微软收购时Sysinternals的2006年,它获得的最著名的工具之一是进程资源管理器.对于Windows操作系统(OS),特别是那些直到并包括Windows 7的操作系统,Process Explorer是一个很好的替代品任务管理器.它提供了更清晰的观点,对正在发生的事情进行更清晰的观点,并且有更多的选择。除了选项外,常规任务经理必须提供,当您怀疑您的机器被感染时,还有一些额外的额外情况。我们将讨论以下其中一些。

取代任务管理器

如果您想用Process Explorer替换任务管理器,它提供了一种简单的方法来执行此操作。在“Process Explorer”窗口中,在“选项”菜单下,您将找到“替换任务管理器”,这需要管理员权限。使用此将使用对Taskmgr.exe的每个调用打开进程资源管理器,包括关键组合“Ctrl-Alt-Del”。

任务管理器

注意:一些安全程序可能会标记被拦截的呼叫图像文件执行选项(IFEO)认为可能不受欢迎。

加载dll和句柄

当您试图弄清楚发生了什么事情时,另一个经常派上用场的特性是检查dll和的选项处理在特定的过程中使用。要使用此选项,您必须先点击“查看”菜单并启用“显示下方窗格”。然后你可以在dll和句柄之间进行选择。

lowerpane

您还可以通过选择您感兴趣的进程在上窗格(进程)中导出一个进程的列表,并单击左上角的“保存”符号(或使用Ctrl + S)。将打开“另存为”对话框,并允许您将详细信息作为文本文件保存。如果你想要第二种意见,这可能非常方便。您可以将文本文件发送给帮助您的人。

注意:生成的文本文件将从正在运行的进程列表开始,然后是下窗格中显示的列表。

识别窗口后的进程

你有没有看过广告或技术支持骗局(TSS)弹出,想知道是哪个过程负责?有时,这些窗口会弹出没有标题栏的窗口(如果有,会引起误解)。在这种情况下,你可以在Process Explorer菜单中使用十字准线,如下所示:

十字准线

拖放窗口上的横向横发,您在过程资源管理器中运行进程列表,将选择负责窗口的进程(以蓝色显示)。您现在拥有过程的名称,在此过程中有更多的情况,与它相关联的进程标识(PID)。

selectsprocess.

virustotal.

virustotal.是一个在线恶意软件库,允许公众分析文件(和url),并检查它们是否被提供软件的供应商发现是恶意的。这是相关的,因为进程资源管理器允许您在VirusTotal上检查正在运行的进程和加载的dll。要启用此选项,请单击“选项> VirusTotal.com”。>检查VirusTotal.com。

virustotal.

在您同意之后VirusTotal服务条款,您应该在该选项之前看到刻度线,以及显示每行的恶意软件检测数量的新列,如下所示:

VTdetections

其中0表示检测的数量,反斜杠后面的数字表示查询的扫描仪数量。

有时,您将看到这样的检测:

VTFP

通过单击带下划线的VirusTotal评分,您将被带到该文件的分析页面。在这种情况下,页面将显示一个假阳性,我们已经报告给供应商。

如果某些进程在VirusTotal列中显示为“Unknown”,这意味着与该进程相关联的文件还没有上传到VirusTotal。如果你想要未知的文件被自动提交,你可以在选项> VirusTotal.com >提交未知的可执行文件。

注意:如果进程资源管理器不是以管理员权限运行,你将不会在“作为系统”运行的文件上得到结果。

概括

我们向您简要介绍了Process Explorer,并向您展示了几种在您试图识别Windows系统中可能存在的恶意软件问题时使用它的方法。

链接

下载最新版本和一些其他信息:Sysinternals Process Explorer

Sysinternals Process Utilities列表

Pieter Arntz