Повний посібник з Process Hacker: розширена альтернатива диспетчеру завдань

Для багатьох користувачів Windows диспетчер завдань не підходить. Саме тому деякі зрештою звертаються до Process Hacker. Цей інструмент здобув популярність серед адміністраторів, розробників та аналітиків безпеки, оскільки дозволяє їм переглядати та керувати системою на рівні, який стандартний диспетчер завдань Windows навіть не може собі уявити.

У цьому вичерпному посібнику ми розглянемо Що таке Process Hacker, як його завантажити та встановитиЩо він пропонує порівняно з диспетчером завдань та провідником процесів, а також як використовувати його для керування процесами, службами, мережею, диском, пам’яттю та навіть дослідження шкідливого програмного забезпечення.

Що таке Process Hacker і чому він такий потужний?

Process Hacker — це, по суті, розширений менеджер процесів для WindowsВін має відкритий вихідний код і повністю безкоштовний. Багато людей описують його як «Диспетчер завдань на стероїдах», і правда в тому, що цей опис цілком йому підходить.

Його мета — дати вам дуже детальний огляд того, що відбувається у вашій системіПроцеси, служби, пам'ять, мережа, диск… і, перш за все, надає вам інструменти для втручання, коли щось зависає, споживає забагато ресурсів або здається підозрілим щодо шкідливого програмного забезпечення. Інтерфейс дещо нагадує Process Explorer, але Process Hacker додає чимало додаткових функцій.

Одна з його сильних сторін полягає в тому, що він може виявляти приховані процеси та завершувати «захищені» процеси який Диспетчер завдань не може закрити. Це досягається завдяки драйверу режиму ядра під назвою KProcessHacker, який дозволяє йому безпосередньо взаємодіяти з ядром Windows з підвищеними привілеями.

Бути проєктом Відкритий вихідний код, код доступний кожномуЦе сприяє прозорості: спільнота може проводити аудит, виявляти недоліки безпеки, пропонувати покращення та гарантувати відсутність прихованих неприємних сюрпризів. Багато компаній та фахівців з кібербезпеки довіряють Process Hacker саме завдяки цій філософії відкритості.

Варто, однак, зазначити, що Деякі антивірусні програми позначають його як «ризикований» або PUP (потенційно небажана програма).Не тому, що воно шкідливе, а тому, що воно має здатність знищувати високочутливі процеси (включно з службами безпеки). Це дуже потужна зброя, і, як і будь-яку зброю, її слід використовувати розсудливо.

Завантажити Process Hacker: версії, портативна версія та вихідний код

Щоб отримати програму, зазвичай потрібно звернутися до їхнього офіційна сторінка OA ваш репозиторій на SourceForge / GitHubТам ви завжди знайдете найновішу версію та короткий огляд можливостей інструменту.

У розділі завантажень ви зазвичай бачите два основні способи для 64-розрядних систем:

• Налаштування (рекомендовано): класичний інсталятор, той, який ми завжди використовували, рекомендований для більшості користувачів.
• Бінарні файли (портативні)портативна версія, яку можна запускати безпосередньо без встановлення.

Варіант налаштування ідеально підходить, якщо ви хочете Залиште Process Hacker вже встановленим.інтегрований з меню «Пуск» та з додатковими опціями (наприклад, заміною диспетчера завдань). Портативна версія, навпаки, ідеально підходить для носити його на USB-накопичувачі та використовувати його на різних комп'ютерах без необхідності встановлення чого-небудь.

Трохи далі вони також зазвичай з'являються 32-розрядні версіїЯкщо ви все ще працюєте зі старим обладнанням. Вони не такі поширені в наші дні, але все ще є середовища, де вони необхідні.

Якщо те, що вас цікавить маніпуляції з вихідним кодом Або ж ви можете скомпілювати власну збірку; на офіційному вебсайті ви знайдете пряме посилання на репозиторій GitHub. Звідти ви можете переглянути код, слідкувати за журналом змін і навіть запропонувати покращення, якщо хочете зробити свій внесок у проєкт.

