Комплетан водич за Process Hacker: Напредна алтернатива Task Manager-у

За многе кориснике Windows-а, Task Manager је недовољан. Зато се неки на крају окрећу Process Hacker-у. Овај алат је стекао популарност међу администраторима, програмерима и безбедносним аналитичарима јер им омогућава да прегледају и контролишу систем на нивоу који стандардни Windows Task Manager не може ни да замисли.

У овом свеобухватном водичу прегледаћемо Шта је Process Hacker, како га преузети и инсталиратиШта нуди у поређењу са Task Manager-ом и Process Explorer-ом, и како га користити за управљање процесима, услугама, мрежом, диском, меморијом, па чак и истраживање злонамерног софтвера.

Шта је Process Hacker и зашто је тако моћан

Процесни хакер је, у основи, напредни менаџер процеса за WindowsОтвореног је кода и потпуно бесплатан. Многи људи га описују као „Менаџер задатака на стероидима“, и истина је да му тај опис сасвим добро одговара.

Његов циљ је да вам пружи веома детаљан преглед онога што се дешава у вашем системуПроцеси, сервиси, меморија, мрежа, диск… и, пре свега, пружа вам алате за интервенцију када се нешто заглави, троши превише ресурса или делује сумњиво на злонамерни софтвер. Интерфејс донекле подсећа на Process Explorer, али Process Hacker додаје добар број додатних функција.

Једна од његових предности је то што може откривање скривених процеса и прекидање „заштићених“ процеса који Менаџер задатака не може да затвори. То се постиже захваљујући драјверу у режиму језгра под називом KProcessHacker, који му омогућава директну комуникацију са језгром Виндоуса са повишеним привилегијама.

Бити пројекат Отвореног кода, код је доступан свимаОво подстиче транспарентност: заједница може да га ревидира, открије безбедносне недостатке, предложи побољшања и осигура да нема скривених непријатних изненађења. Многе компаније и стручњаци за сајбер безбедност верују Process Hacker-у управо због ове отворене филозофије.

Вреди напоменути, међутим, да Неки антивирусни програми га означавају као „ризичан“ или као потенцијално нежељени програм (ПУП).Не зато што је злонамерно, већ зато што има способност да уништи веома осетљиве процесе (укључујући безбедносне сервисе). То је веома моћно оружје и, као и свако оружје, треба га користити разумно.

Преузмите Process Hacker: верзије, преносива верзија и изворни код

Да бисте добили програм, уобичајено је да одете на њихову Званична ОА страница ваш репозиторијум на SourceForge / GitHubТамо ћете увек пронаћи најновију верзију и кратак преглед онога што алат може да уради.

У одељку за преузимања обично ћете видети два главна модалитета за 64-битне системе:

• Подешавање (препоручено): класични инсталер, онај који смо увек користили, препоручени за већину корисника.
• Бинарни фајлови (преносиви)преносива верзија, коју можете покренути директно без инсталирања.

Опција подешавања је идеална ако желите Оставите Process Hacker већ инсталиран.интегрисан са менијем „Старт“ и са додатним опцијама (као што је замена Менаџера задатака). Преносива верзија је, с друге стране, савршена за носите га на УСБ диску и користите га на различитим рачунарима без потребе за инсталирањем било чега.

Мало даље се обично појављују и они 32-битне верзијеУ случају да још увек радите са старијом опремом. Она данас није толико честа, али и даље постоје окружења где је неопходна.

Ако је оно што вас занима петљање са изворним кодом Или можете сами да компајлирате верзију; на званичној веб страници ћете пронаћи директну везу до GitHub репозиторијума. Одатле можете прегледати код, пратити дневник промена, па чак и предложити побољшања ако желите да допринесете пројекту.

Програм тежи веома мало, око неколико мегабајтаДакле, преузимање траје само неколико секунди, чак и са спором везом. Када се заврши, можете покренути инсталатер или, ако сте изабрали преносиву верзију, директно распаковати и покренути извршну датотеку.

Корак-по-корак инсталација на Windows-у

Ако изаберете инсталер (Setup), процес је прилично типичан у оперативном систему Windows, иако са Неке занимљиве опције које вреди погледати мирно.

Чим двапут кликнете на преузету датотеку, Windows ће приказати Контрола корисничког налога (УАЦ) Упозориће вас да програм жели да направи измене у систему. То је нормално: Process Hacker-у су потребне одређене привилегије да би радио, тако да ћете морати да прихватите да бисте наставили.

