Process Explorer下载安装使用教程（图文教程）超详细

「作者简介」：CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」：对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

Process Explore 是微软的一款「进程资源管理器」，比Windows系统自带的任务管理器更加详细。

微软官网下载： https://learn.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

解压即可，免安装

点击左上角的「树形图标」，会以「树形结构」展示进程间的「父子」关系

展示常用的列，比如进程ID、进程路径、命令行参数，来更好的分析进程。

点左上角的 View - Select Columns ，可以设置「显示列」。

勾选列名后，确定，即可在右侧列表中显示。

常用的列有：

遇到无法确认的进程时，比如想知道广告弹窗是哪个进程，可以点左上角的「靶标图标」，摁住靶标「拖动」到目标窗口上，即可跳转到对应的进程。

根据进程的颜色可以判断「进程状态」。

点左上角的 Options - Configure Colors ，可以设置进程状态的颜色。

不同的颜色对应不同的进程状态。

默认颜色和状态对应关系如下：

选中进程，双击或者右键 Properties ，查看进程的「详细信息」。重点看 Image 和 Strings 标签。

Image 标签，显示进程的主要信息。

Strings 标签，会显示进程运行时可能会使用的一些字符串，比如网址、路径名、注册表名。杀软也会从这里提取病毒特征码。

选中进程，右键可以结束进程、挂起进程、重启进程。

选中进程，点左上角的 View - Lower Pane View - DLLs，最下方查看这个进程加载了哪些DLL。

Dependency Walker 可以通过分析文件的PE结构，列出文件所需要装在的DLL。

对比两者的DLL列表，判断是否存在DLL注入。

Windows自带的任务管理器只能查看实时的资源占用，Process Explorer更强大，可以记录历史的资源占用情况。

点左上角View - System Information 打开资源视图，以右侧的形式展出。

选中进程，双击或者右键 Properties，选择Performance Graph标签，可以查看单个进程的历史资源占用情况。

随便打开一个文件（这里用文本文档），长按上方的靶标，拖拽到程序窗口上，Process Explorer 会自动选中程序对应的进程并高亮显示。

选中可疑进程，双击或右键 - Properties，检查Image标签，点 Verify 验证签名，（红框圈中的地方）显示verified，说明签名合法，（大概率）不是可疑文件。

病毒程序通常没有签名，并且版本信息不会很全。

需要注意的是，Verify 是拿（镜像）磁盘中的文件验证签名，而不是内存中正在运行的文件。这样会被进程替换技术绕过。针对这种绕过，可以比较两者 String 标签中的字符串是否相同，如果字符串差距很大，就说明被进程替换绕过了。

还有一种快速识别恶意文件的方法：

切换到TCP/IP标签，检查程序访问网络的情况，木马程序通常会有外联行为，把外联的地址拿到TI等平台分析看是否恶意。

选中进程，点右上角 File - Save，将日志导出后（让别人帮忙分析），导出格式见右侧。

Dump是进程的内存镜像，用来分析进程的运行情况。

点右上角 Process - Create Dump - Create Full Dump，导出完整的（或者迷你的）镜像。