Програма важить дуже мало, близько кілька мегабайтТож завантаження займає лише кілька секунд, навіть за повільного з’єднання. Після завершення ви можете запустити інсталятор або, якщо ви обрали портативну версію, розпакувати та запустити виконуваний файл безпосередньо.

Покрокова інсталяція у Windows

Якщо ви оберете інсталятор (Setup), процес буде досить типовим для Windows, хоча з Кілька цікавих варіантів, які варто розглянути спокійно.

Щойно ви двічі клацнете на завантаженому файлі, Windows відобразить Контроль облікових записів користувачів (UAC) Вас попередить, що програма хоче внести зміни до системи. Це нормально: Process Hacker потребує певних привілеїв для своєї магії, тому вам доведеться погодитися, щоб продовжити.

Перше, що ви побачите, це майстер встановлення з типовими екран ліцензіїProcess Hacker розповсюджується за ліцензією GNU GPL версії 3, з деякими винятками, згаданими в тексті. Варто ознайомитися з ними, перш ніж продовжувати, особливо якщо ви плануєте використовувати його в корпоративному середовищі.

 

На наступному кроці інсталятор пропонує папка за замовчуванням куди буде скопійовано програму. Якщо шлях за замовчуванням вам не підходить, ви можете змінити його безпосередньо, ввівши інший або скориставшись кнопкою Вклеїти щоб вибрати іншу папку в браузері.

Тоді список компонентів що складають програму: основні файли, ярлики, параметри, пов’язані з драйверами, тощо. Якщо ви хочете повну інсталяцію, найпростіше залишити все позначеним. Якщо ви точно знаєте, що не використовуватимете певну функцію, ви можете зняти її вибір, хоча місця, яке вона займає, буде мінімальним.

Далі асистент запитає вас назва папки в меню «Пуск»Зазвичай пропонується «Process Hacker 2» або щось подібне, що створить нову папку з такою назвою. Якщо ви бажаєте, щоб ярлик відображався в іншій існуючій папці, ви можете натиснути «Огляд» і вибрати його. У вас також є опція Не створюйте папку меню «Пуск». щоб у меню «Пуск» не було створено жодного запису.

На наступному екрані ви побачите набір додаткові варіанти які заслуговують на особливу увагу:

• Створювати чи ні ярлик на робочому столі -і вирішіть, чи це буде лише для вашого користувача чи для всіх користувачів команди.
• Стартап Зломщик процесів під час запуску WindowsІ якщо в такому випадку ви хочете, щоб воно відкривалося згорнутим в області сповіщень.
• Робити що Process Hacker замінює диспетчер завдань Стандарт Windows.
• Встановіть Драйвер KProcessHacker і надайте йому повний доступ до системи (дуже потужний варіант, але не рекомендується, якщо ви не знаєте, що він передбачає).

Після вибору цих налаштувань інсталятор покаже вам зведення конфігурації А коли ви натиснете «Встановити», почнеться копіювання файлів. Ви побачите невеликий індикатор виконання протягом кількох секунд; процес швидкий.

Після завершення асистент повідомить вас про це Встановлення успішно завершено і відобразить кілька вікон:

• Запустіть Process Hacker після закриття майстра.
• Відкрийте журнал змін для встановленої версії.
• Відвідайте офіційний веб-сайт проєкту.

За замовчуванням зазвичай встановлено лише цей прапорець. Запустити хакера процесуЯкщо ви залишите цей параметр як є, після натискання кнопки «Готово» програма відкриється вперше, і ви зможете почати з нею експериментувати.

Як запустити Process Hacker та перші кроки

Якщо під час встановлення ви вирішили створити ярлик на робочому столі, запустити програму буде так само просто, як двічі клацніть на значкуЦе найшвидший спосіб для тих, хто часто ним користується.

