Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » Программы » Process Hacker (часть 2)

Модерирует : gyra, Maz

Maz (31-10-2019 22:20): Process Hacker (часть 3) только официальные сборки  Версия для печати • ПодписатьсяДобавить в закладки
На первую страницук этому сообщениюк последнему сообщению

   

Maz



Дед Мазай
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

 
Общее:
 
  • Пользователям настоятельно не рекомендуется включать использование драйвера уровня ядра (см. Привелигированные функции) поскольку это резко снижает уровень безопасности ОС.
  • Все настройки Process Hacker и его плагинов хранятся в XML файлах "%APPDATA%\Process Hacker\settings.xml", а для Portable режима "ProcessHacker.exe.settings.xml" в каталоге Process Hacker. Записи в Реестр для драйверов, служб и интеграции в ОС создаются только по вашей команде.
     
    Управление настройками:
     
  • Доступ к настройкам Process Hacker осуществляется через меню "Hacker - Options", "Hacker - Plugins..." и "Hacker - Options - Show advanced options - Advanced" (v3.0.5478.951, этот флаг всегда сброшен, вызов редактора настроек).
  • Пример настроек "ProcessHacker.exe.settings.xml" может быть использован для восстановления работоспособности/начальной настройки Process Hacker.
  • По умолчанию плагин Firewall Monitor отключён.
  • Для неофициальных сборок в редакторе настроек установите значение "EnableKphWarnings=0", и если установлен драйвер KProcessHacker3 (при работе в ограниченной учётной записи он нужен для доступа к процессам запущенным от других пользователей), то от имени администратора в консоли CMD выполните команду:
     
    @taskkill /IM ProcessHacker.exe /FI "STATUS eq running" && @sc stop KProcessHacker3 && @reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\KProcessHacker3\Parameters" /v "SecurityLevel" /t REG_DWORD /d 0 /f && @sc start KProcessHacker3
     
    после чего можно запустить РН с правами обычного пользователя включив в его настройках Enable kernel-mode driver (или в редакторе настроек поставьте "EnableKPH=1").
  • В настройках Process Hacker можно использовать относительные пути просто указав имя файла, но тогда он ищется по правилам указанные в статье MSDN Путь поиска используемый Windows для обнаружения библиотеки DLL:
     
       Используя механизмы явного и неявного связывания, Windows сначала выполняет поиск "известных библиотек DLL", таких как Kernel32.dll и User32.dll. Затем Windows выполняет поиск библиотек DLL в следующей последовательности:
     
        1)    Каталог, в котором находится исполняемый модуль текущего процесса.
        2)    Текущий каталог.
        3)    Системный каталог Windows. Путь к этому каталогу извлекается с помощью функции GetSystemDirectory.
        4)    Каталог Windows. Путь к этому каталогу извлекается с помощью функции GetWindowsDirectory.
        5)    Каталоги, указанные в переменной среды PATH.

     
        Примечание
     
            Переменная среды LIBPATH не используется.
     
  • Установленные пользователем настройки сохраняются до сброса всех настроек кнопкой "Reset" в окне "Options..." или удаления конфигурационных файлов "%APPDATA%\Process Hacker\settings.xml" / "ProcessHacker.exe.settings.xml" (в Portable mode).
  • Опция "Hacker - Options - General - Start hidden" добавлена в v3.0.5478.951 и становится доступна при включении опции "Hacker - Options - General - Start when I log on".
  • В v3.0.0 (r455) поменялись пути хранения настроек и имя ключа автозапуска с "Process Hacker 2" на "Process Hacker" для обеспечения возможности параллельной работы версий v2.x и v3.x.
  • По умолчанию каталог загрузки обновлений Cache располагается в "%LOCALAPPDATA%\Process Hacker", но этот каталог можно изменить в редакторе настроек "LocalCachePath" на любой иной по вашему усмотрению.
  • Начиная с версии v3.0.5469.942 в дистрибутив при сборке автоматически добавляются пустые файлы "ProcessHacker.exe.settings.xml" и "usernotesdb.xml" (0 байт), так что стоит бэкапить свои конфиги во избежание их перезаписи.
     
