פולשטענדיקער גייד צו פּראָצעס העקער: אַן אַוואַנסירטע אַלטערנאַטיוו צו טאַסק מאַנאַדזשער

פֿאַר אַ סך ווינדאָוס באַניצער, איז טאַסק מענעדזשער נישט גענוג גוט. דעריבער ווענדן זיך עטלעכע צו פּראָצעס העקער. דאָס געצייַג איז געוואָרן פּאָפּולאַר צווישן אַדמיניסטראַטאָרן, דעוועלאָפּערס און זיכערהייט אַנאַליסטן ווייל עס דערמעגלעכט זיי צו זען און קאָנטראָלירן דאָס סיסטעם אויף אַ מדרגה וואָס דער נאָרמאַלער ווינדאָוס טאַסק מענעדזשער קען זיך ניט פֿאָרשטעלן.

אין דעם פולשטענדיקן פירער וועלן מיר איבערקוקן וואָס איז פּראָצעס העקער, ווי אַזוי צו דאַונלאָודן און ינסטאַלירן עסוואָס עס אָפפערט קאַמפּערד צו טאַסק מאַנאַדזשער און פּראָצעס עקספּלאָרער, און ווי צו נוצן עס צו פירן פּראָצעסן, באַדינונגען, נעץ, דיסק, זכּרון, און אפילו אויספאָרשן מאַלוואַרע.

וואָס איז פּראָצעס העקער און פארוואס איז עס אַזוי שטאַרק

פּראָצעס העקער איז, באַסיקלי, אַן אַוואַנסירטער פּראָצעס פאַרוואַלטער פֿאַר ווינדאָוזעס איז אָפֿן מקור און גאָר פֿרײַ. פֿיל מענטשן באַשרײַבן עס ווי "טאַסק מענעדזשער אויף סטערוידן," און די אמת איז, יענע באַשרײַבונג פּאַסט גאַנץ גוט דערצו.

איר ציל איז צו געבן אייך א א זייער דעטאלירטע איבערבליק פון וואס עס טוט זיך אין אייער סיסטעםפּראָצעסן, סערוויסעס, זכּרון, נעץ, דיסק... און, העכער אַלץ, געבן אייך מכשירים צו אריינמישן ווען עפּעס בלייבט שטעקן, פארנוצט צו פיל רעסורסן, אדער קוקט אויס פארדעכטיגט מיט מאַלווער. די צובינד איז עפּעס ענלעך צו פּראָצעס עקספּלאָרער, אָבער פּראָצעס העקער לייגט צו אַ גוטע צאָל עקסטרע פֿעיִקייטן.

איינע פון ​​אירע שטאַרקייטן איז אַז עס קען דעטעקטירן באַהאַלטענע פּראָצעסן און ענדיקן "באַשיצט" פּראָצעסן וואָס דער טאַסק מענעדזשער קען נישט פֿאַרמאַכן. דאָס ווערט דערגרייכט דאַנק אַ קערנעל-מאָד דרייווער גערופֿן KProcessHacker, וואָס דערמעגלעכט עס צו קאָמוניקירן גלייך מיטן Windows קערנעל מיט פֿאַרהויכטע פּריווילעגיעס.

זײַן אַ פּראָיעקט אָפֿן מקור, דער קאָד איז צוטריטלעך פֿאַר יעדןדאָס פֿאַרשטאַרקט טראַנספּאַרענץ: די קהילה קען עס קאָנטראָלירן, דעטעקטירן זיכערהייט חסרונות, פֿאָרשלאָגן פֿאַרבעסערונגען, און זיכער מאַכן אַז עס זענען נישטאָ קיין באַהאַלטענע אומאַנגענעמע איבערראַשונגען. פֿיל פֿירמעס און סייבער-זיכערהייט פּראָפֿעסיאָנאַלן פֿאַרלאָזן זיך אויף Process Hacker פּונקט צוליב דעם אָפֿענעם פֿילאָסאָפֿיע.

עס איז אבער ווערט צו באַמערקן, אַז עטלעכע אַנטיווירוס פּראָגראַמען מאַרקירן עס ווי "ריזיקאַליש" אָדער אַ PUP (פּאָטענציעל אַנוואָנטעד פּראָגראַם).נישט ווייל עס איז בייזוויליק, נאָר ווייל עס האט די מעגלעכקייט צו טייטן העכסט סענסיטיווע פּראָצעסן (אַרייַנגערעכנט זיכערהייט באַדינונגען). עס איז אַ זייער שטאַרקע וואָפן און, ווי אַלע וואָפן, זאָל מען עס נוצן מיט שכל.