Якщо у вас немає прямого доступу, ви завжди можете Відкрийте його з меню «Пуск»Просто натисніть кнопку «Пуск», перейдіть до розділу «Усі програми» та знайдіть папку «Process Hacker 2» (або будь-яку іншу назву, яку ви обрали під час встановлення). Усередині ви знайдете запис програми та зможете відкрити її одним клацанням.

При першому запуску впадає в око те, що Інтерфейс дуже перевантажений інформацією.Не лякайтеся: з невеликою практикою макет стане досить логічним та організованим. Фактично, він відображає набагато більше даних, ніж стандартний Диспетчер завдань, залишаючись при цьому зручним для керування.

Зверху у вас є рядок Основні вкладки: Процеси, Служби, Мережа та ДискКожен з них показує вам різні аспекти системи: запущені процеси, служби та драйвери, мережеві підключення та активність диска відповідно.

На вкладці «Процеси», яка відкривається за замовчуванням, ви побачите всі процеси у вигляді ієрархічного дереваЦе означає, що ви можете швидко визначити, які процеси є батьківськими, а які – дочірніми. Наприклад, часто можна побачити, як Блокнот (notepad.exe) залежить від explorer.exe, як і багато вікон і програм, які ви запускаєте з Провідника.

Вкладка «Процеси»: перевірка та контроль процесів

Перегляд процесу – це серце Process Hacker. Звідси ви можете подивіться, що насправді працює на вашому комп’ютері та швидко приймати рішення, коли щось піде не так.

У списку процесів, окрім назви, такі стовпці, як PID (ідентифікатор процесу), відсоток використання процесора, загальна швидкість вводу/виводу, використовувана пам'ять (приватні байти), користувач, який запускає процес, та короткий опис.

Якщо ви наведете курсор миші та утримуватимете його деякий час над назвою процесу, відкриється вікно. спливаюче вікно з додатковою інформацієюПовний шлях до виконуваного файлу на диску (наприклад, C:\Windows\System32\notepad.exe), точна версія файлу та компанія, яка його підписала (Microsoft Corporation тощо). Ця інформація дуже корисна для розрізнення легітимних процесів від потенційно шкідливих імітацій.

Цікавим є такий аспект Відростки кольорові відповідно до їхнього типу або стану (служби, системні процеси, призупинені процеси тощо). Значення кожного кольору можна переглянути та налаштувати в меню. Хакер > Параметри > Підсвічування, якщо ви хочете адаптувати схему на свій смак.

Якщо клацнути правою кнопкою миші на будь-якому процесі, з'явиться меню контекстне меню з повним набором опційОдна з найвражаючих – це «Властивості», яка відображається виділеною та служить для відкриття вікна з надзвичайно детальною інформацією про процес.

Це вікно властивостей організовано в кілька вкладок (близько одинадцяти)Кожна вкладка зосереджена на певному аспекті. На вкладці «Загальні» показано шлях до виконуваного файлу, командний рядок, що використовується для його запуску, час виконання, батьківський процес, адресу блоку середовища процесу (PEB) та інші низькорівневі дані.

На вкладці «Статистика» відображається розширена статистика: пріоритет процесу, кількість споживаних циклів процесора, обсяг пам'яті, що використовується як самою програмою, так і даними, які вона обробляє, виконувані операції введення/виведення (читання та запис на диск або інші пристрої) тощо.

Вкладка «Продуктивність» пропонує Графіки використання процесора, пам'яті та вводу-виводу Для цього процесу щось дуже корисне для виявлення піків або аномальної поведінки. Тим часом вкладка «Пам’ять» дозволяє перевіряти і навіть безпосереднє редагування вмісту пам'яті процесу, дуже просунуту функціональність, яка зазвичай використовується для налагодження або аналізу шкідливих програм.

Окрім пункту «Властивості», контекстне меню містить низку ключові параметри зверху:

• Припинити: негайно завершує процес.
• Закінчити дерево: закриває вибраний процес та всі його дочірні процеси.
• Призупиняти: тимчасово зупиняє процес, який можна відновити пізніше.
• перезапуск: перезапускає призупинений процес.