    Фильтры поиска процессов:
     
  • Список доступных в диалоге поиска процессов фильтров (применимы только на панели Process) фиксирован и включает:
     
         BadSignature - у процесса неверная ЭЦП (возможно это вирус или он повреждён)
         Distrust -
         Expired - срок действия ЭЦП истёк
         Full -
         IsBeingDebugged - отлаживаемые
         IsDotNet - .NET
         IsElevated - Elevated
         IsImmersive -
         IsInJob - пакетные (Job)
         IsInSignificantJob - доверенные Job
         IsPacked - процесс содержит исполняемые модули в ресурсах (упакован)
         IsPicoProcess - Linux-подсистема Win10
         IsProtectedProcess - Защищённые процессы (например ядра)
         IsSecureProcess -
         IsSuspended - приостановленные (на паузе)
         IsWow64 - 32-х битные WOW64
         Limited -
         NoSignature - не подписанные
         Revoked  -
         SecuritySettings -
         Trusted - доверенные подписанные
         Unknown - неизвестные (например Interrupts, System)

     
    Он-лайн проверка на вирусы:
     
  • Для работы плагина OnlineCheck включите в меню "Hacker - Options - OnlineCheck" опцию Enable VirusTotal scanning и в меню "Tools - Online Check" отметьте чекбокс "Enable VirusTotal scanning" после чего обязательно перезапустите Process Hacker.
  • Если в колонке VirusTotal пишут "VirusTotal disabled" или там пусто, то ничто не мешает вам отправить на него файл через контекстное меню "Send to..." процесса.
     
    Работа с БД геолокации:
     
  • Флаг на панели Networks указывает страну которой был выделен IP, но это не значит что хост находится там.
  • Для установки (обновления) БД MaxMind GeoLite2-Country (БД обновляется в первый вторник каждого месяца) откройте пункт меню "Tools - Network Tools - GeoIP database update..." и там последовательно нажмите кнопку "Download" и через 6 - 8 секунд после завершения скачивания БД "Restart".
  • По умолчанию БД "GeoLite2-Country.mmdb" ищется в каталоге "%APPDATA%\Process Hacker", но этот каталог можно изменить в значении "ProcessHacker.NetworkTools.GeoDbPath" конфигурационных файлов settings.xml (ProcessHacker.exe.settings.xml) или через редактор настроек на любой иной по вашему усмотрению. Допустимы абсолютные, относительные или UNC пути.
     
    Работа со сменных носителей (Portable mode):
     
  • При использовании Process Hacker со сменных носителей рекомендуется использовать относительные пути для dbghelp.dll, GeoLite2-Country.mmdb и каталога Cache.
  • Начиная с v3.0.5467.940 фaйл "usernotesdb.xml" при необходимости будет автоматически создан при добавлении пользовательского комментария или завершении работы Process Hacker.
     
    Привилегированные функции:
     
  • По умолчанию уровень безопасности для драйвера KProcessHacker устанавливается равным 2 (проверяется ЭЦП файлов Process Hacker, подробнее см. notes.txt в архиве).
  • Пункт меню "Tools - Hidden processes" добавлен в v3.0.5378.851, для его включения надо изменить значение настройки "Hacker - Options - Show advanced options" [x], Advanced, "HiddenProcessesMenuEnabled" (v3.0.5478.951) в settings.xml с 0 на 1 и перезапустить Process Hacker.
  • Функция выгрузки модулей работает только на Windows XP - 7. На Windows 8 - 10 данная возможность не доступна.
  • Пакетные задания (во всплывающей подсказке будет стоять "Process is in a job") определяются всегда, но для того, чтобы в свойствах процесса появилась вкладка Job нужно чтобы был запущен драйвер KProcessHacker3 и в опциях Process Hacker на вкладке "General" надо отметить чекбокс "Enable kernel-mode driver".
     