Прво што ћете видети је чаробњак за инсталацију са типичним екран за лиценцуProcess Hacker се дистрибуира под GNU GPL верзијом 3 лиценце, уз неке специфичне изузетке поменуте у тексту. Добра је идеја да их прегледате пре него што наставите, посебно ако планирате да га користите у корпоративним окружењима.

 

У следећем кораку, инсталатер предлаже подразумевана фасцикла где ће програм бити копиран. Ако вам подразумевана путања не одговара, можете је директно променити уносом друге или коришћењем дугмета Прегледај да бисте изабрали другу фасциклу у прегледачу.

Онда списак компоненти који чине апликацију: главне датотеке, пречице, опције везане за драјвере итд. Ако желите потпуну инсталацију, најједноставније је да све оставите означено. Ако сте сигурни да нећете користити одређену функцију, можете је опозвати, иако је простор који заузима минималан.

Затим ће вас асистент питати за име фасцикле у менију „Старт“Обично се предлаже „Process Hacker 2“ или нешто слично, што ће креирати нову фасциклу са тим именом. Ако желите да се пречица појави у другој постојећој фасцикли, можете кликнути на Прегледај и изабрати је. Такође имате опцију Не креирајте фасциклу у менију „Старт“ тако да се не креира ниједан унос у менију „Старт“.

На следећем екрану ћете доћи до скупа додатне опције које заслужују посебну пажњу:

• Створити или не пречица на радној површинии одлучите да ли ће бити само за вашег корисника или за све кориснике у тиму.
• Суза Хакер процеса при покретању Windows-аИ ако у том случају желите да се отвори минимизирано у области за обавештења.
• Шта радити Process Hacker замењује Task Manager Виндоус стандард.
• Инсталирајте Драјвер за KProcessHacker и дајте му потпун приступ систему (веома моћна опција, али се не препоручује ако не знате шта она подразумева).

Када изаберете ове поставке, инсталатер ће вам приказати резиме конфигурације А када кликнете на Инсталирај, копирање датотека ће почети. Видећете малу траку напретка на неколико секунди; процес је брз.

Када завршите, асистент ће вас обавестити да је Инсталација је успешно завршена и приказаће неколико оквира:

• Покрените Process Hacker када затварате чаробњака.
• Отворите дневник промена за инсталирану верзију.
• Посетите званичну веб страницу пројекта.

Подразумевано, обично је означена само кућица. Покрени хакер процесаАко оставите ту опцију каква јесте, када кликнете на Заврши, програм ће се први пут отворити и можете почети да експериментишете са њим.

Како покренути Process Hacker и први кораци

Ако сте током инсталације изабрали да креирате пречицу на радној површини, покретање програма ће бити једноставно као двапут кликните на иконуТо је најбржи начин за оне који га често користе.

Ако немате директан приступ, увек можете Отворите га из менија „Старт“Једноставно кликните на дугме Старт, идите на „Све апликације“ и пронађите фасциклу „Process Hacker 2“ (или било које име које сте изабрали током инсталације). Унутра ћете пронаћи унос програма и можете га отворити једним кликом.

Први пут када се покрене, оно што се истиче јесте да Интерфејс је преоптерећен информацијама.Не брините: уз мало вежбе, распоред постаје прилично логичан и организован. У ствари, приказује много више података него стандардни Менаџер задатака, а и даље је једноставан за коришћење.

На врху имате ред Главне картице: Процеси, Услуге, Мрежа и ДискСваки од њих вам приказује другачији аспект система: покренуте процесе, сервисе и драјвере, мрежне везе и активност диска, респективно.

На картици Процеси, која се отвара подразумевано, видећете све процесе у облику хијерархијског стаблаТо значи да можете брзо да идентификујете који су процеси родитељи, а који деца. На пример, уобичајено је да Notepad (notepad.exe) зависи од explorer.exe, као и многи прозори и апликације које покрећете из Explorer-а.

Картица Процеси: инспекција и контрола процеса

Приказ процеса је срж Process Hacker-а. Одавде можете видети шта се заправо покреће на вашој машини и доносите брзе одлуке када нешто крене наопако.

У листи процеса, поред имена, колоне као што су ПИД (идентификатор процеса), проценат коришћења процесора, укупна брзина улазно/излазних операција, меморија у употреби (приватни бајтови), корисник који покреће процес и кратак опис.

Ако померите миш и задржите га тренутак изнад имена процеса, отвориће се прозор. искачући прозор са додатним детаљимаПуна путања до извршне датотеке на диску (на пример, C:\Windows\System32\notepad.exe), тачна верзија датотеке и компанија која ју је потписала (Microsoft Corporation, итд.). Ове информације су веома корисне за разликовање легитимних процеса од потенцијално злонамерних имитација.