Використання цих опцій вимагає обережності, оскільки Хакер процесів може завершувати процеси, які інші менеджери не можуть.Якщо ви завершите роботу чогось критично важливого для системи або важливої ​​програми, ви можете втратити дані або спричинити нестабільність. Це ідеальний інструмент для зупинки шкідливого програмного забезпечення або завислих процесів, але вам потрібно знати, що ви робите.

Далі в тому ж меню ви знайдете налаштування для Пріоритет процесора У опції «Пріоритет» ви можете встановити рівні від «Реальний час» (максимальний пріоритет, процес отримує доступ до процесора щоразу, коли запитує) до «Простою» (мінімальний пріоритет, процес запускається лише тоді, коли нічого іншого не хоче використовувати процесор).

У вас також є можливість Пріоритет вводу/виводуЦей параметр визначає пріоритет процесу для операцій введення/виведення (читання та запис на диск тощо) зі значеннями, такими як Високий, Звичайний, Низький та Дуже низький. Налаштування цих параметрів дозволяє, наприклад, обмежити вплив великої копії або програми, яка перевантажує диск.

Ще одна дуже цікава особливість - ВідправитиЗвідти ви можете надіслати інформацію про процес (або зразок) до різних онлайн-сервісів антивірусного аналізу, що чудово підходить, коли ви підозрюєте, що процес може бути шкідливим, і хочете отримати другу думку, не виконуючи всю роботу вручну.

Керування службами, мережею та дисками

Process Hacker не обмежується лише процесами. Інші основні вкладки надають вам досить чіткий контроль над службами, мережевими підключеннями та активністю диска.

На вкладці «Послуги» ви побачите повний список Служби та драйвери WindowsЦе стосується як активних, так і зупинених служб. Звідси ви можете запускати, зупиняти, призупиняти або відновлювати служби, а також змінювати тип їх запуску (автоматичний, ручний або вимкнений) або обліковий запис користувача, від імені якого вони працюють. Для системних адміністраторів це чисте золото.

На вкладці «Мережа» відображається інформація в режимі реального часу. які процеси встановлюють мережеві з'єднанняЦе включає таку інформацію, як локальні та віддалені IP-адреси, порти та стан з’єднання. Це дуже корисно для виявлення програм, що зв’язуються з підозрілими адресами, або для визначення того, яка програма перевантажує вашу пропускну здатність.

Наприклад, якщо ви зіткнулися з "блокуванням браузера" або веб-сайтом, який блокує ваш браузер постійними діалоговими вікнами, ви можете скористатися вкладкою "Мережа", щоб знайти його. конкретне підключення браузера до цього домену і закрийте його з Process Hacker, без необхідності завершувати весь процес браузера та втрачати всі відкриті вкладки, або навіть блокувати підозрілі з'єднання з CMD якщо ви віддаєте перевагу діям з командного рядка.

На вкладці «Диск» перелічено дії з читання та запису, що виконуються системними процесами. Звідси ви можете виявити програми, що перевантажують диск без видимої причини або виявляти підозрілу поведінку, наприклад, програму, яка записує масивні обсяги даних і може шифрувати файли (типова поведінка деяких програм-вимагачів).

Розширені функції: дескриптори, дампи пам'яті та "викрадені" ресурси

Окрім базового контролю процесів та послуг, Process Hacker включає дуже корисні інструменти для конкретних сценаріївособливо під час видалення заблокованих файлів, дослідження дивних процесів або аналізу поведінки програм.

Дуже практичний варіант – це Пошук дескрипторів або DLL-бібліотекЦя функція доступна з головного меню. Уявіть, що ви намагаєтеся видалити файл, а Windows наполягає на тому, що він «використовується іншим процесом», але не повідомляє, яким саме. За допомогою цієї функції ви можете ввести ім’я файлу (або його частину) у рядок фільтра та натиснути «Знайти».

Програма відстежує дескриптори (ідентифікатори ресурсів) та DLL-бібліотеки Відкрийте список і покажіть результати. Коли ви знайдете потрібний вам файл, клацніть правою кнопкою миші та виберіть «Перейти до процесу-власника», щоб перейти до відповідного процесу на вкладці «Процеси».

