Process hacker как пользоваться как найти вирус

Process Hacker: программа для управления процессами и поиска вредоносных программ

Windows Диспетчер задач — очень мощный инструмент. Благодаря ему мы можем знать все программы, которые загружаются в память, и процессы, которые выполняются в реальном времени. Однако для пользователей, которые хотят или нуждаются в дополнительных сведениях о процессах, выполняемых на компьютере, этот инструмент может оказаться недостаточным. Следовательно, необходимо всегда иметь под рукой более полные диспетчеры задач, которые позволяют нам знать в реальном времени состояние нашего компьютера, как в случае с Хакер процесса.

Process Hacker — это полноценный инструмент для Windows, полностью бесплатный и с открытым исходным кодом, предназначенный для замены диспетчера задач Windows для пользователей, которым требуется гораздо больший контроль над процессами на ПК.

Как мы видим, основной интерфейс гораздо более полный и подробный, чем интерфейс самого диспетчера задач Windows. Кроме того, его намного легче читать, поскольку каждый процесс имеет правильно помеченные потоки.

Если мы щелкнем правой кнопкой мыши по любому из процессов, которые мы открыли на ПК, мы сможем увидеть список действий, которые мы можем выбрать. Среди них мы сможем завершить любой процесс, целое дерево процессов и даже изменить приоритеты или искать дополнительную информацию о рассматриваемом процессе в Интернете.

Наряду с открытыми процессами, эта программа также позволяет нам контролировать службы, работающие на ПК. И, конечно, мы также будем контролировать их.

Особенности Process Hacker

Одной из особенностей этой программы является возможность отображения графики о состоянии оборудования в режиме реального времени. С использованием Сочетание клавиш Control + I мы всегда сможем узнать об использовании памяти, графики и ЦП нашего ПК. Благодаря этому простому монитору мы сможем узнать, работает ли какой-либо компонент (например, ядро ​​ЦП) на полную мощность, имея отправную точку при расследовании, например, неисправности Windows.

Еще одной из его основных функций является возможность сообщить нам, блокирует ли процесс определенный файл или папку. Использование сочетания клавиш Ctrl + F мы сможем увидеть поиск конкретных процессов и библиотек DLL, так что, если какой-либо файл создает проблемы для его устранения, мы можем легко это сделать.

Если наш Интернет работает медленно, другой функцией Process Hacker, которую мы можем использовать, является его сетевой анализатор. В пределах Cеть На вкладке главного окна мы сможем найти все процессы, которые имеют активное интернет-соединение. Таким образом, если какой-либо из них не будет подключен, мы можем принудительно завершить процесс.

Эта программа также позволяет нам знать в режиме реального времени активность нашего диска , Очень важная особенность, благодаря которой мы сможем узнать приоритет ввода / вывода каждого процесса и узнать, что что-то делает с устройством без разрешения.

Другие выдающиеся функции этой программы являются:

• Это позволяет узнать в режиме реального времени об использовании WOW64 и .NET.
• Имеет функцию создания, редактирования и управления сервисами.
• Очень маленький, портативный и 100% открытый исходный код с лицензией GPLv3.
• KProcessHacker, драйвер режима ядра для доступа к ядру Windows.

Инструмент разработчика

Возможности, предлагаемые этим диспетчером задач для Windows, очень велики. И хотя вышеперечисленные являются основными функциями этой программы, конечно, они не единственные. Process Hacker — это программа, широко используемая программистами, поскольку она позволяет нам выгружать информацию из памяти любого процесса в режиме реального времени.

Благодаря «Свалка» Опцию мы можем получить сырой дамп памяти, чтобы проанализировать, что именно происходило в памяти нашего ПК. И, кроме того, он имеет «Отладка» инструмент, который позволяет нам отлаживать любой процесс в режиме реального времени.

И это также позволяет нам видеть всю информацию о любом исполняемом файле, чтобы мы могли легко знать, что он делает или к каким библиотекам он имеет доступ.

Опасное использование

В хороших руках Process Hacker — очень мощный инструмент, который позволяет нам полностью контролировать все, что работает на нашем ПК. Однако в чужих руках это может быть опасный инструмент.

Это программное обеспечение позволяет вам завершить любой процесс, который выполняется на нашем ПК. В том числе программы безопасности и антивирус. Поэтому есть группы хакеров, которые используют этот инструмент в фоновом режиме, чтобы завершить или заблокировать антивирусные процессы.

Скачать Process Hacker

Эта программа является полностью бесплатной и с открытым исходным кодом. Если мы хотим использовать его, мы можем загрузить последнюю версию, доступную с Следующая ссылка , Эта программа совместима как с 32-битными, так и с 64-битными системами. И мы можем запустить его в Windows 7, 8.1 и Windows 10. Кроме того, если у нас более старая система, такая как XP или Vista, мы можем загрузить версию «Legacy», которая работает в этих старых выпусках.

Наконец, мы можем выбрать между устанавливаемой версией, чтобы всегда иметь под рукой программу, или переносной версией, гораздо более удобной и которую мы всегда можем носить с собой вручную по USB.

Другие альтернативы для замены диспетчера задач

Помимо Process Hacker, в сети мы также можем найти другие программы, предназначенные для замены диспетчера задач Windows. Некоторые из наиболее важных являются:

• Process Explorer : Бесплатный проводник процессов, разработанный Microsoft для тех, кому нужна дополнительная функциональность. Это позволяет нам контролировать все, что работает на ПК, библиотеки DLL, которые используются. Кроме того, он интегрируется с Virus Total для анализа того, являются ли все процессы безопасными или некоторые из них были созданы вредоносным ПО.
• System Explorer : другая альтернатива, несколько более простая, чем предыдущие, которая позволяет нам контролировать все, что работает на нашем компьютере. Как и Process Explorer, эта программа может проверять VirusTotal, если какой-либо из открытых процессов является вирусом, и также получает второе мнение от File Database.