דאַונלאָוד פּראָצעס העקער: ווערסיעס, פּאָרטאַטיוו ווערסיע און מקור קאָד

כּדי צו באַקומען די פּראָגראַם, דאַרף מען געוויינטלעך גיין צו זייער אפיציעלע אָאַ בלאַט אייער רעפּאָזיטאָרי אויף SourceForge / GitHubדאָרט וועט איר שטענדיק געפֿינען די לעצטע ווערסיע און אַ שנעלע איבערזיכט פֿון וואָס דער געצייַג קען טאָן.

אין די דאַונלאָודז אָפּטייל וועט איר נאָרמאַלי זען צוויי הויפּט מעטאָדן פֿאַר 64-ביסל סיסטעמען:

• אויפשטעלן (רעקאמענדירט)דער קלאַסישער אינסטאַללער, דער וואָס מיר האָבן שטענדיק געניצט, רעקאָמענדירט פֿאַר רובֿ באַניצער.
• ביינעריס (פּאָרטאַטיוו): פּאָרטאַטיווע ווערסיע, וואָס איר קענט לויפן גלייך אָן אינסטאַלירן.

די סעטאַפּ אָפּציע איז ידעאַל אויב איר ווילט לאָזט פּראָצעס העקער שוין אינסטאַלירט.אינטעגרירט מיטן סטארט מעניו און מיט נאָך אָפּציעס (ווי למשל, פאַרבייטן דעם טאַסק מאַנאַדזשער). די פּאָרטאַטיווע ווערסיע, פֿון דער אַנדערער זייט, איז פּערפֿעקט פֿאַר טראָגט עס אויף אַ USB דרייוו און ניצן עס אויף פארשידענע קאמפיוטערס אָן צו דאַרפֿן צו ינסטאַלירן עפּעס.

אביסל ווייטער אראפ דערשייַנען זיי אויך געוויינטלעך 32-ביט ווערסיעסאויב איר אַרבעט נאָך מיט עלטערע עקוויפּמענט. זיי זענען נישט אַזוי געוויינטלעך די טעג, אָבער עס זענען נאָך סביבות וואו זיי זענען נייטיק.

אויב איר אינטערעסירט ארבעטן מיטן קוואל קאוד אדער קענט איר צוזאמענשטעלן אייער אייגענעם בוי; אויף דער אפיציעלער וועבזייטל וועט איר געפֿינען א דירעקטן לינק צום גיטהאב רעפאזיטארי. פון דארט קענט איר איבערקוקן דעם קאוד, נאכפאלגן דעם טויש-לאג, און אפילו פארשלאגן פארבעסערונגען אויב איר ווילט ביישטייערן צום פראיעקט.

די פּראָגראַם וועגט זייער קליין, אַרום אַ פּאָר מעגאַבייטןאַזוי נעמט דער דאַונלאָוד בלויז אַ פּאָר סעקונדעס, אפילו מיט אַ פּאַמעלעכער פֿאַרבינדונג. אַמאָל עס איז פֿאַרטיק, קענט איר לויפֿן דעם אינסטאַללער אָדער, אויב איר האָט אויסגעקליבן די פּאָרטאַטיווע ווערסיע, עקסטראַקטירן און עפֿענען די עקסעקוטאַבל גלייך.

שריט-ביי-שריט אינסטאַלאַציע אויף ווינדאָוז

אויב איר קלייַבט דעם אינסטאַללער (סעטאַפּ), איז דער פּראָצעס גאַנץ טיפּיש אין ווינדאָוז, כאָטש מיט עטלעכע אינטערעסאנטע אָפּציעס וואָס זענען ווערט צו באַטראַכטן רואיק.

אזוי שנעל ווי איר דריקט צוויי מאל אויף די דאונלאודעד פייל, וועט ווינדאוס ווייזן די באַניצער אַקאַונט קאָנטראָל (UAC) עס וועט אייך וואָרענען אַז די פּראָגראַם וויל מאַכן ענדערונגען אין סיסטעם. דאָס איז נאָרמאַל: פּראָצעס העקער דאַרף געוויסע פּריווילעגיעס צו אַרבעטן זיין מאַגיש, אַזוי איר וועט דאַרפֿן צו אָננעמען צו פאָרזעצן.

