过程黑客是一个非常有价值的高级用户工具。它可以帮助他们解决问题或了解有关在某个系统上运行的特定进程的更多信息。它可以帮助识别恶意流程并告诉我们更多关于他们想要做的事情。

背景信息

过程黑客是一个开源项目,最新版本可以从中下载这里。该网站还快速概述了与过程黑客可以做的事情以及它看起来的样子。乍一看,黑客看起来很像过程资源管理器但它确实有更多选择。由于它是开源的,您甚至可以在您能够和愿意的情况下添加一些。

安装

如果您只想开始使用该工具,它就像下载和运行安装程序一样简单:过程黑客下载选项

写作时的当前版本是2.39

在安装过程中,您将看到一些选项:

接受EULA.

接受EULA.

选择程序的目标文件夹

选择程序的目标文件夹

选择组件

选择所需的组件。他们不需要大量空间,所以没有必要挑剔。

额外的任务

这些值得研究,并依赖您如何计划使用过程黑客。最多可以改变大多数。

结束

你完成了!

主屏幕

运行过程黑客时,这是主屏幕。

GUI工艺黑客

在默认设置中,它向您展示流程标签包含树视图和列表中的所有正在运行的进程:

  • 他们的进程标识符(PID)
  • 他们的CPU使用率百分比(CPU)
  • 他们的I / O总率
  • 他们的私人字节
  • 用户名进程正在运行
  • 简短的描述

通过悬停在其中一个进程名称上,您可以找到有关它们的更多信息。

附加信息

其他标签是服务网络, 和磁盘。最后两个中的每一个都显示了关于其网络和磁盘使用情况的进程的更多信息。“服务”选项卡显示了当前服务和驱动程序的完整列表。

完整的服务和司机清单

可以找到这些过程的颜色编码的含义,并改变黑客>选项>上突出显示标签。

突出显示

切换到的选项用进程黑客替换任务管理器可以找到黑客>选项>上先进的标签。

释放手柄

处理黑客必须提供的一个非常有用的选项是它可以帮助您删除那些只是不想消失的文件,因为它们是“通过另一个进程使用”。

过程黑客可以帮助您识别该过程并打破领带。这是以下过程:

  • 在主菜单中单击“查找句柄或DLL
  • 在里面筛选栏键入文件的全名或该名称的一部分,然后单击寻找
  • 在结果中,查找确切的文件名并右键单击该行
  • 从右键菜单中选择去拥有流程
  • 该过程将突出显示流程窗户
  • 右键单击荧光笔流程并选择终止
  • 考虑提示数据可能丢失的警告,并意识到进程黑客可以关闭其他任务管理器可能失败的过程
  • 如果选择终止该过程,则可以尝试再次删除锁定文件

逃脱眉头

过程黑客也可以帮助您逃离一些使用的网站眉头锁定策略。例如,使用此登录脚本的站点:

BROWLOCK登录提示

威胁演员的目标是让网站的访客首先允许通知,最后让他安装他们的一个扩展名。必威平台APPMalwareBytes通常将这些扩展视为Pup.Optional.forcedInstalledExtenseff.generic。您可以在此删除指南中找到有关这些扩展的更多详细信息从Browser-Test.Info的无名扩展名

但无论如何,要在Firefox中关闭这样的选项卡通常要求您完全关闭Firefox,丢失所有其他打开的选项卡,或者如果您有还原上一届会话启用后,让它们全部回来,包括眉头。使用Process Hacker您可以查看网络选项卡:

被判有罪IP.

找到有罪方后,选择显示与浏览站点的IP或域的联系人的行。我用了Tracert.确定ffkeitlink.cool的IP。右键单击该行并选择这将暂时打破连接,停止脚本一直刷新提示。这让您有机会关闭标签并继续,而无需强制关闭Firefox进程。

从记忆中倾倒字符串

您可以使用进程黑客创建过程的内存转储。分析师使用这些转储来搜索字符串,它们使用脚本或雅拉规则进行过程的初始分类。是恶意软件吗?如果是这样,什么样的恶意软件?是它之后的信息,哪些信息,它发送它在哪里?

右键单击要为并选择内存转储的运行进程创建转储文件...然后使用Explorer窗口浏览到要保存转储的位置。过程黑客创建的内存转储将具有DMP扩展。根据您正在寻找的DMP文件,可以在十六进制编辑器,文本编辑器或文本编辑器中打开Mimikatz.(如果您在凭据后)。

您可以使用进程资源管理器创建相同的内存转储,但过程黑客还包括处理资源管理器的.NET支持。

寻找资源猪

与大多数此类识别资源的程序一样,HOGS很容易。

使用大量的CPU周期

点击中央处理器列上方的标题和列将按CPU使用量级排序,向您展示一个进程,如果一个过程向下减速,哪一个。可以为此做同样的事情私人字节I / O总速率

多功能和强大

过程黑客是一个非常通用的工具,与过程资源管理器具有很多共同点。由于它确实有几个选项并且比Process Explorer更强大,高级用户可能更喜欢进程黑客。害怕额外电力可能后果的高级用户可能希望坚持过程资源管理器。如果您需要帮助处理黑客,他们有一个相当活跃的论坛在哪里可以找到帮助的手。

笔记:

  • 一些AV的国旗进程黑客作为风险软件或可能不需要的,因为它能够终止许多过程,包括一些属于安全软件的过程。必威平台APPMalwarebytes不会将过程黑客检测为恶意或潜在的不受欢迎。
  • 如果您已启用自动保护模块,则MBamService进程无法通过过程黑客永久停止。您可以找到此设置设置>保护标签>启动选项