前言
Process Hacker 是一款针对高级用户的安全分析工具, 它可以帮助研究人员检测和解决软件或进程在特定操作系统环境下遇到的问题. 除此之外, 它还可以检测恶意进程, 并告知我们这些恶意进程想要实现的功能.
背景信息
Process Hacker 是一个开源项目, 可能大家第一眼看过去, 会觉得 Process Hacker 跟 ProcessExplorer 有些相似, 但是 Process Hacker 提供了更多的功能以及选项. 而且由于它是完全开源的, 所以我们还可以根据自己的需要来自定义其他功能.
工具地址
Process Hacker:[ 下载地址 https://processhacker.sourceforge.io/ ]
工具安装
如果你想使用这款工具的话, 你只需要下载并运行安装工具即可:
在安装过程中, 你需要勾选一些配置选项:
选择你需要使用到的组件, 因为这些组件并不会占用太多空间, 所以我建议大家直接全部勾选:
到这一步就已经安装完成啦!
工具主界面
当你运行 Process Hacker 之后, 你将会看到如下图所示的主界面:
默认配置下, 它会在 Processes 标签页中以树形图的形式显示所有当前正在运行的进程列表:
- 进程标识符(PID)
-CPU 使用占比(CPU)
-I/O 总速率
- 私有字节
- 运行进程的用户名
- 进程简单描述
点击特定的进程名之后, 你可以查看到更多详细的信息:
Services 标签页主要显示当前服务和驱动的详细列表, Network 标签页和 Disk 标签页分别显示的是各个进程对应的网络使用情况和磁盘使用情况.
大家可以在 Hacker>Options 设置中的 Highlighting 标签下修改标记颜色:
释放控制
Process Hacker 给你提供的每一个选项都可以帮助你删掉那些原本删不掉的文件, 之所以删不掉, 是因为有其他的进程在使用它们...
Process Hacker 可以帮助我们识别目标进程, 并切断进程跟文件之间的关联, 整个处理过程如下:
, 在主菜单中点击 "Find handles orDLLs";
, 在 Filter 栏中输入完整或部分文件名, 然后点击 "Find";
, 在结果中找到正确的文件名, 然后点击那一行;
, 点击鼠标右键, 从菜单栏中选择 "Go toowning process";
, Processes 窗口中会高亮标记这个进程;
, 右键点击高亮进程, 选择 "Terminate";
, 终止进程之后, 你就可以尝试删除之前被锁定的文件了;
浏览网络信息
在 Process Hacker 的帮助下, 大家还可以浏览特定进程的网络通信情况, 即使你关闭了某些进程, 你还可以启用 "Restore previous session" 功能来查看所有的进程通信数据:
从内存中导出字符串信息
你可以使用 Process Hacker 来导出内存中的进程数据, 分析人员可以使用这些导出数据来搜索内存中的字符串信息, 然后使用脚本或 Yara 规则 来对目标进程进行初始分类. 如果目标应用是恶意软件, 那我们很快就会发现它们.
右键点击正在运行的目标进程, 选择 "Create dump file...", 选择导出数据的保存路径. ProcessHacker 从内存中导出的数据文件带有. dmp 后缀, 大家可以使用十六进制编辑器或文本编辑器 (或 ) 来浏览这些文件.
多功能多用途
ProcessHacker 是一款 "多才多艺" 的工具, 它跟 Process Explorer 非常相似, 但是它的功能又比 Process Explorer 强大得多. 高级用户可能会更喜欢 Process Hacker, 如果你在使用中遇到了问题, 你可以直接在[ 论坛 https://wj32.org/processhacker/forums/index.php ] 上寻求帮助.
来源: http://www.tuicool.com/articles/Avq2Mzy