Источник статьи: http://itigic.com/ru/process-hacker-control-processes-find-malware/

Process Hacker — Официальная версия на русском языке

Это инструмент с открытым исходным кодом, который позволит вам увидеть, какие процессы запущены на устройстве, определить программы, которые потребляют ресурсы процессора, и определить сетевые соединения, связанные с процессом.

Можете скачать программу Process Hacker на русском языке для компьютеров с Windows.

По версии официального сайта фанов програмы, она имеет оценку 4.7.

Информация о программе

Системные требования

Вирус при открытии Процесс хакер

Софт на 100% безопасен для использования. Некоторые поставщики антивирусных средств могут классифицировать его как «инструмент для взлома», и по этой причине некоторые антивирусные программы могут выдавать предупреждения в своих средствах безопасности о Процесс хакер. Это не означает, что утилита содержит вирус.

Интерфейс программы

Программа имеет приятный интерфейс, похожий на стандартный диспетчер задач.

Как пользоваться

Возможности программы

Process Hacker — это приложение, которое помогает пользователям просматривать и управлять процессами и их потоками, службами, модулями и памятью со своего компьютера в режиме реального времени. Также доступна портативная версия. Программа поставляется только для операционной системы Windows. Скачать последнюю версию утилиты можно на нашем сайте. Программа имеет такие возможности:

• Позволяет инжектить dll библиотеки в игры;
• Просмотр процессов в древовидном представлении с подсветкой;
• Просмотр подробной статистики процесса и графиков производительности в режиме реального времени;
• Всплывающие подсказки процессов детализированы и показывают контекстно-зависимую информацию;
• Выбор нескольких процессов, их завершение, приостановка или возобновление;
• Просмотр списка сетевых подключений;
• Выбор нескольких потоков и возможность завершения, приостановки или возобновления их выполнения;
• Принудительное завершение потоков;
• Просмотр полной информации о токенах, включая пользователя, владельца, основную группу, идентификатор сеанса, статус повышения и т.д.;
• Просмотр групп токенов;

Видео-урок с подробным описанием всех функций программы.

Обозначение цветов

На данном скрине можно увидеть какую функцию выполняет программа и какой цвет она имеет.

Обозначение процессов по цветам

Источник статьи: http://processhacker2.ru/

Расширенный диспетчер задач Process Hacker

Process Hacker – это ни что иное, как диспетчер задач для 32 или 64 битных систем Windows. Интерес к программе может возникнуть у тех пользователей, кто разрабатывает программное обеспечение, либо заподозрил проникновение на компьютер вирусов, троянов, майнеров и прочей нечисти, но обнаружить которые при помощи стандартного диспетчера задач — не получается.

В отличие от штатного диспетчера задач, Process Hacker предоставляет больше возможностей по управлению процессами. На каждый процесс имеется детальная информация о пути расположения, используемых библиотеках и даже о времени запуска и работы самого процесса.

Поддерживаются следующие версии ОС Windows (32 и 64-битные): Windows XP (SP2)/Vista/7/8/10

Возможности

Встроенный монитор ресурсов, жестких дисков и портов поможет проанализировать работу системных процессов в реальном времени, а также их активность в сети. Во вкладке «Process» можно проводить разного рода манипуляции, а именно:

• Задавать приоритет как по исполнению программ, так и по обращению к жестким дискам;
• Подсвечивать системные и несистемные процессы, выделять подозрительные;
• Смотреть загруженность в процентном соотношении;
• Следить за скоростью ввода/вывода данных каждого процесса;
• Следить за объемом данных в оперативной памяти;
• Замораживать или убивать процессы и подпроцессы;
• Нарушать штатный режим работы для выявления недостатков;
• Настроить дополнительные колонки с подробным описанием и действием для каждой запущенной программы, которых не видно при стандартных настройках.

В диспетчере Windows нет и половины того функционала, что есть в Process Hacker.

Отлов ненужных процессов

Предположим, перед продажей ноутбука производитель установил в него кучу программ, которые грузятся автозапуском при старте системы. Однако автозагрузчик от производителя никак не связан с автозапуском из штатной оболочки системы, и непонятно каким образом грузятся программы. С помощью диспетчера задач выключить сторонний софт не получается, а в планировщике заданий отсутствуют все упоминания о загрузке хитрых программ. Остается воспользоваться специальной утилитой по поиску стороннего автозагрузчика через системные процессы.

С помощью Process Hacker можно отыскать программы, запускаемые при старте системы, а через них можно увидеть сопроцесс, помогающий им запуститься. Остается через контекстное меню найти директорию и удалить надоедливый файл.

Стоит отметить, что не все процессы закрываются безболезненно. После «убийства» жизненно важного компонента система может «рухнуть» из-за критических изменений в работе вплоть до вылета на синий экран смерти. Системные процессы лучше не трогать.

Сбой программ и не реагирование системы на действия пользователя

Когда речь заходит о глюках программы, не помешает иметь под рукой мощный инструмент, решающий все проблемы.
Сложные и пиратские программы могут зависать в процессе использования, а для их перезапуска нужно выгрузить дочерние компоненты из диспетчера задач или перезагружать весь компьютер. В первом случае сбойный процесс нередко отказывается выгружаться штатным способом. Однако, прибегнув к алгоритмам Process Hacker, справиться с ним будет намного проще.