    Установка плагинов:
     
    ./ --- корневой каталог, отсчёт идёт от него, его расположение произвольное
    ./kprocesshacker.sys - начиная с v2.39.67 новый драйвер версии 3.0 работает только с ОС Windows 7/Server 2008 R2 и выше и по умолчанию не устанавливает и не запускается. Для ветки 3.0 необходим драйвер версии 3.1.
    ./capslist.txt - добавлен в v3.0.6633.2106 Git-0bfcb231
    ./peview.exe
    ./ProcessHacker.exe
    ./x86/ProcessHacker.exe - 32-х бит ЕХЕ необходим только для х64 редакции. В инсталляторы включён начиная с r6015
    ./CHANGELOG.txt
    ./COPYRIGHT.txt
    ./LICENSE.txt
    ./README.txt
    ./plugins/ - все плагины (*.dll) должны лежать тут (если это правило нарушено, плагин не загрузится!)
     
    установка отдельных плагинов чуть отличается для разных версий:
     
    для версии 2.хх:
     
    ./plugins/AtomTablePlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (начиная с r5485)
    ./plugins/AvgCpuPlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (начиная с r5485)
    ./plugins/BootEntriesPlugin.dll - (начиная с r5994)
    ./plugins/DbgViewPlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (начиная с r5749)
    ./plugins/DnsCachePlugin.dll
    ./plugins/DotNetTools.dll
    ./x86/plugins/DotNetTools.dll - только для х64 редакции тут должна лежать 32-х битная DLL. В инсталляторы включён начиная с r6026
    ./plugins/ExtendedNotifications.dll
    ./plugins/ExtendedServices.dll
    ./plugins/ExtendedTools.dll - минимальная версия ОС Windows Vista/Server 2003 R2
    ./plugins/FirewallMonitorPlugin.dll - только для ОС Windows 7/Server 2008 R2 (начиная с r6152/r1690)
    ./plugins/HardwareDevice.dll
    ./plugins/HexPidPlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (начиная с r5485)
    ./plugins/NetExtrasPlugin.dll - (начиная с r5993)
    ./plugins/maxminddb/GeoLite2-Country.mmdb - в сам инсталлер и Zip не включена из-за габаритов, но в архиве есть. Киньте её в один каталог с инсталлятором перед установкой и он сам её скопирует в нужный подкаталог, ну а в Zip (портативку) её нужно скопировать вручную по указанному пути и NetExtrasPlugin.dll должен быть версии 1.1 и выше!
    ./plugins/OnlineChecks.dll
    ./plugins/PerfMonPlugin.dll - проблемы с не латинскими именами счётчиков производительности (WMI) устранены в r5812
    ./plugins/ROTViewerPlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (начиная с r5485)
    ./plugins/SbieSupport.dll
    ./plugins/SecurityExplorer.dll - работает в ОС ниже Windows 8/Server 2012 (начиная с r6152/r1690)
    ./plugins/SetCriticalPlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (начиная с r5485)
    ./plugins/TaskbarExtPlugin.dll - (начиная с r6046)
    ./plugins/ToolStatus.dll
    ./plugins/TrustedInstallerPlugin.dll
    ./plugins/Updater.dll
    ./plugins/UserNotes.dll
    ./plugins/WaitChainPlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (добавлен в r5529)
    ./plugins/WindowExplorer.dll
     
    удалить ./plugins/DiskDrivesPlugin.dll - функционал плагина объединён с NetAdapters и он удалён в v2.38.163
    удалить ./plugins/EnvironmentEditPlugin.dll - функционал плагина включён в Process Hacker v2.39 STABLE
    удалить ./plugins/HighlightPlugin.dll - в r6176 функционал плагина объединён с User Notes, плагин удалён.
    удалить ./plugins/NetAdapters.dll переименован в ./plugins/HardwareDevices.dll в v2.38.178
    удалить ./plugins/NvGpuPlugin.dll - функционал плагина объединён с HardwareDevice и он удалён в v2.39.81
    удалить ./plugins/ServiceExtrasPlugin.dll - в r5949 функционал плагина объединён с ExtendedServices, плагин удалён.
    удалить ./plugins/UMDFHostPlugin.dll - код плагина объединён с кодом processhacker.exe и плагин удалён в r5881
     
