» Process Hacker

Victor_VG

Цитата:

оператор <...> не мог вывести систему из строя основную часть команд управления мы отделяем от него барьером

Где-то я это уже слышал ;)

Итого: для того, чтобы нормально использовать PH, нужно всё время давить runas. Иначе, если он даже ставится у нас дефолтным таскменеджером – он остаётся тупым виндовским таскменеджером. Только немного красивше.

Noclip_notarget
в хп?
Victor_VG
я не вижу ничего похожего на вкладки там.

Wu Tang

РН не может показать вкладки Оперы, но мы видим её треды которые формируют вкладки через вызовы opera.dll. Кто не выводит счётчиков производительности то и ждёт внешнего события.

Добавлено:
CocKain

Это старая добрая классика ЭВМ, только кое-какая компания решила выдать общеизвестное за своё изобретение. Бывает, не они первые. Rambus вот десять лет в JDEC сидела списывая чужие мысли а после запатентовала всё что слышала о схемотехнике ОЗУ и долго требовала с людей денег. Кончилось судом отменившим все её "изобретения" - публично известные технические решения патентовать нельзя ибо в них уже нет новизны.

Victor_VG

Цитата:

Это старая добрая классика ЭВМ

Там был смайлик :)

Просто надо определиться с целевой аудиторией. Или мы делаем инструмент для себя, зная что делаем. Или закладываем в инструмент защиту от тупого ламера. Только тогда ему этот инструмент нафиг не нужен.
Поясняю: когда PH встраивается в систему вместо таскменеджера, нужно его всё время запускать от админа. Мне так кажется.

CocKain
Цитата:

Просто надо определиться с целевой аудиторией. Или мы делаем инструмент для себя, зная что делаем. Или закладываем в инструмент защиту от тупого ламера.

А причем тут аудитория? Это разграничение прав доступа процессов.

Цитата:

нужно его всё время запускать от админа.

Ну да. Это легко настраивается.

CocKain

А он собственно и не рассчитан для новичка или среднего птушника. Зачем им функционал системного отладчика? РН это инструмент для профессионала, и если человек не понимает что последует за отданной им системе командой он ему лишний. Это примерно как дать на IBM S/370 "Око" девочке-птушнице которую научили диски-ленты менять, да кнопки нажимать, но у которой в голове одни танцы да свиданки. Ну увидит она таблицы главного планировщика, а толку? Для неё это тёмный лес, а системщик сразу видит где и что происходит и что надо поправить в сей консерватории чтобы она петуха не пускала. И вся прочая публика которая старается использовать профессиональные инструменты по принципу "Вот я какой большой - научился кувалдой орехи колоть" в моих глазах та же девочка, только в иной маске...

Victor_VG
ну и как определить то нужный?

Wu Tang

От задач. Нужный инструмент используется полностью или его возможностей чуток не хватает. Нет ничего страшнее чем новобранец с гранатой.

Victor_VG
как определить дескриптор вкладки в этом списке

Wu Tang

Дескриптора у неё не будет, будет тред со своим TID-ом.

Victor_VG
как узнать как называется тред?

Wu Tang

Имя треда не важно, да и нет его у него, а есть только динамически назначаемое число TID , важно его состояние по счётчикам и стеку (для этого щёлкаем по самому треду и видим стэк его вызовов) кто в длительном ожидании - серый, вот сей тред и снимем, но осторожно.

Уже много версий подряд не работает поиск скрытых процессов - CSR Handles..

wald1968

Без установленного KProcessHacker и наличия прав админа и не должно работать - Elevation. У меня работает.

Victor_VG
В х64 версии, кажется, нельзя увидеть скрытые процессы?

Skif_off

Почему? Мне лично проверить сейчас не на чем, но раньше я их прекрасно и там искал.

Victor_VG
В х86 есть пункт Tools/Hidden Processes , в х64 не было.

Skif_off

Судя по changelog поиск скрытых процессов запрещён для х64 систем начиная с версии 2.23.

wald1968

В исходниках есть строка:

Hidden process detection cannot function properly without KProcessHacker.

Дело в том что драйвер KProcessHacker в работе...

wald1968

А права?

Victor_VG
И при этом в подразделе FIXED:, нашёл этот коммит, так понял - фича не выпилена из кода, просто выпилен пункт меню в х64-версии.
Причина непонятна.

Skif_off

Скорее всего особенности WinAPI. Микрософт многое меняет втихую. Я думаю что в этом причина.

Victor_VG
Возможно, но фича, кажется, работает, если запустить х86-версию на х64 ОС.
Покопаюсь в баг-репортах (правда, пока не нашёл, где они ), компиляцию вряд-ли осилю, хотя бы пойму, в чем дело.

Добавлено:
Если правильно понял, обнаруживает только скрытые простыми методами, в чем причина выпиливания так и не нагуглил

Skif_off

Да, ограничения Native API ядра - драйвер работает с ним.

Skif_off
Process Hacker 2 (64bit) проверено на версии 2.33 2.34
Tools/Hidden Processes
ProcessHacker.exe
найти
74 27 41 B9 A6 9C 00 00
заменить
EB 27 41 B9 A6 9C 00 00

в коде mainwnd.c

Код: #ifdef _M_X64
if (menuItem = PhFindEMenuItem(Menu, 0, NULL, ID_TOOLS_HIDDENPROCESSES))
PhDestroyEMenuItem(menuItem);
#endif

Tilks
Круто, спасибо Правда, я так и не нашел официального мнения разработчика.

Tilks

По идее не сложно и пересобать, вопрос в другом - где поверить? У меня под руками нет Win64 машин...

Victor_VG
ну, это понятно что можно пересобрать, но мне тоже хотелось бы узнать причину отключения этой опции, а то дискриминация получается. Везде агитирует на переход на 64 бит системы, там всё лучше, больше, итд, а тут наоборот. Когда будет известна причина отключения, тогда и можно решать, надо ли пересобирать. У себя проверил, но у меня нету скрытых процессов, нашёлся один зависший (terminated), убил его и всё. Тогда надо ставить на виртуалку, и завести руткит какой нибудь, для проверки. хм, а есть ли руткит на 64 бит системе вообще? там же надо драйвер с подписью...

Tilks

Ну, в принципе скрыть процесс не столь и сложно, для теста можно запустить скрытую консоль с бесконечным циклом эха, вопрос в ином - а оно нам надо?

Victor_VG

Цитата:

вопрос в ином - а оно нам надо?

Вообще, автор предупреждает, что полноценный поиск руткитов невозможен, лично мне фича понадобилась пока только раз: нужно было понять, как и что запускает лаунчер одной онлайн игры.
Тем не менее, отличие в функционале х64 и х86 версий несколько смущает