Зависшие диалоговые окна

Бывают случаи, когда диалоговое окно зависает на рабочем столе и не исчезает без принудительного завершения процесса. Чаще всего данная проблема возникают при удалении папки или файла, когда Windows ругается на ее использование другим приложением. Вопрос один — каким именно?
Функционал Process Hacker позволяет отыскать зависшие и зависимые процессы, мешающие корректно обработать команды от пользователя. На случай, если процесс неизвестен, его можно отыскать с помощью инструмента «поиск процесса по активному окну» и закрыть принудительно.

В версии программы 2.35 имелся пункт Terminator, позволяющий выгрузить процесс из оперативной памяти более чем десятью способами. В некоторых случаях это приводило к вылету системы. В версии 2.39 этот пункт убрали.

Поиск вирусов

Когда речь заходит о вирусах, неопытные пользователи пытаются отловить процесс в штатном диспетчере задач. Злоумышленники давно научились прятать вредоносный код под именем обычного компонента системы, а то и вовсе скрывать хакерскую программу из окон штатного монитора, поэтому искать вирус данным способом бессмысленно и бесполезно.

Process Hacker использует собственное ядро системы, интегрирующееся на низком уровне с процессором, поэтому вирусу не удастся замаскироваться от него под именем системного ресурса. Чужеродный процесс будет виден, как на ладони.
Поскольку программа подсвечивает каждый запущенный процесс определенным цветом, можно визуально определить какой из них системный, а какой является вредоносным. К примеру:

• Желтым цветом показываются программы, запущенные от имени пользователя;
• Голубые содержат внутренние подпроцессы;
• Фиолетовый цвет указывает на подозрительные пакованные файлы, обычно используемые злоумышленниками. При поиске малварей им стоит уделять особое внимание.

Контекстное меню

Контекстное меню богато настройками и функционалом:

• Завершать процессы по одному или закрыть сразу дерево исполняемых файлов;
• Заморозить действующую программу;
• Внедрить .dll библиотеку в основной процесс;
• Искать подпрограммы, запущенные вместе с основным .exe;
• Искать и модифицировать ключи в реестре.
• Функция Hide Signed Process отфильтровывает неподписанные программы. Это сильно облегчает задачу по поиску вредоносного ПО. Прямо из контекстного меню файл можно отправить на сайт VirusTotal или Jottis Malware Scan для антивирусной проверки.

Заключение

Process Hacker является хорошим инструментом как для разработки программ, так и для поиска сомнительных приложений. Нередко вирус, сидящий в недрах машины, зарабатывает деньги ресурсами вашего компьютера. Антивирус может ничего не заподозрить, а вот бдительность и ручной мониторинг спасут положение.

Где скачать Process Hacker?

Программа является бесплатной и скачать ее можно со страницы на ее официальном сайте:
Скачать Process Hacker

Репозитарий Process Hacker на github:
Перейти на Github

Источник статьи: http://pc.ru/articles/rasshirennyj-dispetcher-zadach-process-hacker

Вредоносы изнутри

Классификация вредоносных программ, подозрительные процессы, признаки заражения и правила поведения в сети

Хотя о вредоносном программном обеспечении написана масса статей, на мой взгляд, все же стоит еще раз разобрать вопрос подробнее и прежде всего дать определение самому понятию вредоносного программного обеспечения. Итак, что же это такое?

Вредоносной программой (на жаргоне антивирусных служб «зловред», англ. malware, malicious software — «злонамеренное программное обеспечение») называют любое программное обеспечение, предназначенное для получения несанкционированного доступа к вычислительным ресурсам электронно-вычислительной машины (ЭВМ) или к информации, хранящейся на ней, с целью несанкционированного использования ресурсов или причинения вреда (нанесения ущерба) владельцу информации, или владельцу ЭВМ, или владельцу сети ЭВМ путем копирования, искажения, удаления или подмены информации (см. статью по адресу: https://dic.academic.ru/dic.nsf/ ruwiki/99937). Другую версию определения можно найти на сайте Securitylab.ru.

Следует также отметить, что подобные программы могут оказаться у пользователя и вполне легально, например при приобретении совершенно законного лицензионного программного обеспечения, особенно если программное обеспечение имеет ограничения по срокам использования (как правило, в такое программное обеспечение встраиваются возможности удаленного управления или наблюдения).

Признаками заражения компьютера вредоносным программным обеспечением считаются: автоматическое открытие окон с незнакомым содержимым при запуске операционной системы, блокировка доступа к официальным сайтам антивирусных компаний, появление неопределенных процессов в диспетчере задач операционной системы, запрет на изменение настроек компьютера с учетной записью администратора, неожиданное аварийное завершение программ и т. д.

По методу распространения классифицируют следующее вредоносное программное обеспечение: программы использования изъянов, логические бомбы, троянские программы, компьютерные вирусы и сетевые черви (https://www.securitylab.ru/news/tags/%E2%F0%E5%E4%EE%ED%EE%F1%ED%EE%E5+%CF%CE/).

Чаще всего вредоносное программное обеспечение используется для:

• нарушения работы компьютерной системы;
• кражи конфиденциальной информации;
• причинения какого-либо ущерба.

И, самое главное, происходит все это без ведома пользователя.

Вместе с тем стоит подчеркнуть, что существует огромное количество программ двойного назначения и отличить вполне легитимное программное обеспечение от вредоносного в общем случае практически невозможно.

Так, например, программное обеспечение для удаленного администрирования (скажем, TeamViewer) вполне может использоваться как в законных, так и в злонамеренных целях. В первом случае это будет легитимное программное обеспечение, во втором — вредоносное.

Таким образом, чтобы однозначно сказать, легитимное перед нами программное обеспечение или вредоносное, нужно исследовать контекст, в котором оно используется. Увы, именно поэтому невозможно выстроить полностью автоматическую антивирусную поддержку.