    для версии 3.хх:
     
    %LOCALAPPDATA%/Process Hacker/GeoLite2-Country.mmdb - если у вас есть БД GeoLite2-Country.mmdb (БД обновляется в первый вторник каждого месяца) то вы можете положить его рядом с инсталлятором сборки от Vicror_VG и он сам его скопирует в нужное место, или откройте пункт меню "Tools - Network Tools - GeoIP database update..." и там последовательно нажмите кнопки "Download" и через 6 - 8 секунд после завершения скачивания БД "Restart".
    Если в каталогах %LOCALAPPDATA%/Process Hacker/GeoLite2-Country.mmdb или ./ лежит БД GeoLite2-City.mmdb (более не используется), то её следует удалить (инсталлятор v14.0.37 и выше от Victor_VG это делает автоматически).
    ./GeoLite2-Country.mmdb - только для режима Portable mode, способ обновления БД аналогичен обновлению в обычном режиме
    ./plugins/plugindata/kprocesshacker2_x32.sys - только для 32-х битной редакции ОС, используется плагином Terminator *
    ./plugins/plugindata/kprocesshacker2_x64.sys - только для 64-х битной редакции ОС, используется плагином Terminator *
    ./dbgcore.dll - разрядность как у ProcessHacker.exe, берите последнюю версию, текущая 10.0.17763.1
    ./x86/dbgcore.dll - х86, берите последнюю версию, текущая 10.0.17763.1, только для х64  
    ./plugins/AtomTablePlugin.dll
    ./plugins/AvgCpuPlugin.dll
    ./plugins/DbgViewPlugin.dll
    ./plugins/DnsCachePlugin.dll
    ./plugins/DotNetTools.dll
    ./x86/plugins/DotNetTools.dll - только для х64 редакции тут должна лежать 32-х битная DLL.
    ./plugins/DpiAwarenessExtPlugin.dll
    ./plugins/ExtendedNotifications.dll
    ./plugins/ExtendedServices.dll
    ./plugins/ExtendedTools.dll
    ./x86/plugins/ExtendedTools.dll - только для х64 редакции тут должна лежать 32-х битная DLL
    ./plugins/FirewallMonitorPlugin.dll - работает только на Windows 8.1 - 10
    ./plugins/FirmwarePlugin.dll - для ОС установленных на UEFI BIOS
    ./plugins/ForceShutdownPlugin.dll
    ./plugins/HardwareDevice.dll
    ./plugins/HexPidPlugin.dll - удалён в v3.0.6628.2101 Git-208154f5
    ./plugins/LiveDumpPlugin.dll - только для Windows 10
    ./plugins/MemoryExtPlugin.dll - только для Windows 10
    ./plugins/NetworkTools.dll
    ./plugins/NvGpuPlugin.dll
    ./plugins/ObjectManagerPlugin.dll
    ./plugins/OnlineChecks.dll
    ./plugins/PerfMonPlugin.dll
    ./plugins/PoolMonPlugin.dll
    ./plugins/ProductPolicyPlugin.dll
    ./plugins/ROTViewerPlugin.dll
    ./plugins/SbieSupport.dll - только до версий ниже v3.0(r1254)
    ./plugins/SecurityExplorer.dll
    ./plugins/ServiceBackupRestorePlugin.dll
    ./plugins/SetCriticalPlugin.dll
    ./plugins/TaskbarExtPlugin.dll
    ./plugins/TerminatorPlugin.dll - требуется привилегия SeDebugPrivilege (разрешение отладки программ)
    ./plugins/ToolStatus.dll
    ./plugins/TrustedInstallerPlugin.dll
    ./plugins/Updater.dll
    ./plugins/UserNotes.dll
    ./plugins/WaitChainPlugin.dll
    ./plugins/WindowExplorer.dll
     
    Удалённые плагины:
     
