» Process Hacker

Fafy

Переключение вида сделать просто - пощёлкайте ЛКП по имени колонки Name, запуск вместе с ОС включается инсталлятором - там поставьте галочку, или пропишите РН в автозапуск для всех пользователей. Чтобы он стартовал свёрнутым в трее должна как минимум одна его иконка (ограничение ОС).

Добавлено:
Fafy

Полностью закрыть автозапуск умеют только антивирусы, да и то не все. Как вариант можно поиграться с правами доступа на эти ключи (ОС дать возможность записи, пользователям только чтения), но раз вы не специалист вам тут лучше не рисковать из-за возможных ошибок что приведёт нарушению работы всей ОС в целом.

Добавлено:
Цена этого контроля будет слишком высока (в смысле потребления ресурсов) чтобы с ней связываться "в лоб".

Victor_VG
А я все думал, как программа отображает вид, то древовидный то списком. Думал глюк. Спасибо за подсказку.

Есть ли какие преимущества версии инсталл над портативной?

Добавлено:

Цитата:

Цена этого контроля будет слишком высока (в смысле потребления ресурсов) чтобы с ней связываться "в лоб".

Раньше использовал AnVir Task Manager, и я что-то не заметил сильного потребления ресурсов.

Цитата:

Полностью закрыть автозапуск умеют только антивирусы, да и то не все.

Нужно всего-то навсего чтобы программа спрашивала меня при добавлении в автозагрузку, и возможностью сказать наглой программе - НЕТ!

Fafy

Цитата:

Нужно всего-то навсего чтобы программа спрашивала меня при добавлении в автозагрузку, и возможностью сказать наглой программе - НЕТ!

WinPatrol.

Fafy

Используйте инсталлятор - он не установит плагины не работающие на вашей ОС раз, поставит правильную редакцию - два, выполнит часть работы по предварительной настройке - три. А автозапуск закройте или WinPatrol или к примеру McAfee Antivirus 8.8 Enterprise Edition благо он умеет это делать прекрасно, да и заразу вышибет на лету. РН не создавался для контроля за автозапуском программ. Это функция специализированных программ и антивирусов. И Anvir Task Manager это не эталон на который следует равняться, а специализированный инструмент созданный для решения конкретного класса задач частично пересекающегося с теми задачами управления и настройки ОС которые решает РН. Вот только новички по ошибке считают Anvir Task Manager эталоном который всем следует бездумно копировать не думая о том какие задачи он решает и для пользователей какого уровня подготовки был написан.

Цитата:

РН не создавался для контроля за автозапуском программ. Это функция специализированных программ и антивирусов. И Anvir Task Manager это не эталон на который следует равняться, а специализированный инструмент созданный для решения конкретного класса задач частично пересекающегося с теми задачами управления и настройки ОС которые решает РН.

Victor_VG Позвольте не согласится с вами по этому поводу. Я тоже не люблю комбайны, но также не люблю и уж слишком узкоспециализированных программ. Эта программа создавалась для управления системными процессами, а управление автозагрузкой тоже можно в эту область отнести. Зачем плодить кучу программ с похожим функционалом? Вроде как добиваемся оптимизации, и тут же за узкоспециализированные приложения.

Цитата:

Вот только новички по ошибке считают Anvir Task Manager эталоном который всем следует бездумно копировать не думая о том какие задачи он решает и для пользователей какого уровня подготовки был написан.

Я не сторонник Anvir Task Manager, ибо ищу ему замену. Но задумка в нем хорошая, в том числе и объединить управление процессами и автозагрузкой.

Fafy

1) из формального описания - РН это аналог Process Explorer с открытым исходным кодом (у прототипа исходники закрыты);
2) Задачи решаемые РН:

контроль запуска, отладка и частичное исследование процессов; поиск скрытых процессов; диагностика сетевых соединений процессов; установка, редактирование и удаление драйверов и сервисов (демонов, служб) ОС; общее управление сеансами пользователей включая их принудительное завершение при необходимости через Native API (API ядра); настройка распределения основных ресурсов ЭВМ - процессорного времени и полосы пропускания подсистемы ввода/вывода через средства ядра; индикация статистики производительности ОС по данным ядра, управление разрешениями безопасности (ACL) для программ и пользовательских сеансов, управление хендлами (указателями на существующие в ОС объекты - файлы, каталоги, ключи Реестра, потоки ввода/вывода, именованные каналы).

