Перейти из форума на сайт.


Система IP-видеонаблюдения "Линия". Скачать бесплатную демо-версию для 16 камер. НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Process Hacker (часть 2)

Модерирует : gyra, Maz

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65

Открыть новую тему     Написать ответ в эту тему

Maz



Дед Мазай
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Предыдущие части: 1-я
 



"A free, powerful, multi-purpose tool that helps you monitor system resources, debug software and detect malware."
 
Process Hacker – это профессиональный набор инструментов управления ОС работающий с ядром через Native API (API ядра) предназначенный управляния процессами и их потоками, контроля использования памяти ЭВМ, дисковой и сетевой активности, управления состоянием и параметрами, устанавки и удаления сервисов и драйверов, может освобождать заблокированные другими процессами объекты, использоваться в качестве отладчика уровня ядра и осуществлять поиск некоторых типов руткитов и иных скрытых процессов, удалять не удаляемые иными инструментами зависшие или защищённые процессы (некоторые его возможности могут быть недоступны из-за ограничений ОС либо недостаточного уровня привилегий пользователя).
 
Process Hacker автоматически загружает символы из различных библиотек и использует их для отображении стека вызовов потоков исследуемого процесса (так же, как и Process Explorer). Он включает модуль PEViewer используемый при просмотре списков импорта/экспорта, конфигурации загрузки и структуры исполняемых файлов. Process Hacker может смотреть стек и память зависших процессов и в большинстве случаях помогает восстановить их нормальную работу без потери обрабатываемых данных.
 
Примечание: Для выполнения ряда операций Process Hacker использует драйвер ядра KProcessHaker который необходим в исключительных ситуациях и в подавляющем большинстве случаев включать его не рекомендуется. Подробнее читайте в файле README.txt в каталоге программы. По умолчанию драйвер KProcessHaker отключён и в отличии от аналогов не устанавливается в систему при инсталляции или запуске ProcessHacker.
 
Текущая стабильная версия: v2.39 от 29.03.2016
В разработке: v3.00, исходники смотрим на GitHub.

Примечание: исходники в репозитории включают не все патчи! Пользовательские патчи ищите на форуме, в теме или на Git. Их применение целиком на ваше усмотрение и риск!
 
Загрузки:
 
1.xх (для работы необходим MS .NET Framework 2.х) | 2.хx:  Setup (EXE) | Portable (Zip) | Source (Zip) | SDK (Zip)
Debugging Tools for Windows - ссылка на страницу MSDN для загрузки необходимого движка отладчика уровня ядра  встроенного в программу. Системной dbghelp.dll не достаточно т.к. это просто библиотека-заглушка не имеющая нужных вызовов отладчика. Библиотека должна лежать или в каталоге рядом с ProcessHacker.exe если DLL извлечена из SDK, или в каталоге \Program Files\Debugging Tools for Windows (для SDK v7.0 - v7.1A)/ \Program Files (x86)\Windows Kits\8.x\Debuggers\x86 / \Program Files (x86)\Windows Kits\8.x\Debuggers\x64 для SDK v8.0 и новее. Библиотеку необходимо использовать от последней версии SDK, и по возможности прямо указать к ней путь в настройках Process Hacker: Options -> Symbols -> Dbghelp.dll path. Подробности см в статье MSDN Путь поиска, используемый Windows для обнаружения библиотеки DLL.
 
Тестовые сборки:
 
  • Development build (выборочно) от Wen Jia Liu (wj32) на wj32.org, в них не входят Plugins-Extra* и там может быть не последняя Git ревизия
    .
  • Официальные Nightly Builds - инсталлятор, Zip, SDK, исходники. Собираются автоматически после появления на GitHub нового коммита в ветке master и в них не входят Plugins-Extra* (экспериментально могут включать их 32-х битные редакции), на сервере может лежать не последняя версия.
     
  • Текущая сборка от Victor_VG из Git v3.00 номер ревизии и дату обновления архива смотрим в version.txt - английская бинарная сборка из Git обновляемая по мере обновления репозитория - Посмотреть. Обязательно прочитайте plugins_install.txt (англ.) в архиве (данный файл оперативно обновляется по мере изменений в проекте и является основной инструкцией по ручной установке плагинов)!
     
    *Plugins-Extra это находящиеся в стадии разработки плагины которые могут содержать ошибки или быть удалены в любой момент. Используйте их на свой страх и риск!
     