דאָס ערשטע וואָס איר וועט זען איז דער אינסטאַלאַציע וויזערד מיט די טיפּישע לייסענס סקריןפּראָצעס העקער ווערט פאַרשפּרייט אונטער דער GNU GPL ווערסיע 3 ליצענץ, מיט עטלעכע ספּעציפֿישע אויסנעמען דערמאָנט אין דעם טעקסט. ס'איז אַ גוטע געדאַנק צו איבערקוקן די איידער איר גייט ווייטער, ספּעציעל אויב איר פּלאַנירט עס צו נוצן אין קאָרפּאָראַטיווע סביבות.

 

אין דעם נעקסטן שריט, רעקאמענדירט דער אינסטאלער אַ דיפאָלט טעקע וואו די פּראָגראַם וועט קאָפּירט ווערן. אויב דער דיפאָלט וועג פּאַסט נישט צו אײַך, קענט איר עס גלייך ענדערן דורך אײַנשרייַבן אַן אַנדערן, אָדער דורך ניצן דעם קנעפּל אָפּפליקן צו אויסקלײַבן אַן אַנדער טעקע אין בראַוזער.

דערנאך די קאָמפּאָנענט רשימה וואָס מאַכן אויס די אַפּליקאַציע: הויפּט טעקעס, שאָרטקאַץ, דרייווער-פֿאַרבונדענע אָפּציעס, אאַז"וו. אויב איר ווילט אַ גאַנצע אינסטאַלאַציע, איז די פּשוטסטע זאַך צו לאָזן אַלץ אָפּגעשטעלט. אויב איר ווייסט זיכער אַז איר וועט נישט נוצן אַ באַזונדערע פֿונקציע, קענט איר עס אָפּזעצן, כאָטש דער פּלאַץ וואָס עס נעמט פֿאַר זיך איז מינימאַל.

דערנאך וועט דער אַסיסטאַנט אייך פרעגן פאר די טעקע נאָמען אין די אָנהייב מעניועס פֿאָרשלאָגט געוויינטלעך "פּראָצעס העקער 2" אָדער עפּעס ענלעכס, וואָס וועט שאַפֿן אַ נייע טעקע מיט דעם נאָמען. אויב איר ווילט אַז דער שאָרטקאַט זאָל דערשייַנען אין אַן אַנדערער עקסיסטירנדיקער טעקע, קענט איר קליקן אויף בלעטערן און עס אויסקלײַבן. איר האָט אויך די אָפּציע. שאַפֿן נישט קיין סטאַרט מעניו טעקע אַזוי אַז קיין איינטראַג ווערט נישט באַשאַפֿן אין דעם סטאַרט מעניו.

אויף דער ווייַטערער פאַרשטעלן וועט איר דערגרייכן אַ סעט פון נאָך אָפּציעס וואָס פֿאַרדינען ספּעציעלע אויפֿמערקזאַמקייט:

• צו שאַפֿן אָדער נישט דורכוועג אויף דעסקטאַפּאון באַשליסן צי עס וועט זיין נאָר פֿאַר דיין באַניצער אָדער פֿאַר אַלע באַניצער אויף דער מאַנשאַפֿט.
• צעריסן פּראָצעס העקער ביי ווינדאָוז סטאַרטאַפּאון אויב אין דעם פאַל ווילט איר אַז עס זאָל זיך עפענען מינימיזירט אין דער אָנזאָג געגנט.
• טוהן וואס פּראָצעס העקער פאַרבייַט טאַסק מאַנאַדזשער ווינדאָוס סטאַנדאַרט.
• ינסטאַלירן די KProcessHacker דרייווער און געבן עס פולן צוטריט צום סיסטעם (א זייער שטארקע אפציע, אבער נישט רעקאמענדירט אויב איר ווייסט נישט וואס דאס באטרעפט).

אַמאָל איר האָט אויסגעקליבן די פּרעפֿערענצן, וועט דער אינסטאַללער ווייַזן אײַך אַ קאָנפיגוראַציע קיצער און ווען איר קליקט אויף "אינסטאלירן", וועט עס אָנהייבן קאָפּירן טעקעס. איר וועט זען אַ קליין פּראָגרעס באַר פֿאַר אַ פּאָר סעקונדעס; דער פּראָצעס איז שנעל.

ווען עס איז פארטיג, וועט דער אסיסטענט אייך מעלדן אז די די אינסטאַלאַציע איז געענדיגט געוואָרן מיט הצלחה און וועט ווייזן עטלעכע קעסטלעך:

• לויפט פראסעס העקער ווען איר פארמאכט דעם וויזארד.
• עפֿנט דעם טשאַנגעלאָג פֿאַר דער אינסטאַלירטער ווערסיע.
• באַזוכט די פּראָיעקט'ס אָפֿיציעלע וועבזייטל.