все указанные задачи решаются РН на уровне ядра ОС, а управление автозапуском это уже уровень пользовательской оболочки выход на который средства управления работающего в контексте ядра системы открывает потенциальному злоумышленнику неограниченные возможности по получению полного контроля на ОС и проникновению в интрасеть.

Но, посмотреть не суётся ли какая программа в ключи автозапуска можно по хендлам они выводят полный путь к открытому программой файлу или объекту а пристраивать к нему ещё сторожа автозапуска работающего с привилегиями ядра нет смысла - причины изложены выше в п 2).

Анвивр изначально работает на более низком уровне привилегий - уровне оболочки и потому в нём применение контроля автозапуска оправдано, в модуле ядра недопустимо.

Цитата:

установка, редактирование и удаление драйверов и сервисов (демонов, служб) ОС

А как с помощью PH удалить драйвер или сервис? А то я пользуюсь для этих целей ServicesPE.

А для контроля автозапуска - нужно теребить плагинописателей...

SLasH

Через ПКМ на его строке на вкладке Services. Там же они и правятся. Только при правке/создании имя и пароль стартовой учётной записи должны быть заполнены. Local System (ОС) не пройдёт т.к. пароль ОС даже админам не известен. Так что годится админский.

ПКМ на строке сервиса, затем Properties\вкладка Services. Там только 2 кнопки Stop, Pause.

ServicesPE таки гораздо удобнее.

Цитата:

А для контроля автозапуска - нужно теребить плагинописателей...

на уровне ядра такая функция не допустима, для этого есть менее привилегированные уровни управления.

Добавлено:
SLasH

Цитата:

Через ПКМ на его строке на вкладке Services.

+ Del / ShiftDel там же. Если Del / ShiftDel не доступны, значит правов не хватает (см. "+" около своего имени - признак наличия повышенных прав). У меня доступны. Иногда надо сначала их остановить/запретить. Есть такие демоны которые блокируют своё удаление. Их надо останавливать вплоть до TerminateProcess() для особо бронестойких.

Process Hacker v2.35 r5865

Постоянный линк в шапке, проблем у себя я не заметил, архив обновлён. Исправления в исходники внёс dmex.

Что нового?

Цитата:

r5865
Plugins: Fixed compiler errors C4311 (pointer truncation) and C4312 (unsafe type conversion)

r5864
NetworkTools: added CHANGELOG.txt notes

r5863
ExtendedTools: removed unused HMENU code

r5862
NetworkTools: Fix version inconsistency

r5861
ProcessHacker: Fix null terminator (Patch by Scott: http://processhacker.sf.net/forums/viewtopic.php?p=5603)

DmitryFedorov
Попробовал rus версию r5844. У меня показывает что память забита на 100%. C eng версией от Victor_VG все нормально.

Radanius

Там есть один интересный переключатель в настройках - Options - Graphs:



который управляет режимом вывода размера занятой памяти на панели System Information. По умолчанию он сброшен и выводится использование физического ОЗУ, но если установить, то увидим использование всей виртуальной памяти ОС == объём ОЗУ плюс суммарный объём файла подкачки. Обычно это нужно для подстройки его объёма, а в большинстве случаев удобнее ориентироваться по объёму ОЗУ. Мне к примеру уже его не увеличить - 8 Гб DDR3 это предел что умеет адресовать чипсет P45 Express, да и для Х48 он аналогичен ибо контроллер памяти там одинаковый.

Victor_VG
Все равно что-то не то пальто: Переключатель Вкл | Переключатель Выкл | Eng версия

Radanius

Где-то код задет. Именно потому я лично против переводов бинарников для РН - тут надо переводить на уровне исходников, а после собирать локализованный вариант. А при том, что в день может приходить несколько коммитов (были десятки коммитов в день) это не реально по трудозатратам ибо каждое изменение требует анализа и внесение корректив зачастую во все исходники.

Добавлено:
Process Hacker v2.35 r5866

Постоянный линк в шапке, проблем у себя я не заметил, архив обновлён. Исправления в исходники внёс dmex.

Что нового?

Цитата:

r5866
Plugins: Reverted r5865

Victor_VG
Можно ли попросить разработчиков вернуть пункт Hidden Processes в меню х64-версии? Понимаю, что как борьба с зловредами инструмент не ахти, но пару раз пригодилось и хотелось бы единообразия с х86.

Skif_off

Оформил виш, ждём решения.

Добавлено:
Process Hacker v2.35 r5867

Постоянный линк в шапке, проблем у себя я не заметил, архив обновлён. Исправления в исходники внёс dmex.

Что нового?