На самом же деле, как мы все прекрасно понимаем, это лишь одна из причин. Другая, на мой взгляд, заключается в том, что первыми делают шаг именно злоумышленники. Ведь причиной широкого распространения вредоносного программного обеспечения, без сомнения, является легкость его приобретения и разработки. По запросу вам могут предложить вредоносное программное обеспечение вместе с техподдержкой всего за 5 евро в месяц. Только вдумайтесь — с технической поддержкой!

Для того чтобы вредоносное программное обеспечение выглядело похожим на легитимное, как показано на экране 1, злоумышленники часто добавляют метаданные, в частности внушающий доверие значок программы, название процесса и описание (экран 2).

Для защиты от вредоносного программного обеспечения и компьютерного мошенничества применяются различные методы: юридические (полицейские), образовательные и технические.

Сегодня практически во всех странах приняты законы, запрещающие создание и распространение вредоносного программного обеспечения, к тому же действия компьютерных злоумышленников попадают под некомпьютерные статьи уголовного кодекса, например такие, как мошенничество, вымогательство, неправомерный доступ к конфиденциальной информации и т. д.

Однако следует признать, что очень часто подобные преступления совершаются технически грамотными специалистами, и это сильно затрудняет расследование. Поэтому исключительно юридическими методами победить в этой борьбе нельзя.

Другим важным фактором является то, что правоохранительные органы разных стран имеют различный уровень подготовки, зачастую, увы, весьма низкий.

Именно поэтому важным методом предотвращения компьютерных преступлений является образование пользователей, разъяснение им необходимости строгого следования базовым правилам поведения в сети. По сути, пользователям необходимо учесть, что существует всего три основных правила, которые верны как для корпоративного, так и для домашнего применения.

1. Обязательно используйте антивирусную защиту. Если вы не эксперт по компьютерной безопасности, то вы нуждаетесь в надежной антивирусной защите и способах предупреждения сетевых атак. Доверяйте свою защиту профессионалам! Большинство современных антивирусных программ защищают от самых разнообразных компьютерных угроз — вирусов, червей, троянских программ и рекламных систем. Интегрированные решения по безопасности также обеспечивают фильтрацию спама, предупреждают сетевые атаки, посещение нежелательных и опасных интернет-ресурсов и т. д.

2. Не следует доверять всей поступающей на компьютер информации — электронным письмам, ссылкам на веб-сайты и т. д. Категорически не следует открывать файлы и ссылки, поступающие из неизвестного источника. Даже если сообщение получено от знакомого или коллеги по работе, но присланный файл или ссылка приходит неожиданно, лучше переспросить о подлинности сообщения, поскольку обратный адрес электронной почты легко подделать. Интернет — достаточно опасное место, где следует вести себя осторожно.

Естественно, риск заражения можно уменьшить при помощи «организационных мер». К таким мерам относятся различные ограничения в работе пользователей (как индивидуальных, так и корпоративных), например:

• запрет на использование интернет-пейджеров;
• доступ только к определенному списку веб-страниц;
• физическое отключение внутренней сети предприятия от Интернета и использование для выхода в Интернет выделенных компьютеров и т. д.

К сожалению, жесткие ограничительные меры могут идти вразрез с пожеланиями конкретного пользователя или бизнес-процессами предприятия. В таких случаях приходится искать баланс, причем каждый раз по-разному. И, естественно, необходимо помнить, что организационные меры должны быть поддержаны техническими.

3. Важно обращать внимание на информацию от антивирусных компаний и экспертов по компьютерной безопасности. Обычно они своевременно сообщают о новых видах интернет-мошенничества, вирусных угрозах, эпидемиях и т. д.

Кроме того, я рекомендую помнить еще об одном весьма важном правиле — работать исключительно с лицензионным программным обеспечением и вовремя его обновлять, причем не только операционную систему и офисный пакет, как это делают многие, но и установленное программное обеспечение независимых производителей.

Не стоит также пренебрегать и встроенным в Windows компонентом «Контроль учетных записей», позволяющим отследить нежелательные действия, в том числе попытки шифрования. Ведь все чаще вирусные атаки предпринимаются спустя несколько месяцев после появления соответствующих исправлений, и объектом атаки оказываются те пользователи и организации, которые не установили соответствующие обновления.

Вместе с тем неоднократно отмечались случаи, когда сообщения о новых вирусах и инцидентах не вполне соответствовали реальному уровню угрозы. Поэтому три приведенных выше правила компьютерной гигиены можно сформулировать так: обязательно защищаться, никому слепо не доверять, антивирусным компаниям верить можно, однако помнить, что они тоже могут ошибаться.

Что еще можно сделать

Одной из перспективных технологий антивирусной защиты является эвристический анализ. Это метод, позволяющий находить вредоносное программное обеспечение путем поиска аномалий в поведении программ. При этом стоит помнить, что существует несколько базовых аномалий, на которые необходимо обращать внимание:

• отсутствие описания процесса (экран 2);
• ошибка в названии процесса:

— wiinlogon.exe вместо winlogon.exe;

— host.exe вместо svchost.exe;

• запуск из подозрительной папки.

Необходимо учесть, что эвристический анализ также, увы, не даст стопроцентную гарантию, что файл относится к вредоносному программному обеспечению. В некоторых случаях легитимное программное обеспечение тоже может иметь аномалии. Однако вероятность того, что файл является вредоносным, пропорциональна количеству аномалий в поведении программы.

Кроме того, стоит обращать внимание на сертификаты сайтов, ведь довольно часто поддельный сайт пытается установить на компьютер пользователя программу-троянца, и делает это именно с его согласия, и даже сообщает, что надо установить для ускорения и улучшения работы, хотя все системы защиты пытаются (правда, не слишком настойчиво) предупредить пользователя о нежелательности подобных действий (экран 3).

