Process Hacker es una herramienta muy valiosa para usuarios avanzados. Puede ayudarles a solucionar problemas u obtener más información sobre procesos específicos que se ejecutan en un determinado sistema. Puede ayudar a identificar procesos maliciosos y decirnos más sobre lo que están tratando de hacer.
Información de fondo
Process Hacker es un proyecto de código abierto y la última versión se puede descargar desde aquí . El sitio también proporciona una descripción general rápida de lo que puede hacer con Process Hacker y su aspecto. A primera vista, Process Hacker se parece mucho a Process Explorer pero tiene más opciones. Y ya que es de código abierto, incluso puedes agregar algunos de los tuyos si puedes y quieres.
Instalación
Si solo desea comenzar a utilizar la herramienta, es tan fácil como descargar y ejecutar el instalador:
La versión actual en el momento de la escritura es 2.39.
Durante el proceso de instalación verá algunas opciones:
Acepta el eula
Elija la carpeta de destino para el programa.
Seleccione los componentes que desee. No requieren mucho espacio, por lo que no hay necesidad de ser exigentes.
Vale la pena estudiarlos y depende de cómo planea usar Process Hacker. La mayoría se puede cambiar después sin embargo.
¡Y ya está!
La pantalla principal
Cuando ejecutas Process Hacker esta es la pantalla principal.
En la configuración predeterminada, muestra la pestaña Procesos con todos los procesos en ejecución en la vista de árbol y en las listas:
- su identificador de proceso (PID)
- su porcentaje de uso de la CPU (CPU)
- su tasa total de E / S
- sus bytes privados
- el nombre de usuario con el que se está ejecutando el proceso
- una breve descripción
Al pasar el mouse sobre uno de los nombres del proceso, puede encontrar más información sobre ellos.
Las otras pestañas son Servicios , Red y Disco . Cada uno de los dos últimos muestra más información sobre los procesos con respecto a su uso de la red y el disco, respectivamente. La pestaña de servicios muestra una lista completa de los servicios y controladores actuales.
El significado de la codificación por colores de los procesos se puede encontrar y modificar en Hacker > Opciones > en la pestaña Resaltado .
La opción para cambiar al Administrador de tareas de reemplazo con Process Hacker se puede encontrar en Hacker > Opciones > en la pestaña Avanzado .
Mangos de liberación
Una opción muy útil que Process Hacker tiene para ofrecer es que puede ayudarlo a eliminar aquellos archivos que simplemente no quieren desaparecer porque están «en uso por otro proceso».
Process Hacker puede ayudarte a identificar ese proceso y romper el empate. Aquí está el procedimiento:
- En el menú principal, haga clic en Buscar manejadores o DLLs.
- En la barra de filtros , escriba el nombre completo del archivo o una parte de ese nombre, luego haga clic en Buscar
- En los resultados, busque el nombre de archivo exacto y haga clic con el botón derecho en esa línea.
- En el menú contextual, seleccione Ir al proceso de propiedad.
- El proceso se resaltará en la ventana Procesos .
- Haga clic derecho en el proceso del marcador y seleccione Terminar
- Tenga en cuenta la advertencia en el mensaje de que los datos podrían perderse y tenga en cuenta que Process Hacker puede cerrar procesos donde otros administradores de tareas pueden fallar
- Si elige finalizar el proceso, puede intentar eliminar de nuevo el archivo bloqueado
Escapando browlocks
Process Hacker también puede ayudarlo a escapar de algunos de los sitios que utilizan tácticas de bloqueo de cerrojo . Por ejemplo sitios que usan este script de inicio de sesión:
El objetivo de los actores de amenazas es lograr que el visitante del sitio permita primero las notificaciones y, al final, que instale una de sus extensiones. Malwarebytes generalmente detecta estas extensiones como PUP.Optional.ForcedInstalledExtensionFF.Generic. Puede encontrar más detalles sobre estas extensiones en esta guía de eliminación para una extensión sin nombre que proviene de browser-test.info .
Pero de todos modos, para cerrar una pestaña de este tipo en Firefox normalmente se requiere que cierre Firefox por completo, perdiendo todas las demás pestañas abiertas o, si tiene la opción Restaurar sesión anterior habilitada, recupérelas todas, incluido el bloqueo de cejas. Con Process Hacker puedes mirar en la pestaña de Red:
Una vez que haya encontrado la parte culpable, seleccione la línea que muestra el contacto a la IP o al dominio del sitio de bloqueo de cejas. Utilicé tracert para determinar la IP de ffkeitlink.cool. Haga clic con el botón derecho en esa línea, elija Cerrar y esto interrumpirá temporalmente la conexión, impidiendo que el script actualice la solicitud todo el tiempo. Eso le da la oportunidad de cerrar la pestaña y continuar sin tener que forzar el proceso de Firefox.
Dumping cadenas de memoria
Puede utilizar Process Hacker para crear volcados de memoria de procesos. Los analistas usan estos volcados para buscar cadenas y usan scripts o reglas de Yara para hacer una clasificación inicial de un proceso. ¿Es malware? Si es así, ¿qué tipo de malware? ¿Es después de la información, qué información y dónde la envía?
Haga clic con el botón derecho en el proceso en ejecución para el que desea crear un volcado de memoria y seleccione Crear archivo de volcado … y luego use la ventana del explorador para buscar la ubicación donde desea guardar el volcado. El volcado de memoria creado por Process Hacker tendrá la extensión dmp. Dependiendo de lo que esté buscando, el archivo dmp se puede abrir en un editor hexadecimal, un editor de texto o mimikatz (si busca credenciales).
Puede crear los mismos volcados de memoria con Process Explorer, pero Process Hacker también incluye la compatibilidad con .NET que Process Explorer no.
Encontrar recursos de cerdos
Como con la mayoría de los programas de este tipo que identifican recursos, los cerdos son fáciles.
Haga clic en el título de la CPU sobre la columna y la columna se ordenará según el uso de la CPU, que le mostrará si un proceso lo está ralentizando y cuál. El mismo se puede hacer de bytes privados y I O tasa total / .
Versátil y potente
Process Hacker es una herramienta muy versátil que tiene mucho en común con Process Explorer. Dado que tiene algunas opciones más y es más potente que Process Explorer, los usuarios avanzados pueden preferir Process Hacker. Los usuarios menos avanzados que temen las posibles consecuencias de la potencia adicional pueden querer quedarse con Process Explorer. Si necesita ayuda con Process Hacker, tienen un foro bastante activo en el que puede encontrar ayuda.
Notas:
- Algunos AV señalan a Process Hacker como Riskware o potencialmente no deseado porque puede terminar muchos procesos, incluidos algunos que pertenecen al software de seguridad. Malwarebytes no detecta a Process Hacker como malicioso o potencialmente no deseado.
- El proceso de mbamservice no puede ser detenido permanentemente por Process Hacker si tiene el módulo de autoprotección habilitado. Puede encontrar esta configuración en Configuración > pestaña Protección> Opciones de inicio .
Sobre el autor