דורך פעליקייט, איז נאָר די קעסטל געוויינטלעך אָנגעשטעלט. לויפן פּראָצעס העקעראויב איר לאָזט די אָפּציע ווי עס איז, ווען איר קליקט אויף "פאַרטיק" וועט די פּראָגראַם זיך עפענען צום ערשטן מאָל און איר קענט אָנהייבן עקספּערימענטירן דערמיט.

ווי אזוי צו אָנהייבן פּראָצעס העקער און ערשטע טריט

אויב איר האָט אויסגעקליבן צו שאַפֿן אַ דעסקטאַפּ דורכוועג בעת דער אינסטאַלאַציע, וועט די פּראָגראַם אָנהייבן זיין אַזוי פּשוט ווי טאָפּל-קליק אויף דעם בילדלדאָס איז דער שנעלסטער וועג פֿאַר יענע וואָס נוצן עס אָפֿט.

אויב איר האָט נישט קיין דירעקטן צוטריט, קענט איר שטענדיק עפֿנט עס פֿון די אָנהייב מעניופשוט דריקט דעם סטארט קנעפל, גייט צו "אלע אפליקאציעס," און זוכט דעם "פראצעס העקער 2" טעקע (אדער וועלכן נאמען איר האט אויסגעקליבן בעת ​​דער אינסטאלאציע). אינעווייניק וועט איר געפינען דעם פראגראם איינטראג און קענט עס עפענען מיט א קליק.

דאס ערשטע מאל וואס עס הייבט זיך אן, וואס שטייט ארויס איז אז די די אינטערפֿייס איז זייער איבערגעלאָדן מיט אינפֿאָרמאַציע.זייט נישט דערשראָקן: מיט אַ ביסל פּראַקטיק ווערט די אויסשטעל גאַנץ לאָגיש און אָרגאַניזירט. אין פאַקט, עס ווייזט פיל מער דאַטן ווי דער נאָרמאַלער טאַסק מאַנאַדזשער, בשעת עס בלייבט נאָך גרינג צו קאָנטראָלירן.

אויבן האט איר א רייע פון הויפּט טאַבס: פּראָצעסן, סערוויסעס, נעץ, און דיסקיעדער איינער ווייזט אייך אן אנדערן אספעקט פון די סיסטעם: לויפן פראצעסן, סערוויסעס און דרייווערס, נעץ פארבינדונגען, און דיסק אקטיוויטעט, ריספּעקטיוולי.

אין די פּראָצעסן קוויטל, וואָס איז דער וואָס עפֿנט זיך דורך דיפאָלט, וועט איר זען אַלע פּראָצעסן אין דער פֿאָרעם פֿון אַ כייעראַרקישן בויםדאָס מיינט אַז איר קענט שנעל אידענטיפיצירן וועלכע פּראָצעסן זענען עלטערן און וועלכע זענען קינדער. למשל, עס איז געוויינטלעך צו זען נאָטעפּאַד (notepad.exe) אָפענגיק אויף explorer.exe, ווי אויך פילע פֿענצטער און אַפּליקאַציעס וואָס איר עפֿנט פֿון דעם עקספּלאָרער.

פּראָצעסן קוויטל: פּראָצעס דורכקוק און קאָנטראָל

די פּראָצעס וויו איז די האַרץ פון פּראָצעס העקער. פֿון דאָ קענט איר זען וואָס גייט טאַקע אויף אייער מאַשין און מאַכן שנעלע באַשלוסן ווען עפּעס גייט שלעכט.

אין דער פּראָצעס ליסטע, אין דערצו צום נאָמען, קאָלומס ווי די פּיד (פּראָצעס אידענטיפיצירער), פראצענט פון CPU גענוצט, גאנצע I/O ראטע, זכרון אין באנוץ (פריוואטע בייטס), באניצער וואס לויפט דעם פראצעס און א קורצע באשרייבונג.

אויב איר באַוועגט די מויז און האַלט עס פֿאַר אַ מאָמענט איבער דעם נאָמען פֿון אַ פּראָצעס, וועט זיך עפֿענען אַ פֿענצטער. אויפֿשפּרינג קעסטל מיט נאָך פרטיםדער גאַנצער דרך צום עקסעקוטאַבלעם אויף דיסק (למשל, C:\Windows\System32\notepad.exe), די גענויע ווערסיע פון ​​דער טעקע, און די פירמע וואָס האָט עס אונטערגעשריבן (Microsoft Corporation, אאז"וו). די אינפֿאָרמאַציע איז זייער נוצלעך צו אונטערשיידן לעגיטימע פּראָצעסן פון פּאָטענציעל בייזע נאָכמאַכונגען.