Как искать подозрительные процессы

Как правило, для просмотра запущенных процессов используется компонент операционной системы «Диспетчер задач». Однако стоит отметить, что существует целый ряд альтернативных программ с более широкой функциональностью. В этой статье мы обратимся к программному обеспечению Process Hacker (http://processhacker.sourceforge.net) в контексте обнаружения вредоносных процессов.

Process Hacker

Это бесплатный мощный универсальный инструмент, который поможет вам контролировать ресурсы системы и выполнять обнаружение вредоносных программ. Программное обеспечение Process Hacker 2.39.124 выпущено 29 марта 2016 года (экран 4).

Графики и статистика данного приложения позволяют быстро отслеживать процессы, занимающие ресурсы, и процессы их освобождения (экран 5). Для просмотра информации о производительности системы используйте комбинацию клавиш Ctrl+I. Переместите курсор над графом, чтобы получить подсказку с информацией о точке данных под курсором. Вы можете дважды щелкнуть по графику, чтобы просмотреть информацию о процессе в этой точке данных, даже если процесс больше не работает.

Вы не можете отредактировать или удалить файл? Узнайте, какие процессы используют его, как показано на экране 6.

Примените комбинацию клавиш Ctrl + F для поиска дескриптора или библиотеки DLL. Если все остальное не помогает, можете щелкнуть правой кнопкой мыши по записи и закрыть дескриптор, связанный с файлом. Однако это следует делать только в крайнем случае, так как возможна потеря данных, как показано на экране 7.

Следует учесть, что некоторые антивирусы обнаруживают Process Hacker и относят его к категории RiskTool. Безусловно, это не означает, что перед нами вредоносная программа, но все же необходимо добавлять данное программное обеспечение в список исключений.

В случае необходимости вы сможете задействовать другое приложение, Process Explorer (https:// docs.microsoft.com/en-us/sysinternals/ downloads/process-explorer). Его интерфейс показан на экране 8.

Что такое упакованный процесс

Разберемся вначале с термином «упаковка». Для этого я хочу привести определение из статьи Николая Гребенникова, заместителя директора департамента инновационных технологий «Лаборатории Касперского» (http://www.itsec.ru/articles2/Oboran dteh/tehnologii_zashiti_vredonosnih_programm):

«Упаковка — процесс уменьшения размера исполняемого файла с сохранением возможности самостоятельного выполнения. Реализуется с помощью специальных утилит — пакеров. Ранее упаковка использовалась для экономии места на жестком диске. На данный момент эта функция пакеров частично устарела, однако упаковкой активно пользовались и продолжают пользоваться авторы вредоносных программ, так как если программа-антивирус не умеет распаковывать файлы, упакованные некоторым пакером, то и найти в них вирус она также в большинстве случаев не сможет. На сегодня известно несколько сотен упаковщиков, а количество их версий приближается к трем тысячам».

Таким образом, упаковка — процесс сжатия исполняемого файла и добавление специального загрузчика, распаковывающего код после запуска файла. Упаковка может использоваться для:

• уменьшения размера файла;
• защиты кода и данных от простых методов анализа.

Упаковка часто применяется разработчиками (в том числе вредоносного программного обеспечения) для противодействия обратной разработке, позволяющей узнать, как функционирует программа. На экране 9 приведен пример упаковки файла с помощью утилиты UPX (https://upx.githab.io). На экране видно, что строки, определяющие операционную систему, превратились в нечитаемый набор символов. Факт упаковки определяется наличием случайных данных. Эту случайность можно измерить, вычислив энтропию файла. Утилита Process Hacker выделяет упакованные файлы фиолетовым цветом, как показано на экране 10.

В стандартной установке Windows любая программа, запущенная не администратором, не может создавать файлы в системных папках, поэтому вредоносное программное обеспечение часто устанавливает себя в пользовательские папки, например в папку Temp (папка с временными файлами) или в папку с документами.

Наиболее распространенные пути установки программ:

• c:\Program Files;
• c:\Program Files (x86);
• c:\Windows\System32.

Данные папки используются чаще всего, если пользователь вручную не пропишет иной путь.

Подозрительное расположение программ:

• C:\Users\cyber\AppData\Local\Temp;
• C:\Program Files\Google Chrome, если запускаемый файл не chrome.exe.

С помощью Process Hacker можно отыскать расположение запускаемого файла. Для этого следует выбрать интересующий вас процесс, а затем нажать правую клавишу мыши и из выпавшего меню выбрать Properties и путь запуска на вкладке General.

Источник статьи: http://www.osp.ru/winitpro/2018/11/13054713

Компьютерный форум

Здесь решают различные задачи сообща. Присоединяйтесь!

Process Hacker расширенный диспетчер задач. Полное описание

Process Hacker расширенный диспетчер задач. Полное описание

Сообщение DesignerMix » 07 май 2014, 23:39

Re: Process Hacker расширенный диспетчер задач. Полное описа

Сообщение Elisej » 04 окт 2014, 14:11

Process Hacker расширенный диспетчер задач. Полное описание

Сообщение Денис Семушев » 06 апр 2017, 12:29

Здравствуйте, а куда подевалась опция «терминатор» в текущей версии (2.39) ?

Отправлено спустя 38 секунд:
Здравствуйте, а куда подевалась опция «терминатор» в текущей версии (2.39) ?