Занимљив аспект је то Процеси су обојени према њиховом типу или стању (сервиси, системски процеси, суспендовани процеси итд.). Значење сваке боје може се видети и прилагодити у менију. Хакер > Опције > Истицање, у случају да желите да прилагодите шему свом укусу.

Ако кликнете десним тастером миша на било који процес, појавиће се мени контекстни мени пун опцијаЈедно од најупечатљивијих је „Својства“, које се појављује истакнуто и служи за отварање прозора са изузетно детаљним информацијама о процесу.

Тај прозор са својствима је организован у више картица (око једанаест)Свака картица се фокусира на одређени аспект. Картица „Опште“ приказује путању до извршне датотеке, командну линију која се користи за њено покретање, време извршавања, родитељски процес, адресу блока окружења процеса (PEB) и друге податке ниског нивоа.

Картица Статистика приказује напредну статистику: приоритет процеса, број потрошених циклуса процесора, количина меморије коју користи и сам програм и подаци које обрађује, извршене улазно/излазне операције (читање и писање на диск или друге уређаје) итд.

Картица Перформансе нуди Графикони коришћења процесора, меморије и улазно/излазних операција За тај процес, нешто веома корисно за откривање скокова или аномалног понашања. У међувремену, картица Меморија вам омогућава да прегледате, па чак и директно уређивање садржаја меморије процеса, веома напредна функционалност која се обично користи у отклањању грешака или анализи злонамерног софтвера.

Поред Својстава, контекстни мени садржи и низ кључне опције на врху:

• Прекините: одмах завршава процес.
• Заврши дрво: затвара изабрани процес и све његове подпроцесе.
• Обуставити: привремено замрзава процес, који се касније може наставити.
• Рестарт: поново покреће процес који је био суспендован.

Коришћење ових опција захтева опрез, јер Хакер процеса може да прекине процесе које други менаџери не могу.Ако уништите нешто што је критично за систем или важну апликацију, можете изгубити податке или изазвати нестабилност. То је идеалан алат за заустављање злонамерног софтвера или процеса који не реагују, али морате знати шта радите.

Даље у истом менију, наћи ћете подешавања за Приоритет процесора У опцији Приоритет, можете подесити нивое у распону од Реалног времена (максимални приоритет, процес добија процесор кад год га захтева) до Мировања (минимални приоритет, покреће се само ако ништа друго не жели да користи процесор).

Такође имате могућност Приоритет улазно/излазних операцијаОво подешавање дефинише приоритет процеса за улазно/излазне операције (читање и писање на диск итд.) са вредностима као што су Високо, Нормално, Ниско и Веома ниско. Подешавање ових опција вам омогућава, на пример, да ограничите утицај велике копије или програма који засићује диск.

Још једна веома занимљива карактеристика је ПошаљиОдатле можете послати информације о процесу (или узорак) разним онлајн сервисима за анализу антивирусних програма, што је одлично када сумњате да је процес злонамеран и желите друго мишљење без потребе да сав посао обављате ручно.

Управљање услугама, мрежом и дисковима

Process Hacker се не фокусира само на процесе. Остале главне картице вам дају прилично фина контрола над услугама, мрежним везама и активношћу диска.

На картици Услуге видећете комплетну листу Windows сервиси и драјвериОво укључује и активне и заустављене сервисе. Одавде можете покренути, зауставити, паузирати или наставити сервисе, као и променити њихов тип покретања (аутоматски, ручни или онемогућени) или кориснички налог под којим се покрећу. За систем администраторе, ово је чисто злато.

Картица Мрежа приказује информације у реалном времену. који процеси успостављају мрежне везеОво укључује информације као што су локалне и удаљене IP адресе, портови и статус везе. Веома је корисно за откривање програма који комуницирају са сумњивим адресама или идентификовање које апликације засићују ваш пропусни опсег.

На пример, ако наиђете на „блокаду прегледача“ или веб локацију која блокира ваш прегледач сталним дијалошким прозорима, можете користити картицу Мрежа да бисте је лоцирали. специфична веза прегледача са тим доменом и затворите га из Process Hacker-а, без потребе да убијете цео процес прегледача и изгубите све отворене картице, или чак блокирајте сумњиве везе из CMD-а ако више волите да делујете из командне линије.

Картица Диск приказује активности читања и писања које обављају системски процеси. Одавде можете открити апликације које преоптерећују диск без очигледног разлога или идентификовати сумњиво понашање, као што је програм који масовно пише и могао би да шифрује датотеке (типично понашање неких ransomware програма).