איין אינטערעסאנטער אַספּעקט איז אַז די פּראָצעסן זענען קאָלירט לויט זייער טיפ אדער צושטאנד (סערוויסעס, סיסטעם פראצעסן, אפגעשטעלטע פראצעסן, א.א.וו.). די באדייטונג פון יעדן קאליר קען געזען און צוגעפאסט ווערן אין מעניו. העקער > אָפּציעס > כיילייטינג, אויב איר ווילט אַדאַפּטירן די סכעמע צו אייער געשמאַק.

אויב איר רעכט-קליק אויף יעדן פּראָצעס, וועט אַ מעניו דערשייַנען קאָנטעקסט מעניו פול מיט אָפּציעסאיינע פון ​​די מערסט אויפפאלנדע איז אייגנשאפטן, וואס דערשיינט ארויסגעצייכנט און סערווירט צו עפענען א פענצטער מיט גאר דעטאלירטע אינפארמאציע וועגן דעם פראצעס.

יענע אייגנשאפטן פֿענצטער איז אָרגאַניזירט אין קייפל טאַבס (ארום עלף)יעדע טאַב פאָקוסירט אויף אַ ספּעציפֿישן אַספּעקט. די "אַלגעמיין" טאַב ווײַזט דעם עקסעקוטאַבלע דרך, די קאָמאַנד ליניע געניצט צו עס לאָנטשן, די לויף צײַט, דער פאָטער פּראָצעס, די פּראָצעס סביבה בלאָק (PEB) אַדרעס, און אַנדערע נידעריק-לעוועל דאַטן.

די סטאַטיסטיק קוויטל ווייזט אַוואַנסירטע סטאַטיסטיק: פּראָצעס בילכערקייַט, צאָל פון CPU ציקלען קאָנסומירט, סומע פון ​​זכּרון געניצט דורך ביידע די פּראָגראַם זיך און די דאַטן וואָס עס כאַנדלט, אַרייַנשרייַב/אויסגאַנג אָפּעראַציעס דורכגעפירט (לייענט און שרייבט צו דיסק אָדער אנדערע דעוויסעס), עטק.

די פאָרשטעלונג קוויטל אָפפערס CPU, זכּרון, און I/O באַניץ גראַפס פֿאַר יענעם פּראָצעס, עפּעס זייער נוצלעך פֿאַר דעטעקטירן שפּיצן אָדער אַנאָמאַלע נאַטור. דערווייל, דער זכּרון קוויטל אַלאַוז איר צו דורכקוקן און אפילו גלייך רעדאַקטירן דעם אינהאַלט פֿון דער זכּרון פון דעם פּראָצעס, אַ זייער אַוואַנסירטע פאַנגקשאַנאַליטי וואָס ווערט געוויינטלעך געניצט אין דיבאַגינג אָדער מאַלוואַרע אַנאַליז.

אין צוגאב צו אייגנשאפטן, כולל דער קאנטעקסט מעניו א צאל פון שליסל אָפּציעס אויבן:

• פאַרענדיקן: ענדיגט דעם פּראָצעס גלייך.
• ענדיקן בוים: שליסט דעם אויסגעקליבענעם פּראָצעס און אַלע זיינע קינד־פּראָצעסן.
• ופהענגען: פארפֿרירט צייטווייליג דעם פּראָצעס, וואָס קען שפּעטער ווידער אָנגענומען ווערן.
• הייב אן נאכאמאל: הייבט אן ווידער א פראצעס וואס איז געווארן אפגעשטעלט.

ניצן די אָפּציעס פארלאנגט פֿאָרזיכטיקייט, ווייל פּראָצעס העקער קען ענדיקן פּראָצעסן וואָס אַנדערע מאַנאַדזשערז קענען נישט.אויב איר הרגעט עפּעס קריטיש צום סיסטעם אָדער אַ וויכטיקע אַפּליקאַציע, קענט איר פאַרלירן דאַטן אָדער פאַראורזאַכן ינסטאַביליטי. דאָס איז אַן אידעאַל געצייַג צו האַלטן מאַלוואַרע אָדער נישט-רעספּאָנסיווע פּראָצעסן, אָבער איר דאַרפט וויסן וואָס איר טוט.

