Windows XP in novejše različice, ki zahteva .NET Framework 2.0. Sčasoma se je projekt razvijal in najnovejše različice so namenjene sistemom Windows 10 in Windows 11, tako 32-bitni kot 64-bitni, z nekoliko sodobnejšimi zahtevami (določene različice so znane kot System Informer, duhovni naslednik Process Hackerja 2.x).

V 64-bitnih sistemih se pojavi občutljiva težava: podpisovanje gonilnikov v jedrnem načinu (Podpisovanje kode v jedrnem načinu, KMCS). Windows dovoljuje nalaganje samo gonilnikov, podpisanih z veljavnimi potrdili, ki jih priznava Microsoft, kot ukrep za preprečevanje rootkitov in drugih zlonamernih gonilnikov.

Gonilnik, ki ga Process Hacker uporablja za svoje naprednejše funkcije, morda nima sistemsko sprejetega podpisa ali pa je podpisan s testnimi potrdili. To pomeni, da v standardni 64-bitni namestitvi sistema WindowsGonilnik se morda ne bo naložil in nekatere "globoke" funkcije bodo onemogočene.

Napredni uporabniki lahko uporabijo možnosti, kot so aktivirajte "testni način" sistema Windows (kar omogoča nalaganje poskusnih gonilnikov) ali, v starejših različicah sistema, onemogočanje preverjanja podpisa gonilnika. Vendar pa ti manevri znatno zmanjšajo varnost sistema, saj odprejo vrata drugim zlonamernim gonilnikom, da se nekontrolirano prebijejo.

Tudi brez naloženega gonilnika je Process Hacker še vedno zelo zmogljivo orodje za spremljanjeVideli boste lahko procese, storitve, omrežje, disk, statistiko in številne druge uporabne informacije. Preprosto boste izgubili del možnosti prekinitve zaščitenih procesov ali dostopa do določenih podatkov zelo nizke ravni.

V vsakem primeru je vredno vedeti, da bodo nekateri protivirusni programi zaznali Process Hacker kot Tvegana programska oprema ali potencialno škodljiva programska oprema Ravno zato, ker lahko moti varnostne procese. Če ga uporabljate zakonito, lahko svoji varnostni rešitvi dodate izključitve, da preprečite lažne alarme, pri čemer se vedno zavedate, kaj počnete.

Za vse, ki želijo bolje razumeti delovanje svojega sistema Windows, od naprednih uporabnikov do strokovnjakov za kibernetsko varnost, Če imate Process Hacker v svojem orodjarju, to naredi veliko razliko. ko pride čas za diagnosticiranje, optimizacijo ali raziskovanje zapletenih težav v sistemu.