Напредне функције: ручке, меморијски дампови и „отети“ ресурси

Поред основне контроле процеса и услуга, Process Hacker укључује веома корисни алати за специфичне сценаријепосебно приликом брисања закључаних датотека, истраживања чудних процеса или анализе понашања апликација.

Веома практична опција је Пронађите ручке или DLL-овеОвој функцији је доступно из главног менија. Замислите да покушавате да обришете датотеку, а Windows инсистира да је „користи други процес“, али вам не каже који. Помоћу ове функције можете да унесете име датотеке (или његов део) у траку за филтер и кликнете на дугме Пронађи.

Програм прати ручке (идентификатори ресурса) и DLL-ови Отворите листу и прикажите резултате. Када пронађете датотеку која вас занима, можете кликнути десним тастером миша и изабрати „Иди на процес који поседује“ да бисте прешли на одговарајући процес на картици Процеси.

Када се тај процес истакне, можете одлучити да ли да га завршите (Прекинете) да бисте отпустите датотеку и будите у могућности да обришите закључане датотекеПре него што то урадите, Process Hacker ће приказати упозорење које вас подсећа да бисте могли изгубити податке. Поново, то је моћан алат који вас може извући из застоја када све остало не успе, али га треба користити са опрезом.

Још једна напредна карактеристика је креирање дампови меморијеИз контекстног менија процеса можете изабрати „Креирај датотеку са дамповима…“ и изабрати фасциклу у којој желите да сачувате .dmp датотеку. Ове дампове аналитичари широко користе за претрагу текстуалних низова, кључева за шифровање или индикатора злонамерног софтвера користећи алате као што су хексадецимални едитори, скрипте или YARA правила.

Процесни хакер такође може да се носи са .NET процеси свеобухватније од неких сличних алата, што је корисно приликом дебаговања апликација написаних на тој платформи или анализе злонамерног софтвера заснованог на .NET-у.

Коначно, када је у питању откривање процеси који троше ресурсеЈедноставно кликните на заглавље колоне CPU да бисте сортирали листу процеса по коришћењу процесора или на приватне бајтове и укупну брзину I/O операција да бисте идентификовали који процеси заузимају превише меморије или преоптерећују I/O операције. Ово олакшава лоцирање уских грла.

Компатибилност, управљачки програм и безбедносна разматрања

Историјски гледано, Process Hacker је радио на Windows XP и новије верзије, што захтева .NET Framework 2.0. Временом се пројекат развијао, а најновије верзије су усмерене ка Windows 10 и Windows 11, обе 32-битне и 64-битне, са нешто модернијим захтевима (одређене верзије су познате као System Informer, духовни наследник Process Hacker 2.x).

У 64-битним системима, долази до изражаја деликатно питање: потписивање драјвера у режиму језгра (Потписивање кода у режиму језгра, KMCS). Windows дозвољава учитавање само драјвера потписаних важећим сертификатима које признаје Microsoft, као меру за спречавање руткитова и других злонамерних драјвера.

Драјвер који Process Hacker користи за своје напредније функције можда нема системски прихваћен потпис или је можда потписан тест сертификатима. То значи да, у стандардној 64-битној инсталацији оперативног система WindowsДрајвер се можда неће учитати и неке „дубоке“ функције ће бити онемогућене.

Напредни корисници могу да користе опције као што су активирајте „тестни режим“ за Windows (што омогућава учитавање пробних драјвера) или, у старијим верзијама система, онемогућавање верификације потписа драјвера. Међутим, ови маневри значајно смањују безбедност система, јер отварају врата другим злонамерним драјверима да се провуку неконтролисано.

Чак и без учитаног драјвера, Process Hacker је и даље веома моћан алат за праћењеМоћи ћете да видите процесе, сервисе, мрежу, диск, статистику и многе друге корисне информације. Једноставно ћете изгубити део могућности да прекинете заштићене процесе или приступите одређеним подацима веома ниског нивоа.

У сваком случају, вреди запамтити да ће неки антивирусни програми детектовати Process Hacker као Ризични софтвер или потенцијално нежељени програм (PUP) Управо зато што може ометати безбедносне процесе. Ако га користите легитимно, можете додати изузетке свом безбедносном решењу како бисте спречили лажне аларме, увек будући свесни шта радите.

За свакога ко жели боље да разуме како се њихов Windows понаша, од напредних корисника до стручњака за сајбер безбедност, Имати Process Hacker у свом алату прави огромну разлику када је у питању дијагностиковање, оптимизација или истраживање сложених проблема у систему.