ווייטער אראפ אין דעם זעלבן מעניו, וועט איר געפינען סעטינגס פאר CPU פּריאָריטעט אין דער פּריאָריטעט אָפּציע, קענט איר שטעלן לעוועלס פון רעאַל-צייט (מאַקסימום פּריאָריטעט, דער פּראָצעס באַקומט דעם פּראַסעסער ווען ער בעט עס) ביז ליידיק (מינימום פּריאָריטעט, עס לויפט נאָר אויב גאָרנישט אַנדערש וויל נוצן די סי-פּי-יו).

איר אויך האָבן די אָפּציע I/O פּריאָריטעטדי סעטינג דעפינירט די פראצעס פריאריטעט פאר אינפוט/אויטפוט אפעראציעס (לייענען און שרייבן צו דיסק, א.א.וו.) מיט ווערטן ווי הויך, נארמאל, נידעריג, און זייער נידעריג. אדזשאַסטירן די אָפּציעס ערלויבט אייך, למשל, צו באגרענעצן דעם אימפּאַקט פון א גרויסער קאפיע אדער א פּראָגראַם וואָס זעטיגט דעם דיסק.

נאך א גאר אינטערעסאנטע אייגנשאפט איז שיקן צופון דארט קענט איר שיקן אינפארמאציע וועגן דעם פראצעס (אדער א מוסטער) צו פארשידענע אנליין אנטי-ווירוס אנאליז סערוויסעס, וואס איז גוט ווען איר פארדעכטיגט אז א פראצעס קען זיין בייזוויליג און ווילט א צווייטע מיינונג אן דארפן טאן אלע ארבעט מיט די האנט.

סערוויס, נעץ, און דיסק פאַרוואַלטונג

פּראָצעס העקער פאָקוסירט נישט נאָר אויף פּראָצעסן. די אַנדערע הויפּט טאַבס געבן אײַך אַ גאַנץ פיינע קאָנטראָל איבער סערוויסעס, נעץ קאַנעקשאַנז און דיסק טעטיקייט.

אויף די סערוויסעס קוויטל וועט איר זען א פולשטענדיגע ליסטע פון ווינדאָוס סערוויסעס און דרייווערסדאָס נעמט אַרײַן סײַ אַקטיווע און סײַ אָפּגעשטעלטע סערוויסעס. פֿון דאָ קענט איר אָנהייבן, אָפּשטעלן, פּויזירן אָדער ווידער אָנהייבן סערוויסעס, ווי אויך ענדערן זייער סטאַרטאַפּ טיפּ (אָטאָמאַטיש, מאַנועל אָדער דיסייבאַלד) אָדער דעם באַניצער חשבון אונטער וועלכן זיי לויפֿן. פֿאַר סיסטעם אַדמיניסטראַטאָרן איז דאָס ריין גאָלד.

די נעטוואָרק קוויטל ווײַזט אינפֿאָרמאַציע אין רעאַל-צײַט. וועלכע פּראָצעסן שאַפֿן נעץ פֿאַרבינדונגעןדאָס נעמט אַרײַן אינפֿאָרמאַציע ווי לאָקאַלע און ווײַטע IP אַדרעסן, פּאָרטן, און פֿאַרבינדונג סטאַטוס. דאָס איז זייער נוצלעך צו דעטעקטירן פּראָגראַמען וואָס קאָמוניקירן מיט פֿאַרדעכטיקע אַדרעסן אָדער צו ידענטיפֿיצירן וועלכע אַפּליקאַציע זעטיגט אײַער באַנדווידט.

למשל, אויב איר טרעפט אַ "ברעו-לאָק" אדער אַ וועבזייטל וואָס בלאָקירט אייער בלעטערער מיט קעסיידערדיקע דיאַלאָג קעסטלעך, קענט איר נוצן די נעטוואָרק קוויטל צו געפֿינען עס. דעם בלעטערער'ס ספעציפישע פֿאַרבינדונג צו יענעם דאָמעין און עס צו פארמאכן פון פראסעס העקער, אן דארפן הרגענען דעם גאנצן בראַוזער פּראָצעס און פארלירן אלע אפענע טאַבס, אדער אפילו בלאקירן פארדעכטיקע פארבינדונגען פון CMD אויב איר בעפארצוגט צו האַנדלען פֿון דער באַפֿעל ליניע.

