Process Explorer下载安装使用教程(图文教程)超详细 | 您所在的位置:网站首页 › explorer自动安装软件 › Process Explorer下载安装使用教程(图文教程)超详细 |
「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 Process Explore 是微软的一款「进程资源管理器」,比Windows系统自带的任务管理器更加详细。 Process Explorer 1、下载安装2、页面功能介绍2.1、展示树形结构2.2、显示列设置2.3、识别进程2.4、查看进程状态2.5、查看进程信息2.6、操作进程2.7、查看进程加载的DLL2.8、查看历史资源占用情况 3、实战案例3.1、寻找程序的进程3.2、判断进程文件是否恶意3.3、分析外联行为3.4、导出日志3.5、获取Dump信息 1、下载安装微软官网下载: https://learn.microsoft.com/zh-cn/sysinternals/downloads/process-explorer 解压即可,免安装 2、页面功能介绍 2.1、展示树形结构点击左上角的「树形图标」,会以「树形结构」展示进程间的「父子」关系 2.2、显示列设置展示常用的列,比如进程ID、进程路径、命令行参数,来更好的分析进程。 点左上角的 View - Select Columns ,可以设置「显示列」。 勾选列名后,确定,即可在右侧列表中显示。 常用的列有: Image Path :进程的文件路径 Command Line :进程的命令行参数 Image Type :进程是32位的还是64位的 User Name :进程的权限(普通用户还是管理员用户) Verified Signer :签名是否有效 2.3、识别进程遇到无法确认的进程时,比如想知道广告弹窗是哪个进程,可以点左上角的「靶标图标」,摁住靶标「拖动」到目标窗口上,即可跳转到对应的进程。 2.4、查看进程状态根据进程的颜色可以判断「进程状态」。 点左上角的 Options - Configure Colors ,可以设置进程状态的颜色。 不同的颜色对应不同的进程状态。 默认颜色和状态对应关系如下: 绿色( New Objects ):创建的进程(一闪而过)红色( Deleted Objects ):被结束的进程淡紫色( Own Processes ):当前登录用户启动的进程粉色( Services ):系统服务的进程,灰色( Suspened Processes ):挂起的进程紫色( Packed Images ):被压缩或加密的进程(病毒流氓软件常用这种方式做免杀) 2.5、查看进程信息选中进程,双击或者右键 Properties ,查看进程的「详细信息」。重点看 Image 和 Strings 标签。 Image 标签,显示进程的主要信息。 Path:进程路径Command line:进程启动参数Autostart Location:启动项位置Verify:验证签名,点Verify开始验证,结果显示在最上方。Verified表示正常。Strings 标签,会显示进程运行时可能会使用的一些字符串,比如网址、路径名、注册表名。杀软也会从这里提取病毒特征码。 可疑的IP地址、url可疑的进程路径,比如:C:\Windows\xx.exe常见的注册表启动项路径 2.6、操作进程选中进程,右键可以结束进程、挂起进程、重启进程。 Kill Process:结束进程Kill Process:结束进程树Restart:重启进程Resume:恢复进程(针对挂起状态的进程)Suspend:挂起进程(挂起后,进程对应的程序窗口就无法操作了) 2.7、查看进程加载的DLL选中进程,点左上角的 View - Lower Pane View - DLLs,最下方查看这个进程加载了哪些DLL。 Dependency Walker 可以通过分析文件的PE结构,列出文件所需要装在的DLL。 对比两者的DLL列表,判断是否存在DLL注入。 2.8、查看历史资源占用情况Windows自带的任务管理器只能查看实时的资源占用,Process Explorer更强大,可以记录历史的资源占用情况。 点左上角View - System Information 打开资源视图,以右侧的形式展出。 选中进程,双击或者右键 Properties,选择Performance Graph标签,可以查看单个进程的历史资源占用情况。 3、实战案例 3.1、寻找程序的进程随便打开一个文件(这里用文本文档),长按上方的靶标,拖拽到程序窗口上,Process Explorer 会自动选中程序对应的进程并高亮显示。 3.2、判断进程文件是否恶意选中可疑进程,双击或右键 - Properties,检查Image标签,点 Verify 验证签名,(红框圈中的地方)显示verified,说明签名合法,(大概率)不是可疑文件。 病毒程序通常没有签名,并且版本信息不会很全。 需要注意的是,Verify 是拿(镜像)磁盘中的文件验证签名,而不是内存中正在运行的文件。这样会被进程替换技术绕过。针对这种绕过,可以比较两者 String 标签中的字符串是否相同,如果字符串差距很大,就说明被进程替换绕过了。 还有一种快速识别恶意文件的方法: 打开可疑文档,观察 Process Explorer 中是否有新进程被创建(正常的文档打开后,不会创建跟文档无关的进程)。如果有新创建的进程,就双击进去看Image标签,根据 Path 定位文件位置。 3.3、分析外联行为切换到TCP/IP标签,检查程序访问网络的情况,木马程序通常会有外联行为,把外联的地址拿到TI等平台分析看是否恶意。 3.4、导出日志选中进程,点右上角 File - Save,将日志导出后(让别人帮忙分析),导出格式见右侧。 3.5、获取Dump信息Dump是进程的内存镜像,用来分析进程的运行情况。 点右上角 Process - Create Dump - Create Full Dump,导出完整的(或者迷你的)镜像。 |
CopyRight 2018-2019 实验室设备网 版权所有 |