Herramientas avanzadas: Process Hacker

Herramientas avanzadas: Process Hacker

Herramientas avanzadas: Process Hacker

Publicado: 9 de noviembre de 2018 por 

Process Hacker es una herramienta muy valiosa para usuarios avanzados. Puede ayudarles a solucionar problemas u obtener más información sobre procesos específicos que se ejecutan en un determinado sistema. Puede ayudar a identificar procesos maliciosos y decirnos más sobre lo que están tratando de hacer.

Información de fondo

Process Hacker es un proyecto de código abierto y la última versión se puede descargar desde aquí . El sitio también proporciona una descripción general rápida de lo que puede hacer con Process Hacker y su aspecto. A primera vista, Process Hacker se parece mucho a Process Explorer pero tiene más opciones. Y ya que es de código abierto, incluso puedes agregar algunos de los tuyos si puedes y quieres.

Instalación

Si solo desea comenzar a utilizar la herramienta, es tan fácil como descargar y ejecutar el instalador:Procesar opciones de descarga de hackers

La versión actual en el momento de la escritura es 2.39.

Durante el proceso de instalación verá algunas opciones:

Acepta el eula

Acepta el eula

Elija la carpeta de destino para el programa.

Elija la carpeta de destino para el programa.

seleccionar componentes

Seleccione los componentes que desee. No requieren mucho espacio, por lo que no hay necesidad de ser exigentes.

tareas adicionales

Vale la pena estudiarlos y depende de cómo planea usar Process Hacker. La mayoría se puede cambiar después sin embargo.

terminar

¡Y ya está!

La pantalla principal

Cuando ejecutas Process Hacker esta es la pantalla principal.

Hacker de procesos GUI

En la configuración predeterminada, muestra la pestaña Procesos con todos los procesos en ejecución en la vista de árbol y en las listas:

  • su identificador de proceso (PID)
  • su porcentaje de uso de la CPU (CPU)
  • su tasa total de E / S
  • sus bytes privados
  • el nombre de usuario con el que se está ejecutando el proceso
  • una breve descripción

Al pasar el mouse sobre uno de los nombres del proceso, puede encontrar más información sobre ellos.

Información Adicional

Las otras pestañas son Servicios , Red y Disco . Cada uno de los dos últimos muestra más información sobre los procesos con respecto a su uso de la red y el disco, respectivamente. La pestaña de servicios muestra una lista completa de los servicios y controladores actuales.

Lista completa de servicios y drivers.

El significado de la codificación por colores de los procesos se puede encontrar y modificar en Hacker > Opciones > en la pestaña Resaltado .

destacando

La opción para cambiar al Administrador de tareas de reemplazo con Process Hacker se puede encontrar en Hacker > Opciones > en la pestaña Avanzado .

Mangos de liberación

Una opción muy útil que Process Hacker tiene para ofrecer es que puede ayudarlo a eliminar aquellos archivos que simplemente no quieren desaparecer porque están “en uso por otro proceso”.

Process Hacker puede ayudarte a identificar ese proceso y romper el empate. Aquí está el procedimiento:

  • En el menú principal, haga clic en Buscar manejadores o DLLs.
  • En la barra de filtros , escriba el nombre completo del archivo o una parte de ese nombre, luego haga clic en Buscar
  • En los resultados, busque el nombre de archivo exacto y haga clic con el botón derecho en esa línea.
  • En el menú contextual, seleccione Ir al proceso de propiedad.
  • El proceso se resaltará en la ventana Procesos .
  • Haga clic derecho en el proceso del marcador y seleccione Terminar
  • Tenga en cuenta la advertencia en el mensaje de que los datos podrían perderse y tenga en cuenta que Process Hacker puede cerrar procesos donde otros administradores de tareas pueden fallar
  • Si elige finalizar el proceso, puede intentar eliminar de nuevo el archivo bloqueado

 

Escapando browlocks

Process Hacker también puede ayudarlo a escapar de algunos de los sitios que utilizan tácticas de bloqueo de cerrojo . Por ejemplo sitios que usan este script de inicio de sesión:

solicitud de inicio de sesión de browlock

El objetivo de los actores de amenazas es lograr que el visitante del sitio permita primero las notificaciones y, al final, que instale una de sus extensiones. Malwarebytes generalmente detecta estas extensiones como PUP.Optional.ForcedInstalledExtensionFF.Generic. Puede encontrar más detalles sobre estas extensiones en esta guía de eliminación para una extensión sin nombre que proviene de browser-test.info .

Pero de todos modos, para cerrar una pestaña de este tipo en Firefox normalmente se requiere que cierre Firefox por completo, perdiendo todas las demás pestañas abiertas o, si tiene la opción Restaurar sesión anterior habilitada, recupérelas todas, incluido el bloqueo de cejas. Con Process Hacker puedes mirar en la pestaña de Red:

culpable de propiedad intelectual

Una vez que haya encontrado la parte culpable, seleccione la línea que muestra el contacto a la IP o al dominio del sitio de bloqueo de cejas. Utilicé tracert para determinar la IP de ffkeitlink.cool. Haga clic con el botón derecho en esa línea, elija Cerrar y esto interrumpirá temporalmente la conexión, impidiendo que el script actualice la solicitud todo el tiempo. Eso le da la oportunidad de cerrar la pestaña y continuar sin tener que forzar el proceso de Firefox.

Dumping cadenas de memoria

Puede utilizar Process Hacker para crear volcados de memoria de procesos. Los analistas usan estos volcados para buscar cadenas y usan scripts o reglas de Yara para hacer una clasificación inicial de un proceso. ¿Es malware? Si es así, ¿qué tipo de malware? ¿Es después de la información, qué información y dónde la envía?

Haga clic con el botón derecho en el proceso en ejecución para el que desea crear un volcado de memoria y seleccione Crear archivo de volcado … y luego use la ventana del explorador para buscar la ubicación donde desea guardar el volcado. El volcado de memoria creado por Process Hacker tendrá la extensión dmp. Dependiendo de lo que esté buscando, el archivo dmp se puede abrir en un editor hexadecimal, un editor de texto o mimikatz (si busca credenciales).

Puede crear los mismos volcados de memoria con Process Explorer, pero Process Hacker también incluye la compatibilidad con .NET que Process Explorer no.

Encontrar recursos de cerdos

Como con la mayoría de los programas de este tipo que identifican recursos, los cerdos son fáciles.

usando muchos ciclos de CPU

Haga clic en el título de la CPU sobre la columna y la columna se ordenará según el uso de la CPU, que le mostrará si un proceso lo está ralentizando y cuál. El mismo se puede hacer de bytes privados y I O tasa total / .

Versátil y potente

Process Hacker es una herramienta muy versátil que tiene mucho en común con Process Explorer. Dado que tiene algunas opciones más y es más potente que Process Explorer, los usuarios avanzados pueden preferir Process Hacker. Los usuarios menos avanzados que temen las posibles consecuencias de la potencia adicional pueden querer quedarse con Process Explorer. Si necesita ayuda con Process Hacker, tienen un foro bastante activo en el que puede encontrar ayuda.

Notas:

  • Algunos AV señalan a Process Hacker como Riskware o potencialmente no deseado porque puede terminar muchos procesos, incluidos algunos que pertenecen al software de seguridad. Malwarebytes no detecta a Process Hacker como malicioso o potencialmente no deseado.
  • El proceso de mbamservice no puede ser detenido permanentemente por Process Hacker si tiene el módulo de autoprotección habilitado. Puede encontrar esta configuración en  Configuración  >  pestaña Protección>  Opciones de inicio .

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.