    - BootEntriesPlugin.dll заменён FirmwarePlugin.dll
    - CommonUtil.dll - удалён в v3.0.5411.884, и даже при его наличии в каталоге плагинов запуск данного плагина блокируется "чёрным списком" не загружаемых плагинов в исходниках
    - ExtraPlugins.dll - удалён в v3.0.5585.1058, и даже при его наличии в каталоге плагинов запуск данного плагина блокируется "чёрным списком" не загружаемых плагинов в исходниках
    - HexPidPlugin.dll - удалён в v3.0.6628.2101 (интегрирован в ProcessHacker.exe)
    - NetExtrasPlugin.dll, так как NetworkTools.dll v1.8 включает настраиваемые Tracert, Ping, WhoIs и сам выводит колонку Country на вкладке Network, вдобавок умеет скачивать и обновлять БД геолокации (Process Hacker v3.0.0.268 и новее).
    SbieSupport.dll - отключён начиная с v3.0.6509.1982 Git-f0b96b18 0 см. Issues#233 SBIE2035: Out of memory
     
    Устаревшие компоненты и каталоги:
     
    - ./plugins/plugindata/GeoLite2-City.mmdb : БД геолокации с указанием города которому национальным регистратом доменных имён был выделен данный IP, удалите её вручную  (инсталлятор v14.0.45 и выше от Victor_VG это сделает автоматически)
    - %LOCALAPPDATA%/Process Hacker 2/ : старый каталог настроек, для пользователя в нём важна БД заметок usernotesdb.xml (settings.xml переносить не стоит, так как за это время многие настройки у вас изменились) её просто нужно скопировать в %LOCALAPPDATA%/Process Hacker/ , а старый каталог удалить (инсталлятор v14.0.45 и выше от Victor_VG это делает автоматически).
     
    Примечания:
    - пути к плагинам фиксированы в исходниках! Кто попытается просто скопировать в подкаталог ./plugins каталоги ./plugins/x64 или ./plugins/x86 получит ошибку при загрузки плагинов - программа их просто не увидит!
    - начиная с версии v3.0.5478.951 путь к каталогу плагинов (по умолчанию ./Plugins) можно настроить через редактор настроек в меню "Hacker - Options", "Hacker - Plugins..." и "Hacker - Options - Show advanced options - Advanced" (этот флаг всегда сброшен).
    - общее правило - плагины должны быть собраны для той версии (Maj.Min) Рrocess Нacker-а с которой вы хотите их использовать - совместимость проверяется при запуске и несовместимые плагины не будут загружены, но даже если плагин от старой версии запустится это не даст гарантии что он полностью совместим с текущей версией Process Hacker-а, а потому их использования следует избегать и в случае возникновения ошибок в первую очередь начинать проверку с них путём их отключения в настройках.
     
    Плагин Security Explorer может вызывать аварийное завершение Process Hacker на Windows 10, поэтому на данной ОС рекомендуется отключить его. Если вы используете Windows 8.х и у вас возникнут проблемы вызванные плагином Security Explorer, то откройте меню Hacker - Plugins… , найдите в списке плагинов Security Explorer и нажмите кнопку Disabled после чего для применения изменений в настройках перезапустите Process Hacker.
     
    Так же можно отключить и любой иной плагин, но отключение плагинов рекомендуется только в случае если данный плагин вызывает проблемы.
     
    Плагин Terminator предназначен исключительно для аварийного завершения тех процессов и их нитей которые невозможно завершить нормальным способом, но Вы должны помнить что при аварийном завершении процесса (нити) обрабатываемые ими данные не сохраняются, что может привести к непредсказуемым ошибкам в работе других зависящих от них процессов (нитей). Начиная с (v3.0(r400) Plugins-Extra Git-d3848f8155) драйвер плагина должен располагаться в ./plugins/plugindata/ (путь для его поиска и загрузки фиксирован в исходниках плагина).
     
    В случае использования программы установки она сама правильно расположит все компоненты, важно только потом не изменять их расположение относительно корневого каталога программы!
     