די דיסק קוויטל ליסטירט די לייען און שרייבן אקטיוויטעטן וואס סיסטעם פראצעסן האבן דורכגעפירט. פון דא קענט איר דעטעקטירן אַפּליקאַציעס וואָס איבערלאָדן דעם דיסק אָן קלאָרע סיבה אָדער אידענטיפיצירן פארדעכטיקע אויפפירונג, ווי למשל אַ פּראָגראַם וואָס שרייבט מאַסיוו און קען ענקריפּשאַן טעקעס (טיפּיש אויפפירונג פון עטלעכע ראַנסאָמווער).

פארגעשריטענע פֿעיִטשערז: הענטלעך, זכּרון דאַמפּס, און "געכאפטע" רעסורסן

אין צוגאב צו גרונטלעכע פּראָצעס און סערוויס קאָנטראָל, פּראָצעס העקער ינקאָרפּערייץ זייער נוצלעכע מכשירים פֿאַר ספּעציפֿישע סינעריאָסספּעציעל ווען מען אויסמעקט פארשלאסענע טעקעס, אויספארשט מאָדנע פּראָצעסן, אדער אנאליזירט אַפּליקאַציע נאַטור.

א זייער פּראַקטישע אָפּציע איז געפֿינען הענטלעך אדער DLLsדי פונקציע איז צוטריטלעך פון די הויפט מעניו. שטעלט זיך פאר אז איר פרובירט צו אויסמעקן א טעקע און ווינדאוס באשטייט אז עס "ווערט גענוצט דורך אן אנדער פראצעס" אבער זאגט נישט וועלכע. מיט דער פונקציע קענט איר אריינשרייבן דעם טעקע נאמען (אדער א טייל דערפון) אין די פילטער באר און קליקן זוכן.

די פּראָגראַם פֿאַרפֿאָלגט די הענטלעך (רעסורס אידענטיפיצירערס) און DLLs עפֿנט די ליסטע און ווײַזט די רעזולטאַטן. ווען איר געפֿינט די טעקע וואָס אינטערעסירט אײַך, קענט איר רעכט-קליקן און אויסקלײַבן "גיי צום באַזיצער פּראָצעס" צו שפּרינגען צום קאָרעספּאָנדירנדיקן פּראָצעס אין דער פּראָצעסן קוויטל.

אַמאָל יענער פּראָצעס איז כיילייטיד, קענט איר באַשליסן צי צו ענדיקן עס (טערמינירן) צו ארויסגעבן דעם פייל און קענען אויסמעקן פארשלאסענע טעקעסאיידער איר טוט דאָס, וועט פּראָצעס העקער ווייַזן אַ ווארענונג וואָס דערמאָנט אייך אַז איר קענט פאַרלירן דאַטן. ווידער, עס איז אַ שטאַרק געצייַג וואָס קען אייך אַרויסהעלפן פון אַ שווערע לאַגע ווען אַלץ אַנדערש פיילז, אָבער עס זאָל געניצט ווערן מיט וואָרענונג.

נאך א פארגעשריטענע אייגנשאפט איז די שאַפונג פון זכּרון דאַמפּספֿון אַ פּראָצעס'ס קאָנטעקסט מעניו, קענט איר אויסקלײַבן "שאַפֿן דאַמפּ טעקע..." און אויסקלײַבן דעם טעקע וואו איר ווילט ראַטעווען דעם .dmp טעקע. די דאַמפּס ווערן ברייט גענוצט דורך אַנאַליסטן צו זוכן טעקסט סטרינגס, ענקריפּשאַן שליסלען, אָדער מאַלוואַרע אינדיקאַטאָרן מיט מכשירים ווי העקס רעדאַקטאָרן, סקריפּטן, אָדער YARA כּללים.

פּראָצעס העקער קען אויך האַנדלען .NET פּראָצעסן מער קאָמפּרעהענסיוו ווי עטלעכע ענלעכע מכשירים, וואָס איז נוצלעך ווען מען דיבאַגט אַפּליקאַציעס געשריבן אויף יענער פּלאַטפאָרמע אָדער אַנאַליזירט מאַלוואַרע באַזירט אויף .NET.

צום סוף, ווען עס קומט צו דערקענען רעסורסן-פארברויכנדיקע פראצעסןפשוט גיט א קליק אויפן CPU קאלום קעפל צו סארטירן די פראצעס ליסטע לויט פראצעסאר באנוץ, אדער אויף פריוואטע בייטס און I/O טאטאל ראטע צו אידענטיפיצירן וועלכע פראצעסן פארנוצן זכרון אדער איבערלאדן I/O. דאס מאכט עס זייער גרינג צו געפינען די שווערע פלעשלעך.