    Для старых ОС (WinXP/Vista/2003/2008):
     
    Сборка от Victor_VG v2.38.0.11 для XP/2003 (x86 и x64), включает русский перевод (KLASS), Zip, портативку, SDK, исходники и более обновляться не будет!
    Сборка от Victor_VG v2.39 для Vista/2008 (x86 и x64), включает русский перевод (KLASS), Zip, портативку, SDK, исходники и более обновляться не будет!
     
    Локализованные сборки:
     
    от Dm.Fedorov 3.0.123 (x86) |  от KLASS x64 + x86 на основе текущих Git-сборок. | от wald1968 v2.34-r5632 (x86)
     
    Полноценный перевод на уровне исходников не ждите т.к. исходники обновляются намного раньше, чем может быть сделан такой перевод.  
     
    Обсуждение переводов вынесено в отдельную тему и тут не приветствуется.

     
    В локализованных вариантах возможны произвольные ошибки в работе! В частности в версии 5315 не работает модуль Системная Информация.
     
    Системные требования:
     
    RAM: 96Mb памяти  
    CPU: до 64-х процессоров
     
    Минимальная версия операционной системы зависит от версии Process Hacker:
     
    3.xx - Windows 7/Server 2008 R2 и выше, 32/64-bit редакции,
    2.39 - Windows Vista/Server 2008, 32/64-bit редакции, операции использующие драйвер уровня ядра доступны в Windows 7 и выше
    2.xx - до v2.38 включительно - Windows XP SP2/2003 и выше, 32/64-bit редакции,
    1.хx - Windows 2000 и выше, требует MS .NET Framework v2.0, только 32-бит
     
  • Подробнее о возможностях Process Hacker
  • ...и многое другое...


  • Визуальная сортировка в колонках с возможностью её сброса
  • Список горячих клавиш (хоткеев) для пунктов меню
     
    ВАЖНО!  
     
    Для переключения Process Hacker в "Portable mode" (настройки хранятся в каталоге Process Hacker) до его первого запуска рядом с ProcessHacker.exe создаем файлы ProcessHacker.exe.settings.xml и usernotesdb.xml.
     
    Как правильно установить программу?  
    Где взять нужную для работы Process Hacker библиотеку dbghelp.dll и как её правильно поставить?

     
    ВНИМАНИЕ! Обязательно внимательно прочитайте документацию которая есть на сайте и в архивах с дистрибутивом! Программа изначально создана для профессионалов, а потому требует от пользователя достаточно высокого уровня знаний!
     
    На Windows 10 ниже версий 1607 Build 14393 в Process Hacker (и не только в нём) могут появляться самые причудливые глюки. Для их устранения сначала обновите свою ОС.
     
    При работе на Windows 10 рекомендуется:
     
    - отключить или удалить плагин Firewall Monitor!
    - установить сторонний (не Микрософт!) антивирус и отключить Windows Defender так он вызывает проблемы!
     
    Ошибка в Windows SDK v10.0.14393.33, вызывавшая показ пустой вкладки Services на Windows 10 LTSB и builds 10240, устранена в v3.0.0.274 DEV. На всех более ранних версиях Process Hacker данная ошибка будет проявляться!

     
    Дополнительные инструменты:
     
    Скрипт AutoIt для запуска Process Hacker со сменных носителей ("Portable Edtion"
     
    Рекомендуется новичкам: Comodo Program Manager (основан на Process Hacker v1.x.x, но не требует .NET), Sysinternals (Microsoft) Process Explorer (прототип проекта Procerss Hacker).
     
    Примечание: программы-аналоги Windows TaskManager - Yet Another (remote) Process Monitor (YASPM), System Explorer, Iarsn TaskInfo - не предназначены для решения задач администрирования и отладки ОС которые решает Process Hacker.

