【每日一记】--Process Hacker--2019年11月7日

一、简介

      Process Hacker是一款针对高级用户的安全分析工具，它可以帮助研究人员检测和解决软件或进程在特定操作系统环境下遇到的问题。除此之外，它还可以检测恶意进程，并告知我们这些恶意进程想要实现的功能。

二、应用场景

1、怀疑系统有病毒需要进行进程分析以及网络等行为分析；

2、需要处置已知的恶意程序或者进程。   

三、下载地址

下载：https://processhacker.sourceforge.io/webshellki

四、功能分析

1、进程、服务和网络查看

①按照CPU从大到小排序，很有可能查看挖矿病毒；

②查看问题PID是否有注册服务；

③远程地址，端口号查看，可查看相关的病毒，如勒索病毒的445端口。

注：默认配置下，会在Processes标签页中以树形图的形式显示所有当前正在运行的进程列表进程：标识符（PID）；-CPU使用占比（CPU）；-I/O总速率；-私有字节；-运行进程的用户名；-进程简单描述。

2、单个进程处理

2.1、一般常用：

Terminate（终止进程）

Terminate Tree （结束整个进程树）

Properties（进程具体信息）

注：

①Terminate 和Terminate Tree区别是对于有父进程守护的病毒，单独杀死子进程后父进程会生成子进程，所以建议使用Terminate Tree结束整个进程树。

②如果父进程是svchost等系统进程就要注意了，不能随意结束父进程否则可能会导致系统崩溃。

2.2、Properties说明

查看进程具体的Properties信息，里面包括进程路径，内存加载的文件等各种信息。

感谢楼主分享，期待楼主分享更多实用笔记，继续坚持，领取更多成长激励！

感谢作者分享，步骤写的很详细

打卡学习，感谢大佬分享！

非常好的实践教程，谢谢分享

打卡学习，感谢大佬分享！