Після того, як цей процес буде виділено, ви можете вирішити, чи завершити його (Завершити), щоб опублікувати файл і мати змогу видалити заблоковані файлиПерш ніж ви це зробите, Process Hacker відобразить попередження, яке нагадає вам про можливість втрати даних. Знову ж таки, це потужний інструмент, який може вивести вас із скрутного становища, коли все інше не допомагає, але його слід використовувати з обережністю.

Ще однією вдосконаленою функцією є створення дампи пам'ятіУ контекстному меню процесу можна вибрати «Створити файл дампа…» і вибрати папку, де потрібно зберегти файл .dmp. Ці дампи широко використовуються аналітиками для пошуку текстових рядків, ключів шифрування або індикаторів шкідливого програмного забезпечення за допомогою таких інструментів, як шістнадцяткові редактори, скрипти або правила YARA.

Process Hacker також може впоратися Процеси .NET більш комплексний, ніж деякі аналогічні інструменти, що корисно під час налагодження програм, написаних на цій платформі, або аналізу шкідливого програмного забезпечення на базі .NET.

Зрештою, коли справа доходить до виявлення ресурсоємні процесиПросто клацніть на заголовку стовпця процесора, щоб відсортувати список процесів за використанням процесора, або на приватні байти та загальну швидкість вводу/виводу, щоб визначити, які процеси використовують пам'ять або перевантажують ввод/вивод. Це значно спрощує пошук вузьких місць.

Міркування щодо сумісності, драйверів та безпеки

Історично, Process Hacker працював на Windows XP та пізніші версії, що вимагає .NET Framework 2.0. З часом проект розвивався, і найновіші версії орієнтовані на Windows 10 та Windows 11, як 32-розрядні, так і 64-розрядні, з дещо сучаснішими вимогами (певні збірки відомі як System Informer, духовний наступник Process Hacker 2.x).

У 64-бітних системах виникає делікатна проблема: підписування драйверів у режимі ядра (Підписування коду в режимі ядра, KMCS). Windows дозволяє завантажувати лише драйвери, підписані дійсними сертифікатами, визнаними Microsoft, як захід запобігання руткітам та іншим шкідливим драйверам.

Драйвер, який Process Hacker використовує для своїх розширених функцій, може не мати системно прийнятого підпису або бути підписаний тестовими сертифікатами. Це означає, що у стандартній 64-розрядній інсталяції WindowsДрайвер може не завантажитися, а деякі «глибокі» функції будуть вимкнені.

Досвідчені користувачі можуть скористатися такими опціями, як активувати "тестовий режим" Windows (що дозволяє завантажувати пробні версії драйверів) або, у старіших версіях системи, вимкнення перевірки підпису драйвера. Однак ці маневри значно знижують безпеку системи, оскільки відкривають двері для інших зловмисних драйверів, щоб вони могли безперешкодно прослизнути.

Навіть без завантаженого драйвера, Process Hacker все ще є дуже потужний інструмент моніторингуВи зможете бачити процеси, служби, мережу, диск, статистику та багато іншої корисної інформації. Ви просто втратите частину можливості завершувати захищені процеси або отримувати доступ до певних дуже низькорівневих даних.

У будь-якому випадку, варто пам'ятати, що деякі антивірусні програми виявлятимуть Process Hacker як Ризикове програмне забезпечення або небажане програмне забезпечення Саме тому, що це може перешкоджати процесам безпеки. Якщо ви використовуєте його законно, ви можете додати винятки до свого рішення безпеки, щоб запобігти хибним тривогам, завжди знаючи, що ви робите.

Для всіх, хто хоче краще зрозуміти, як поводиться їхня Windows, від досвідчених користувачів до фахівців з кібербезпеки, Наявність Process Hacker у вашому арсеналі має величезне значення коли настає час діагностувати, оптимізувати або дослідити складні проблеми в системі.