  • Всего записей: 34632 | Зарегистр. 26-02-2002 | Отправлено: 22:22 28-12-2016 | Исправлено: Victor_VG, 23:19 13-10-2017
    Victor_VG



    Tracker Mod
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    skipik
     
    Нет, сегодня у uncleShi ProcessHacker.exe был зачислен в полноценные трояны - Trojan.Win32.Agent.nfbngd:
     
       
     
    , на форуме то же об этом есть PDM:Trojan.Win32.Generic теперь, когда у мадам закончились конфеты "угрозу" подняли в статусе. Отписать Касперским конечно стоит, но думаю  в лучшем случае будет отписка вида "Данный файл это вирус и подлежит немедленному удалению", а идеале что-то типа этого "Все файлы, создаваемые, загружаемые или уже хранящиеся на нашем хостинге, проверяются он-лайн антивирусом Касперского. Антивирус  обнаружил в вашем файле  Trojan.Win32.Agent.ij и переместил его в карантин. Свяжитесь с компанией Лабораторией Касперского и если их эксперты посчитают файл безопасным мы снимем блокировку, иначе заражённые файлы автоматически удаляются антивирусом по истечении 20 суток." который был дан по поводу моего старого архива srckit370-2015.tar.bz2 с исходниками программ на Algol-69, Fortran-90, IBM PL/1L и ассемблере S/360 (причём иные исходники были периода середины 80-х) - он просто не понравился "експертам" тем, что им не удалось удовлетворить своё законное любопытство - у них гранаты не той системы оказались.

    ----------
    Жив курилка! (Р. Ролан, "Кола Брюньон")

    Всего записей: 19094 | Зарегистр. 31-07-2002 | Отправлено: 15:45 24-09-2017
    skipik



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AKRAV

    Цитата:
    Причём на sys драйвер говорит это (not-a-virus:UDS:RiskTool.Win32.ProcHack.a)

    С этим ничего не поделаешь.

    Цитата:
    на exe мол вирус-троян (UDS:Trojan.Win32.Generic)

    А вот с этим нужно разбираться.
    Можете прислать мне в личку непосредственно ваш ProcessHacker.exe? Прост я проверил на сайте свой бинарник и он чист:

    Всего записей: 1710 | Зарегистр. 07-07-2006 | Отправлено: 15:51 24-09-2017
    AKRAV



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    skipik можно взять по ссылке в шапке, у меня сборка уважаемого Victor_VG.
    Версии 3.0.5470.943 (но такая же ругань была вчера когда я попробовал официальную ночную сборку Nightly Builds).
    Из портативной папки (processhacker-3.0-bin.zip) например можно взять файл ProcessHacker.exe (кстати рубит только x64, на x86 молчит, страшных вирусов не находит никаких).
    ProcessHacker.exe (x64)
    CRC32: E83D56C6
    MD5: A098724768BD92C0BCE7E6CC07381A57
    SHA-1: 66BE8758D1EE8B1D065B7ABDF4603686EF324C03



    ----------
    Жизнь - это игра, для которой нет Tutorial`а © Կարեն

    Всего записей: 2575 | Зарегистр. 04-07-2006 | Отправлено: 15:56 24-09-2017 | Исправлено: AKRAV, 16:02 24-09-2017
    uncleShi



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Ещё любопытно, что с сегодняшними базами KES10 на PHx86 не подпрыгивал, только на PHx64.

    Всего записей: 2358 | Зарегистр. 29-05-2003 | Отправлено: 16:02 24-09-2017
    Victor_VG



    Tracker Mod
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AKRAV
    skipik
    uncleShi
     
    Это бесполезно - во первых править свои глюко-базы не в традициях касперских, особливо когда после визита дяди Сэма в одном месте шерсть горит - два,  

    Цитата:
    Попа слипнется )))  

    карманы, равно как и аппетит - попросит на конфету, а заглотит весь Форт-Нокс у Натальи всегда были бездонными - три.  
     
    Лично я ничего против вас не имею, но это бизнес, и с вас ещё семь тысяч пятьсот рублей в связи с непредвиденными расходами по лечению вирусов .... на вашем ПК, но конечно, если вы не хотите, вы можете их не платить, только после я взыщу с вас вдесятеро больше. © Наталья Касперская, 1993 год.
     
    Добавлено:
    ВирусТотал, 20 минут назад, х64  
     
    Kaspersky     UDS:DangerousObject.Multi.Generic     20170924
    ZoneAlarm by Check Point     UDS:DangerousObject.Multi.Generic     20170924  
     
    https://virusscan.jotti.org/en-US/filescanjob/w3952hnh2r - 0/18
     
    Повторим на вирустотал - те же два параноика, что и не удивительно AV базы для них  делают одни и те же люди.
     


