Программа Process Explorer для Windows (версия 16.21)



Предыдущая | Следующая

Введение

Вам когда-нибудь хотелось узнать, какая программа открыла тот или иной файл или каталог? Теперь у вас есть такая возможность. Программа Process Explorer отображает информацию об открытых процессом дескрипторах и загруженных им библиотеках DLL.

Рабочая область программы Process Explorer состоит из двух окон. В верхнем окне отображается список активных процессов, включая имена учетных записей, которым принадлежат эти процессы. Информация, которая отображается в нижнем окне, зависит от выбранного режима работы программы. В режиме дескрипторов в нижнем окне отображаются все открытые дескрипторы выбранного в верхнем окне процесса, а в режиме библиотек DLL — все загруженные процессом динамические библиотеки и отображенные в память файлы. Помимо этого в программе Process Explorer также есть мощные возможности поиска, благодаря которым можно быстро узнать, у какого процесса открыт определенный дескриптор или загружена определенная библиотека DLL.

Благодаря своим уникальным возможностям, программа Process Explorer полезна для разрешения проблем с версиями библиотек DLL и утечками дескрипторов, а также для понимания принципов работы ОС Windows и приложений.

Снимок экрана программы Process Explorer

Снимок экрана программы Process Explorer

 
 

Установка

Запустите программу Process Explorer (procexp.exe).

В файле справки приводится информация о доступных операциях и об использовании программы. При возникновении вопросов или проблем посетите форум компании Sysinternals, посвященный программе Process Explorer.

---
 
В комментариях к посту из шапки развернулась такая бурная дискуссия и мне интересно, почему никто не удосужился указать ИМХО два главных достоинства  Process Explorer  в борьбе со всякой нечистью: проверка цифровых подписей и интеграция с  VirusTotal .

1. Кто-то в комментариях упомянул, что вирусы внедряются в существующие файлы в системе. Это хоть и очень редкое поведение на сегодняшний день, но имеет место быть. Для таких случаев есть проверка цифровой подписи приложения на достоверность. Включается через Options->Verify Image Signatures. Теперь в столбце Verified Signer видно наличие цифровой подписи у каждого запущенного процесса, а так же результат его проверки. Наиболее подозрительно, как мне кажется, будет: либо отсутствие цифровой подписи, либо сообщение типа "Цифровая подпись объекта не была проверена", что означает, что цифровая подпись есть, но она не прошла проверку по каким-либо причинам (например файл был изменен). Естественно, что эти признаки далеко не 100%, что данный процесс каким-либо образом является вредоносным, а просто индикатор того, что к этим процессам стоит присмотреться внимательнее.

2. Самое вкусное в этой программе, это возможность сверять список процессов (точнее их контрольные суммы) с базой  VirusTotal . Включается через Options->VirusTotal.com->Check VirusTotal.com Для тех, кто не знает, что это такое: VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ. Помимо сервиса онлайн-сканирования 57-ю (на данный момент) антивирусами,  VirusTotal  собирает данные о всех, когда-либо проверенных файлах, а так же результаты этих проверок. Эта особенность и помогает программе Process Explorer отображать результаты последнего сканирования всех файлов, что в данный момент у вас запущены. А если, файл никогда раньше на  VirusTotal  не проверялся (что достаточно редко встречается), то есть возможность отправить файл на проверку прямо из программы, щелкнув правой кнопкой мыши по нужному процессу и выбрав Check VirusTotal.
Немного о результатах: при уровне 1-3 обнаружения стоит не впадать в панику и удалять все подряд, связанное с процессом, а пройти на страничку результатов и ознакомится, какие антивирусы и какую информацию по данному файлу выдали. Т.к. бывает, что антивирусы могут ругаться, например, на файлы, которые были пропатчены для снятия защиты с них (в простонародье - крякнутые), или на файлы, которые в себе содержат код перехвата вызова разных функций операционной системы, что не всегда является чем-то страшным (тот же Fraps или ShadowPlay, например, перехватывает вызовы некоторых функции DirectX для своей работы). Уровень обнаружения 3-4 и выше, это уже серьезный индикатор наличия вредоносного процесса в системе.

Данные два метода с хорошей вероятностью позволят вам обнаружить заразу в системе и при наличии некоторых знаний ее обезвредить.