    Установка параметров безопасности драйвера KProcessHacker
     
    (отображаемые имена KProcessHacker2, KProcessHacker3 и kph2 (используется плагином Terminator в Process Hacker v3) в зависимости от версии). Драйвер уровня ядра KProcessHacker имеет четыре уровня безопасности определяемые значением параметра SecurityLevel (Reg_Dword) используемых Process Hacker при проверке ЭЦП разработчика и уровня привилегий пользователя (в ключе Реестра
     
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\KProcessHacker3\Parameters]
    "SecurityLevel"

     
    и для kph2 в ключе
     
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\kph2\Parameters]
    "SecurityLevel"
    ) :
     
       00000000 - Проверки отключены, выбирается для всех неофициальных сборок
       00000001 - Проверяется наличие у пользователя SeDebugPrivilege
       00000002 - Signatuspam_detected, требует подписания кода с помощью EV Code Signing сертификата разработчика
       00000003 - Подпись и проверка привилегий, требует подписания кода с помощью EV Code Signing сертификата разработчика и наличия у пользователя SeDebugPrivilege. Максимальный уровень безопасности.
     
    По умолчанию параметр SecurityLevel драйвера установлен на максимальный уровень безопасности (SecurityLevel= 2).
     
    При неправильно выставленном уровне безопасности драйвер не запускается и зависимые от него функции при включённом ([x]) на странице настроек Options - Advanced чекбоксе Enable kernel-mode driver (параметр EnableKPH=1 в settings.xml) становятся недоступны. Например вы получите сообщение об ошибке на вкладке Handles свойств процесса, не будут распознаваться Job-объекты и соответственно не будут подсвечиваться пакетные (Job) процессы, будут недоступны ETW хендлы и просмотр ряда свойств Pico-процессов (WSL) и т.д. ...
     
    Для устранения этих проблем при не запущенном Process Hacker однократно выполните от имени администратора скрипт "updkph.cmd":

    Код:
     
      @echo off
      setlocal
      sc stop KProcessHacker3
      if defined PROCESSOR_ARCHITEW6432 (set reg="%systemroot%\sysnative\reg.exe"
         ) else (
         set reg=reg)
      reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\KProcessHacker3\Parameters" /v "SecurityLevel" /t REG_DWORD /d 0 /f
      sc start KProcessHacker3
      exit

    WARNING!
     
    Для неофициальных сборок обязательно установите флаг "Hacker - Options - Show advanced options" [x]  (v3.0.5478.951 и новее), перейдите на вкладку Advanced (редактор настроек) и установите значение "EnableKphWarnings=0", и если установлен драйвер KProcessHacker3 (при работе в ограниченной учётной записи он нужен для доступа к процессам запущенным под другими пользователями), то от имени администратора выполните команду '@taskkill /IM ProcessHacker.exe /FI "STATUS eq running" && @sc stop KProcessHacker3 && @reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\KProcessHacker3\Parameters" /v "SecurityLevel" /t REG_DWORD /d 0 /f && @sc start KProcessHacker3', после чего можно запустить РН с правами обычного пользователя включив в его настройках Enable kernel-mode driver [x] или для v3.0.5478.951 и новее в редакторе настроек "Hacker - Options - Show advanced options" [x], Advanced, "EnableKPH=1".
     
    Для работы плагина Terminator вы должны иметь SeDebugPrivilege ("Отладка программ").

  • Всего записей: 36167 | Зарегистр. 26-02-2002 | Отправлено: 22:22 28-12-2016 | Исправлено: Victor_VG, 07:38 13-07-2019
       

    На первую страницук этому сообщениюк последнему сообщению

    Компьютерный форум Ru.Board » Компьютеры » Программы » Process Hacker (часть 2)
    Maz (31-10-2019 22:20): Process Hacker (часть 3) только официальные сборки


    Реклама на форуме Ru.Board.

    Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
    Modified by Ru.Board
    © Ru.Board 2000-2018

    BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

    Рейтинг.ru