    ----------
    Жив курилка! (Р. Ролан, "Кола Брюньон")

    Всего записей: 19094 | Зарегистр. 31-07-2002 | Отправлено: 16:18 24-09-2017
    skipik



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AKRAV
    uncleShi
    Я отписал сотруднику ЛК, сегодня выходной, поэтому завтра посмотрят.

    Всего записей: 1710 | Зарегистр. 07-07-2006 | Отправлено: 17:29 24-09-2017
    miha2154

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    А когда зависает что в дереве его процессов, тредов и стеке?  

    в виндовом мониторе ресурсов-анализ цепочки ожидания "приложение работает нормально", в цепочке пусто было.
    ps сейчас мют работает - не посмотреть

    Всего записей: 500 | Зарегистр. 03-06-2006 | Отправлено: 16:10 25-09-2017
    skipik



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AKRAV
    uncleShi
    Обновите базы вручную и проверьте сейчас детект. Должны были исправить.

    Всего записей: 1710 | Зарегистр. 07-07-2006 | Отправлено: 16:14 25-09-2017
    miha2154

    Full Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    и диспетчер не справляется ?

    справляется, если мют не висит.

    Цитата:
    bt.graceful_shutdown = false  

    эге... отключил, посмотрим на дальнейшее поведение.
     
    Добавлено:

    Цитата:
    Какой вердикт выдаёт Касперский?

    гаденыш мне со всех распакованных хранящихся версий экзешники поудалял

    Всего записей: 500 | Зарегистр. 03-06-2006 | Отправлено: 16:27 25-09-2017 | Исправлено: miha2154, 16:30 25-09-2017
    Victor_VG



    Tracker Mod
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    skipik
     
    Забавно, но ВирусТотал:
     
    с  YD, х64:
     
    Kaspersky     UDS:DangerousObject.Multi.Generic     20170925
    Qihoo-360     Win32/Trojan.d0b     20170925
    Tencent     Win32.Trojan.Agent.Lkxc     20170925
    TrendMicro-HouseCall     Suspicious_GEN.F47V0924     20170925
    ZoneAlarm by Check Point     UDS:DangerousObject.Multi.Generic     20170925
     
    с моей тест кучи - x64: 0 / 63 ;  
    с моей тест кучи - x86  1 / 64:
     
    AhnLab-V3     Malware/Gen.Generic.C2159962     20170925  
     
    с YD, x86:
     
    AhnLab-V3     Malware/Gen.Generic.C2159962     20170925  
     
    похоже просто "охота" по имени бинарника так как ищут только имя проекта. Знакомый смог отыскать базу AhnLab-V3 а там по его словам весь детект на имени проекта основан.
     


    ----------
    Жив курилка! (Р. Ролан, "Кола Брюньон")

    Всего записей: 19094 | Зарегистр. 31-07-2002 | Отправлено: 16:54 25-09-2017
    AKRAV



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    skipik
    Обновил базы и действительно перестал детектить. Спасибо за содействие.
     
    Victor_VG
    Не знаю с чем связано но что-то знакомое. Теперь вот стало выдавать что "достигнут маркер конца файла и не удалось загрузить подпись драйвера" при запуске программы.
    Скрины

    ----------
    Жизнь - это игра, для которой нет Tutorial`а © Կարեն

    Всего записей: 2575 | Зарегистр. 04-07-2006 | Отправлено: 17:27 25-09-2017
    Victor_VG



    Tracker Mod
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AKRAV
     
    EnableKPHWarning=0 поставить.

    ----------
    Жив курилка! (Р. Ролан, "Кола Брюньон")

    Всего записей: 19094 | Зарегистр. 31-07-2002 | Отправлено: 17:28 25-09-2017
    AKRAV



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    Victor_VG
    Вот жешь память, сам же эту тему поднимал недавно.
    Спасибо.

    ----------
    Жизнь - это игра, для которой нет Tutorial`а © Կարեն

    Всего записей: 2575 | Зарегистр. 04-07-2006 | Отправлено: 17:38 25-09-2017
    Victor_VG



    Tracker Mod
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    AKRAV
     
    Бывает.