Process Hacker расширенный диспетчер задач. Полное описание

Сообщение DesignerMix » 06 апр 2017, 14:16

Process Hacker расширенный диспетчер задач. Полное описание

Сообщение dyxen » 15 июн 2018, 20:49

На Windows XP можно сделать так

View -> Tray icons -> Physical memory history -> Установить галочку
View -> Tray icons -> CPU history -> Установить галочку

Включение автостарта:
Hacker -> Options -> Start when I lo on — Установить галочку
Hacker -> Options -> Start hidden — Установить галочку

Постоянное отображение, настойка в системе Windows:
Пуск -> Панель управления -> Панель задач и меню пуск -> вкладка «Панель задач» -> около «Скрывать неиспользуемые значки» -> «Настроить» -> найти значки «Physical memory» и «CPU Usage» и поставить у обоих «Всегда отображать» -> ОК -> ОК

в результате всегда видно процент использования CPU и оперативной памяти, очень удобно!

На XP ещё нету гаджетов с отображением % использования CPU и оперативной памяти, а оптимальной альтернативы на XP я не нашёл (хотя долго искал).

Источник статьи: http://dmyt.ru/forum/viewtopic.php?t=38

Process Explorer vs Process Hacker

Многим людям рано или поздно приходит в голову мысль, что стандартный менеджер процессов Windows весьма слаб по функционалу. Начинаются поиски альтернативы, которые в основном тут же и заканчиваются при обнаружении Process Explorer от Марка Руссиновича. Вот и Хабр даже советует эту программу.

Что тут можно сказать? Конечно, Process Explorer — это хорошая программа. Однако, не идеал. Именно в пику её неидеальности существует не только бесплатная, но и свободная альтернатива — Process Hacker. А теперь мы детально и по пунктам рассмотрим, почему Process Hacker не просто «чуть-чуть лучше», а лучше на порядок, лучше на столько, что переводит программу для продвинутого пользователя в класс инструмента системного программиста или администратора.

Термины

Ради сокращения количеств букв я буду называть Process Explorer (от Марка Руссиновича) — PE, а Process Hacker (от комьюнити) — PH.

Opensource

Я не яростный фанат свободного ПО: если проприетарная программа делает, что мне нужно, а свободная — нет, то первая лучше. Однако при прочих равных (а в данном случае PH точно не хуже) свободное ПО даёт больше пространства для манёвра. PH живёт на Sourceforge со всеми вытекающими преимуществами, весьма живым форумом и частыми релизами.

Установка

Обе программы удобнее всего использовать в виде portable-версий.
PE требует прочитать и согласиться с лицензией.
PH просто запускается и работает.

Обновление

PE не умеет проверять наличие обновлений
PH умеет проверять наличие обновлений

Иконки в трее

Есть у обеих программ. По-дефолту PE показывает там только загрузку CPU в User Mode. По-дефолту PH показывает загрузку CPU и в UserMode и в Kernel Mode.
О стиле цветовой схемы можно спорить, но лично мне красный цвет на чёрном фоне (у PH) более заметен, чем светло-зелёный на белом (у PE).

У PE можно включить до 7 иконок в трее с разной полезной информацией
У PH можно включить до 8 иконок в трее с разной полезной информацией

Уведомление о процессах\сервисах\драйверах

Абсолютно незаменимая вещь в PH — уведомления о старте\остановке\установке сервисов и драйверов. При разработке такого ПО цикл «установить, запустить, проверить, остановить, удалить» приходится делать по 20 раз на день — и с PH сразу видишь, удачно идёт дело или нет, нет нужды лезть в «Службы» или «Диспетчер устройств», нажимать там «Обновить», ждать изменений.

Контекстное меню иконок в трее

Обе программы позволяют через контекстное меню иконки в трее открывать главное окно, перезагружать\выключать компьютер, открывать окно системной информации. Но PH ещё позволяет управлять вышеупомянутыми нотификациями и десятком процессов (из топа загрузки CPU).

System Information

Окна System Information в обеих программах очень похожи и по функционалу и по дизайну. PE разбивает информацию по вкладкам, PH — открывает вкладки по клику на диаграммах в главном окне. PH показывает чуть-чуть больше информации (название процессора, общий объём физической памяти и т.д.).

Главное окно

Интерфейсы программ выглядят достаточно схоже: дерево процессов и там и там.

Раскраска

1. Раскраска есть в обоих программах, но если в PE она по столбикам, то в PH — по строкам. В итоге в PH удобно взглядом проследить по горизонтали все данные одного процесса, а в PE — по вертикали использование какого-нибудь ресурса разными процессами. (upd: в комментариях подсказывают, что в PE это настраивается)
2. Настройка раскраски есть и там и там, но если PE настраиваются цвета для 8 типов процессов, то в PH — для 16 (плюс некоторые опции типа длительности подсветки процесса).

Выбор столбиков с информацией о процессе

Примерно равное количество параметров у обеих программ. У PE они распределены по группам, у PH — по алфавиту. В итоге если вы знаете точное название параметра — его быстрее найти в PH, если только какой области он касается (память, диск, сеть) — быстрее в PE. Кроме того надо признать, что PE больше знает о внутренних параметрах .NET-процессов (PH тоже идёт в этом направлении, есть специальный плагин для счётчиков .NET)

Фильтр по имени процесса

Нет в PE
Есть в PH, поддерживает ключевые слова для поиска определённых типов процессов

Диаграммы производительности на тулбаре

Есть в PE
Нет в PH
Это тот редкий случай, когда что-то есть в PE и нет в PH. Давайте, однако, посмотрим как они выглядят:

Подписей нет, осей нет, при беглом взгляде не понятно ничего. Для получения значимой информации всё-равно нужно открывать окно системной информации, а вот там уже PH впереди по информативности.

«Run as. »

В PH есть очень нужный пункт меню «Run as. ». С тех пор как в контекстном меню проводника Windows этот пункт исчез, уступив место «Run as administrator» его очень не хватало.
В PE этого пункта нет.

Окно «Find Handles or DLLs»

Обратите внимание, в PE здесь есть кнопки «Search» и «Cancel». В PH — только Find. Это потому, что PE может искать ну о-о-о-очень долго и иногда поиск правда надо отменять. PH ищет просто мгновенно. Ему кнопка «Cancel» не нужна.

Поиск окна

PE позволяет нажав на кнопку с изображением мишени найти процесс по его окну.
PH позволяет найти не только процесс, но и поток, отвечающий за обработку сообщений данному окну. Кроме того найденное окно можно сразу закрыть одной кнопкой.

Справедливости ради надо признать что иконка у PE лучше (похожа на соответствующую иконку в Spy++)

Возможности контекстного меню процесса

Не будем останавливаться на общих возможностях, взглянем только на то, что есть в PH и нет в PE:

• Открытие места хранения бинарника по Ctrl+Enter (в PE тоже есть, но на 2 клика дальше — в окне свойств процесса)
• Отправка экзешника на Virustotal
• Detach from debugger — полезно, когда к процессу прицеплена Visual Studio, которая «подвисла» и её хочется убить без закрытия процесса
• Информационные окна по процессу: GDI Handles, Heaps, Unloaded Modules, WS Watch, Windows
• Terminator — возможность убить процесс 17-ю разными способами. Интересно понаблюдать за корректностью завершения своей программы.
• Inject DLLs: крайне полезная штука при тестировании инжектинга всяких хуков. Фактически позволяет на этапе тестирования обойтись без собственного инжектора, писать только саму инжектируемую библиотеку. Для проверки теорий и исследования — крайне полезная вещь.

Сервисы и драйвера

PE считает, что его дело только обычные процессы
PH является крайне удобным инструментом работы с сервисами и драйверами.

На специальной вкладке Services главного окна можно просматривать список процессов и драйверов, их статус, можно их останавливать, запускать, удалять, просматривать и менять их свойства.
Крайне полезный инструмент для системного программиста под Windows (особенно совместно с возможностью включить для иконки в трее нотификации об изменении в списке сервисов). А еще в меню Tools можно создать новый сервис.

Сетевая и дисковая активность процессов

PE позволяет просмотреть параметры сетевой и дисковой активности процесса, позволяет посмотреть общую производительность дисковой и сетевой подсистем.
PH кроме вышеуказанного имеет в главном окне две крайне полезные вкладки «Network» и «Disk», показывающие общую сетевую и дисковую активность процессов.
Справедливости ради нужно признать, что в современных версиях Windows нечто подобное (хотя и не так удобное) показывает штатный инструмент Resource Monitor.

Модульная архитектура

PE цельный и неделимый
PH модульный, поддерживает плагины (и значительная часть описанного здесь функционала именно плагинами и реализована).

Окно информации о процессе

Группировка информации по вкладкам в программам слегка отличается, сравнивать «в лоб» трудно.

В целом можно сказать, что объём предоставляемой информации и удобство пользования примерно одинаковы. Однако есть архиважная деталь: PE в этом окне иногда врёт. Причём, как я предполагаю, не из-за багов, а по маркетинговым причинам (а уж это вообще никуда не годится). Детально этот вопрос я разбирал вот в этом топике, кому интересно — можете ознакомиться.

Окно информации о DLL

Обе программы позволяют просмотреть список DLL в адресном пространстве процесса. PE показывает их в нижней части главного окна (при включении соответствующей панели), PH показывает их во вкладке в окне информации о процессе. При двойном клике на библиотеке и там и там отображается информация о ней.

И вот здесь мы снова видим почему PE является просто прикладной утилитой для продвинутого юзера, а PH — инструментом программиста. Если PE показывает только общую информацию о библиотеке и список строк в ней, то PH показывает полный список импортируемых и экспортируемых функций. Для этого больше не нужны отдельные дизассемблеры!

Минутка здоровой критики

Не будем впадать в идолопоклонничество и посмотрим что в PE лучше:

• есть нижняя панель, где могут отображаться DLLки или хэндлы, если интересует только эта информация — в PE до неё на один клик меньше
• можно сохранять и загружать набор колонок с информацией о процессах, полезно при периодической работе над разными типами ПО. PH тоже позволяет это делать, но только через параметры командной строки, что не так удобно
• в окне информации о процессе есть вкладка Strings, позволяющая просмотреть используемые в процессе строки. PH тоже позволяет получить эту информацию, но не столь наглядно (блоки памяти на вкладке Memory)

Выводы

Как вы и сами могли заметить, PH — этот тот случай когда в общем и так неплохую программу взяли и сделали ещё лучше, ещё дружелюбнее и ещё полезнее. Направление развития PH задавалось сообществом, детские баги быстро фиксились, упор делался на полезность инструмента не только обычному пользователю, но и программисту с сисадмином.

Источник статьи: http://habr.com/ru/company/infopulse/blog/195074/

Process Hacker – бесплатный, мощный, многоцелевой инструмент, который поможет вам отслеживать системные ресурсы, отлаживать программное обеспечение и обнаруживать вредоносные программы

Бесплатный, мощный, многоцелевой инструмент, который поможет вам отслеживать системные ресурсы, отлаживать программное обеспечение и обнаруживать вредоносные программы.

Системные требования:

Windows 7 или выше, 32-битная или 64-битная.

Характеристики

• Подробный обзор системной активности с подсветкой.
• Графики и статистика позволяют быстро отследить проблемы с ресурсами и быстроразвивающиеся процессы.
• Не можете отредактировать или удалить файл? Узнайте, какие процессы используют этот файл.
• Посмотрите, какие программы имеют активные сетевые подключения, и закройте их при необходимости.
• Получайте информацию в реальном времени о доступе к диску.
• Просматривайте подробные трассировки стека с поддержкой режима ядра, WOW64 и .NET.
• Можно выйти за пределы services.msc: создавать, редактировать и контролировать сервисы.
• Маленький, портативный и не требует установки.
• 100% свободное программное обеспечение (GPL v)

Сборка проекта требует Visual Studio (2017 или более поздняя версия) .Execte build_release.cmd, расположенный в каталоге сборки для компиляции проекта или загрузки решений ProcessHacker.sln и Plugins.sln, если вы предпочитаете создавать проект с использованием Visual Studio.

Вы можете скачать бесплатную Visual Studio Community Edition для создания, запуска или разработки Process Hacker.

Дополнительная информация

Вы не можете запустить 32-разрядную версию Process Hacker в 64-разрядной системе и ожидать, что она будет работать правильно, в отличие от других программ.

Пожалуйста, используйте трекер проблем GitHub для сообщения о проблемах или предложения новых функций.

Настройки

Если вы запускаете Process Hacker с USB-накопителя, вы можете также сохранить там настройки Process Hacker.

Для этого создайте пустой файл с именем «ProcessHacker.exe.settings.xml» в том же каталоге, что и ProcessHacker.exe.

Вы можете сделать это с помощью Windows Explorer:

• Убедитесь, что «Скрыть расширения для известных типов файлов» не отмечены в меню «Инструменты»> «Параметры папки»> «Просмотр».
• Щелкните правой кнопкой мыши папку и выберите «Создать»> «Текстовый документ».
• Переименуйте файл в ProcessHacker.exe.settings.xml (удалите расширение «.txt»).

Плагины

Плагины можно настроить в разделе Hacker > Plugins.

Если вы столкнулись с какими-либо сбоями, связанными с плагинами, убедитесь, что они обновлены.

Информация о диске и сети, предоставляемая плагином ExtendedTools, доступна только при запуске Process Hacker с правами администратора.
KProcessHackerProcess Hacker использует драйвер режима ядра, KProcessHacker, чтобы помочь с определенной функциональностью.

• Захват трассировки стека в режиме ядра
• Более эффективное перечисление процессов
• Получение имен для файловых дескрипторов
• Получение имен для объектов EtwRegistration
• Настройка атрибутов дескриптора

Обратите внимание, что по умолчанию KProcessHacker разрешает подключения только от процессов с правами администратора (SeDebugPrivilege).

Чтобы Process Hacker мог показывать детали для всех процессов, когда он не работает от имени администратора:

• В редакторе реестра перейдите по адресу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KProcessHacker3
• Под этим ключом создайте ключ с именем Parameters, если он не существует.
• Создайте значение DWORD с именем SecurityLevel и установите его равным 2. Если вы не используете официальную сборку, вам может потребоваться установить значение 0 вместо этого.
• Перезапустите службу KProcessHacker3 (остановите KProcessHacker3, запустите запуск KProcessHacker3).

Источник статьи: http://itsecforu.ru/2019/02/19/process-hacker-%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D1%8B%D0%B9-%D0%BC%D0%BE%D1%89%D0%BD%D1%8B%D0%B9-%D0%BC%D0%BD%D0%BE%D0%B3%D0%BE%D1%86%D0%B5%D0%BB%D0%B5%D0%B2%D0%BE%D0%B9-%D0%B8/

Process hacker как пользоваться как найти вирус

Дед Мазай Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Предыдущие части: 1-я

» A free, powerful, multi-purpose tool that helps you monitor system resources, debug software and detect malware. «

Process Hacker – это профессиональный набор инструментов управления ОС работающий с ядром через Native API (API ядра) предназначенный управляния процессами и их потоками, контроля использования памяти ЭВМ, дисковой и сетевой активности, управления состоянием и параметрами, устанавки и удаления сервисов и драйверов, может освобождать заблокированные другими процессами объекты, использоваться в качестве отладчика уровня ядра и осуществлять поиск некоторых типов руткитов и иных скрытых процессов, удалять не удаляемые иными инструментами зависшие или защищённые процессы (некоторые его возможности могут быть недоступны из-за ограничений ОС либо недостаточного уровня привилегий пользователя).

Текущая стабильная версия: v2.39 от 29.03.2016
В разработке: v3.00 , исходники смотрим на GitHub.

Примечание: исходники в репозитории включают не все патчи! Пользовательские патчи ищите на форуме, в теме или на Git. Их применение целиком на ваше усмотрение и риск!

1.xх (для работы необходим MS .NET Framework 2.х) | 2.хx: Setup (EXE) | Portable (Zip) | Source (Zip) | SDK (Zip) | Debugging Tools for Windows — ссылка на страницу MSDN для загрузки необходимого движка отладчика уровня ядра встроенного в программу. О системной dbghelp.dll .

Development build
.

Официальные Nightly Builds — инсталлятор, Zip, SDK, исходники. Собираются автоматически после появления на GitHub нового коммита в ветке master и в них не входят Plugins-Extra * (экспериментально могут включать их 32-х битные редакции), на сервере может лежать не последняя версия.

Текущая сборка от Victor_VG из Git v3.00 и её Баг-трекер — английская бинарная сборка из Git обновляемая по мере обновления репозиториев проекта. Обязательно прочитайте plugins_install.txt (англ.) в архиве (данный файл оперативно обновляется по мере изменений в проекте и является основной инструкцией по ручной установке плагинов)!

* Plugins-Extra это находящиеся в стадии разработки плагины которые могут содержать ошибки или быть удалены в любой момент. Используйте их на свой страх и риск!

от KLASS x64 + x86 на основе текущих Git-сборок (Zip) и Setup (Git, от Victor_VG, смотрите номер версии) | устаревшие

Полноценный перевод на уровне исходников не ждите т.к. исходники обновляются намного раньше, чем может быть сделан такой перевод.

15 Feb 2011, 14:27
I’m not experienced with i18n, so I really don’t know how to manage translations in PH.