קאָמפּאַטאַביליטי, דרייווער, און זיכערהייט באַטראַכטונגען

היסטאָריש, פּראָצעס העקער האָט געאַרבעט אויף ווינדאָוס XP און שפּעטערע ווערסיעס, וואס פארלאנגט .NET Framework 2.0. מיט דער צייט האט זיך דער פראיעקט אנטוויקלט, און די לעצטע ווערסיעס זענען געצילט צו Windows 10 און Windows 11, ביידע 32 און 64 ביטס, מיט עטוואס מער מאדערנע באדערפענישן (געוויסע בילדס זענען באקאנט אלס System Informer, גייסטיקער נאכפאלגער צו Process Hacker 2.x).

אין 64-ביט סיסטעמען, קומט אריין א שווערע פראבלעם: קערנעל-מאָד דרייווער אונטערשרייבונג (קערנעל-מאָד קאָוד סיינינג, KMCS). ווינדאָוס ערלויבט נאָר צו לאָדן דרייווערס אונטערגעשריבן מיט גילטיקע סערטיפיקאַטן אנערקענט דורך מייקראָסאָפֿט, ווי אַ מאָס צו פאַרמייַדן רוטקיטס און אַנדערע בייזוויליקע דרייווערס.

דער דרייווער וואָס פּראָצעס העקער ניצט פֿאַר זייַנע מער אַוואַנסירטע פֿונקציעס קען נישט האָבן אַ סיסטעם-אַקסעפּטירטע אונטערשרריפֿט, אָדער עס קען זיין אונטערגעשריבן מיט טעסט סערטיפֿיקאַטן. דאָס מיינט אַז, אין אַ נאָרמאַל 64-ביט ווינדאָוז אינסטאַלאַציעדער דרייווער קען נישט לאָדן זיך און עטלעכע "טיף" פֿעיִטשערז וועלן זיין דיאַקטיווירט.

אַוואַנסירטע באַניצער קענען נוצן אָפּציעס ווי אַקטיווירן ווינדאָוז "טעסט מאָדע" (וואָס ערלויבט לאָדן פּראָבע דרייווערס) אָדער, אין עלטערע ווערסיעס פון דעם סיסטעם, דיאַקטיווירן דרייווער אונטערשריפט וועריפיקאַציע. אָבער, די מאַנעווערס רעדוצירן באַדייטנד סיסטעם זיכערהייט, ווייל זיי עפֿענען די טיר פֿאַר אַנדערע בייזוויליקע דרייווערס צו דורכגיין אומקאָנטראָלירט.

אפילו אָן אַ דרייווער לאָודיד, איז פּראָצעס העקער נאָך אַ זייער שטאַרק מאָניטאָרינג געצייַגאיר וועט קענען זען פּראָצעסן, סערוויסעס, נעץ, דיסק, סטאַטיסטיק, און פיל אַנדערע נוצלעכע אינפֿאָרמאַציע. איר וועט פשוט פאַרלירן אַ טייל פון אייער מעגלעכקייט צו ענדיקן באַשיצטע פּראָצעסן אָדער צוטריט צו געוויסע זייער נידעריק-לעוועל דאַטן.

אין יעדן פאַל, איז ווערט צו געדענקען אַז עטלעכע אַנטיווירוס פּראָגראַמען וועלן דעטעקטירן פּראָצעס העקער ווי ריזיקעווער אדער PUP פּונקט ווייל עס קען זיך אַריינמישן מיט זיכערהייט פּראָצעסן. אויב איר ניצט עס לעגיטימאַט, קענט איר צולייגן אויסשליסונגען צו אייער זיכערהייט לייזונג צו פאַרמייַדן פאַלשע אַלאַרמען, שטענדיק זייענדיק באַוואוסטזיניק וואָס איר טוט.

פֿאַר ווער עס וויל בעסער פֿאַרשטיין ווי זייער ווינדאָוס פֿירט זיך, פֿון פֿאָרגעשריטענע באַניצער ביז סייבער-זיכערהייט פּראָפֿעסיאָנאַלן, האבן פראסעס העקער אין אייער טולבאקס מאכט א ריזיקן חילוק ווען עס קומט צייט צו דיאַגנאָזירן, אָפּטימיזירן אָדער אויספאָרשן קאָמפּליצירטע פּראָבלעמען אין דער סיסטעם.