    ----------
    Жив курилка! (Р. Ролан, "Кола Брюньон")

    Всего записей: 19094 | Зарегистр. 31-07-2002 | Отправлено: 17:39 25-09-2017
    maK



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    miha2154
    Процесс висит в памяти, пока не сольёт на трекер всю статистику и не получит подтверждение. Если применить bt.graceful_shutdown = false, при выходе он её один раз отправит, а дошла она или нет - будет несущественно.

    Всего записей: 4620 | Зарегистр. 19-12-2003 | Отправлено: 18:00 25-09-2017
    Victor_VG



    Tracker Mod
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    maK
     
    Объясняет, но РН в данном случае не виноват - это особенности кода мюторрента.

    ----------
    Жив курилка! (Р. Ролан, "Кола Брюньон")

    Всего записей: 19094 | Зарегистр. 31-07-2002 | Отправлено: 18:50 25-09-2017
    uncleShi



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    skipik

    Цитата:
    Обновите базы вручную и проверьте сейчас детект. Должны были исправить.

    Как грится, спасибо за заботу , стало ещё хужее, добавился в полэкрана транпарант, и ещё гадёныш(какое чудное слово) ребутнуться настоятельно советует.
     

     
    Помнится мне году в 2015, PH мог убить процесс AVP. Отложенная месть?

    Всего записей: 2358 | Зарегистр. 29-05-2003 | Отправлено: 20:30 25-09-2017
    Victor_VG



    Tracker Mod
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    uncleShi

    Цитата:
    Как грится, спасибо за заботу

     
    Снеси их придурка (см. описание и добавь к нему что сказано про DrWeb и получится персонаж из 90-х попавший не в своё время ) и поставь макаку 8.8i EE p8 (самый безглючный вариант). Я сейчас с одним приятелем беседовал - говорит их босс озверел по схожей причине - KAV гробанул корпоративную SQL базу с похожим транспарантом а у них там налоговая отчётность с начала года. Ну, они как бурундуки запасливые из бэкапа подымут, а KAV они уже в конторе вынесли с временной заменой на ClamAV т.к. McAfee ещё не купили.
     
    А по поводу мести дык она и не отложенная есть - выбираешь процесс KAV/KIS в списке процессов Shift-DEL, вкладка сервисы - останавливаешь всю их публику и Revo Uninstaller (хватит и Free версии на средних настройках эвристики чтобы дров не наломал с удалением лишнего) выкорчёвываешь эту заразу под корень ибо сам KAV/KIS это  один гигантский троян за который людям ещё и платить предлагают.  
     
    P.S.
     
    Тут вот мне разведка докладывает, что истинной причиной претензий дяди Сэма к Касперским стали именно доставшие его постоянные  вопли "В блоке питания вирус! Ловим, убиваем!"© (из программы-пародии AidsRest начала 90-х).

     
    Добавлено:
    На оффоруме в теме сказал, но думаю снос супертрояна имени тёти Наташи лучшее лекарство против инфаркта.

    ----------
    Жив курилка! (Р. Ролан, "Кола Брюньон")





    Нарушение п. 2.8. главы VIII Соглашения по использованию

    Всего записей: 19094 | Зарегистр. 31-07-2002 | Отправлено: 21:06 25-09-2017 | Исправлено: gyra, 08:03 26-09-2017
    skipik



    Advanced Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
    uncleShi

    Цитата:
    Как грится, спасибо за заботу


    Скорее всего, связано с тем, что у вас корпоративный продукт. Для домашних должно быть исправлено.

    Всего записей: 1710 | Зарегистр. 07-07-2006 | Отправлено: 21:18 25-09-2017
    AKRAV



    Silver Member
    Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

    Цитата:
    Для домашних должно быть исправлено.

    Да, я уже подтвердил выше. Для домашних всё путём. А что у корпоративных продуктов свои базы, им добро не досталось с обновлением?

    ----------
    Жизнь - это игра, для которой нет Tutorial`а © Կարեն

    Всего записей: 2575 | Зарегистр. 04-07-2006 | Отправлено: 23:20 25-09-2017
    Открыть новую тему     Написать ответ в эту тему

    Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65

    Компьютерный форум Ru.Board » Компьютеры » Программы » Process Hacker (часть 2)

    Имя:
    Пароль:
    Сообщение

    Для вставки имени, кликните на нем.

    Опции сообщенияДобавить свою подпись
    Подписаться на получение ответов по e-mail
    Добавить тему в личные закладки
    Разрешить смайлики?
    Запретить коды


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2017

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru