下载掌阅APP,畅读海量书库
立即打开
Process Hacker是一款开源的系统管理工具,类似于Windows任务管理器,但拥有更加丰富和强大的功能。它可以展示运行在计算机上的所有进程,查看进程的详细信息、优先级、内存使用情况等,结束或挂起进程,还可以查看和管理服务、网络连接、系统性能和资源使用情况等。软件界面如图18-73所示。
图18-73 Process Hacker软件界面
1.基本用法
1)查看CPU利用率,由从多到少进行排序,可用于判断恶意挖矿等病毒,如图18-74所示。
图18-74 查看CPU利用率
2)分析进程PID是否在系统服务中注册过,如图18-75所示。
图18-75 分析进程PID
3)查看和管理网络连接,列出正在建立的网络连接和监听的端口,如图18-76所示。
2.分析.NET模块
在Process Hacker中,右击选中的进程,在弹出的菜单中选择Properties后进入.NET assemblies选项卡,可以看到当前进程加载的所有.NET程序集列表。这对于分析进程的功能和依赖非常有帮助。
这里需要强调一下,此时的Process Hacker要以管理员身份运行。比如输入eventvwr.msc命令通过MMC控制台启动事件查看器,对应的进程类名为mmc.exe。右击该进程并在弹出的菜单中选择Properties选项,可看到启动的事件查看器所有引用的.dll文件,如图18-77所示。
图18-76 查看和管理网络连接
图18-77 mmc.exe所有引用的.dll文件
通过引用图18-77中的程序集文件,如EventViewer.dll,可以查看已加载的.NET assemblies,从而了解进程所依赖的.NET程序集。这些信息对于安全研究和漏洞分析都非常有帮助。