Цитата:

r5867
Plugins: Reverted r5865

Process Hacker v2.35 r5868

Постоянный линк в шапке, проблем у себя я не заметил, архив обновлён. Исправления в исходники внёс dmex.

Что нового?

Цитата:

r5868
Updater: fix typo

ну всё, я спать.

Radanius

Цитата:

DmitryFedorov
Попробовал rus версию r5844. У меня показывает что память забита на 100%. C eng версией от Victor_VG все нормально.

Не могу подтвердить. У меня все как раньше, т.е. нормально.
Картинки твои посмотрел, но они сделаны в разное время.

Для сравнения у себя я вызываю ПАРАЛЛЕЛЬНО или еще один хакер или жму ctrl+Shift+Esc - это TaskManager. Тоже все сходится.
Попробуй запустить без плагинов.
--------------
В общем это не может ведь быть только на одном твоем компьютере. согласен?
Victor_VG
Не путай народ. Перевод - это замена букв в общем и целом. А вот когда ты начнешь трогать исходники - тогда да, можно и код покорежить. А у меня нет доступа к коду. Вааще.

DmitryFedorov думаю все вопросы с переводами могут решиться раз и на всегда только одним способом, когда локализация интерфейса будет поддержана на уровне программы, и локализации на разные языки будут нормально сделаны отдельными файлами.
Но по этому поводу пока тишина к сожалению.

AKRAV
Полностью согласен, но не думаю что это когда то будет сделано.

Статистика такая: всего 2200 строк для перевода. Половину трогать не надо. Можно подключить хоть сейчас.
Вторая часть это жестко-кодированные строки (1040), из них больше половины (650) - в ProcessHacker.exe
Это придется переносить в другой раздел файлов или делать ссылки.
Резюме - маловероятно.

DmitryFedorov
AKRAV

С локализацией был ответ wj32 на форуме - нет, архитектура программы не предусматривает поддержки локализации интерфейса.
DmitryFedorov

Цитата:

Перевод - это замена букв в общем и целом. А вот когда ты начнешь трогать исходники - тогда да, можно и код покорежить.

Не точно - когда переводятся текстовые фрагменты исходников, то при сборке компилятор сам учитывает размеры слов и строит код правильно, а когда переводится уже готовый бинарник - вот тут нужна сверхосторожность чтобы случайно не задеть код поскольку компиляторы часто ставят относительные адреса переходов вида addr1+123 и если ЦП переходя на на тот адрес встретит не машинную команду, а символ текста, то ничего страшного, выполним команду в соответствии с её форматом, а что будет дальше посмотрим.

пример (грубый) на ассемблере S/360::

start spsw addr234 // сохраним состояние ЦП
mov r1,L`xxxxxxxx` // загрузим маску параметров для вызова SVC 107
jmp 14 - обойдём литерал
parm dd L`мама мыла раму` // параметры для теста
exec r1,2 // выполним команду SVC 107 с её модификацией в ОЗУ
svc 113 // отработается modeset поставив новое PSW - привилегированный режим когда доступны любые команда и адреса ОЗУ
diag test1 // вызовем команду ДИАГНОСТИКА для запуска теста
call r3+r2,23 // зовём что-то ещё
retn r3 // возврат с кодом в r3

в parm dd у нас сидит литерал с текстом фиксированной длинны, и коли кто-то при правке бинарника усечёт или увеличит его не изменив смещение в jmp 14, то весь код мило отправится в Тартар, а на уровне исходника это дело правится легко - поменяем смещение или изменим код фрагмента:

jmp lbl1 - обойдём литерал
parm dd L`мама мыла раму` // параметры для теста
lbl1 exec r1,2 // выполним команду SVC 107 с её модификацией в ОЗУ

то компилятор сам вычислит текущие адреса, но в бинарнике смещение всегда будет фиксированным и это придётся учитывать.

Цитата:

Попробовал rus версию r5844. У меня показывает что память забита на 100%. C eng версией от Victor_VG все нормально.

Radanius У вас наверное ОС х64, а локализованную программу используете х32, а английскую версию пробовали - х64. Верно?
Тогда запустите английскую версию программы архитектуры - х32, и увидите то же самое, что и в локализованной программе х32.

=====================

Решил посмотреть на активность сети в этой программе и сразу же стал в ступор. Каким боком программа берет название Локального порта для некоторых системных процессов и браузера Firefox ПЕРВОГО адреса из списка блокировки в файле hosts. Если же hosts чистый, то тогда лишь программа показывает название моего ПК.
Нарпимер:
Код: explorer.exe (1840), www.internetdownloadmanager.com, 49155, , , TCP, Listen (сервер ждёт запрос синхронизации), , , ,
firefox.exe (3588), www.internetdownloadmanager.com, 49167, www.internetdownloadmanager.com, 49166, TCP, Established (соединение установлено), , 392 B, 392,
firefox.exe (3588), www.internetdownloadmanager.com, 49166, www.internetdownloadmanager.com, 49167, TCP, Established (соединение установлено), , 392 B, , 392

Fafy
Да, так и есть, упустил этот момент. Спасибо.

Fafy

NT Lan Manager клиент реализующий стек TCP во всех ОС семейства WINNT если есть записи в lmhosts/hosts при разрешении IP адресов сначала читает их по порядку следования строк, и первая из них считается им основной записью DNS zone A, следующие алиасами для данного IP. IP 127.0.0.1 это looрback попросту заглушка замыкающая поток на на входе сетевого адаптера - так реализован механизм самотестирования сети по рекомендациям CCITT. При этом данные поступившие на входной порт адаптера без изменения сразу передаются на его выходной порт без изменения и передачи их в сеть, программно это реализуется как сообщение "Нет ответа удалённого хоста" на сетевом уровне OSI/ISO 7498 с нулевым временем ответа сети.

А как можно сделать, что бы и список блокировки был и при этом в программе отображалось имя моего ПК?

Прошу сильно не бить, за может глупый вопрос, а что это за движение лисицы при каждом запуске? Я только делаю первые шажочки в познании этих вещей.

Код: firefox.exe (3588), www.internetdownloadmanager.com, 49167, www.internetdownloadmanager.com, 49166, TCP, Established (соединение установлено), , 392 B, 392,
firefox.exe (3588), www.internetdownloadmanager.com, 49166, www.internetdownloadmanager.com, 49167, TCP, Established (соединение установлено), , 392 B, , 392

Fafy (14:04 07-05-2015)
Цитата:

А как можно сделать, что бы и список блокировки был

Что за список блокировки?

Fafy (14:04 07-05-2015)
Цитата:

и при этом в программе отображалось имя моего ПК?

Оно в заголовке окна должно отображаться.

Плагин качалки в фоксе коннектится к серверу, за обновками или еще за чем.

boi1eI Это к моему предыдущему сообщению:

Цитата:

Решил посмотреть на активность сети в этой программе и сразу же стал в ступор. Каким боком программа берет название Локального порта для некоторых системных процессов и браузера Firefox ПЕРВОГО адреса из списка блокировки в файле hosts. Если же hosts чистый, то тогда лишь программа показывает название моего ПК.
Нарпимер:
Код: explorer.exe (1840), www.internetdownloadmanager.com, 49155, , , TCP, Listen (сервер ждёт запрос синхронизации), , , ,
firefox.exe (3588), www.internetdownloadmanager.com, 49167, www.internetdownloadmanager.com, 49166, TCP, Established (соединение установлено), , 392 B, 392,
firefox.exe (3588), www.internetdownloadmanager.com, 49166, www.internetdownloadmanager.com, 49167, TCP, Established (соединение установлено), , 392 B, , 392

А вот несколько ПЕРВЫХ строчек из hosts:

Код: 127.0.0.1 www.internetdownloadmanager.com
127.0.0.1 tonec.com
127.0.0.1 www.tonec.com

Fafy
localhost в этом случае по всей видимости резолвится в www.internetdownloadmanager.com? Наверное это loopback для IDM. Что-то непонятное.

Fafy

Ну, для полноценного контроля за сетевой активностью ПО вам потребуется к примеру Werishark или иной сниффер ибо в них можно увидеть расшифровку сетевых пакетов что и объяснит зачем программа к данному хосту коннектится. Точнее не зная конфигурации конкретной сети сказать сложно, но при наличии LOOPBACK возможно что через него замкнулась какая-то проверка ибо есть не мало программ устанавливающих соединение с сервером разработчика к примеру для проверки лицензии (на этом принципе построен ряд систем защиты ПО) или наличия обновлений. И многие из них лезут в сеть не только сами, но (к примеру многие программы Adobe Systems, Inc.) и при своей блокировке брандмауэром лезут в сеть через любые сетевые соединения найденные ими в системе.

Ну и сама ОС WINNT так же построена по принципу клиент-сервер и взаимодействие между её компонентами осуществляется через внутреннюю сеть, что предотвращает отказ ОС в целом при отказе отдельной подсистемы, а ядро играет только роль диспетчера взаимодействия подсистем пересылая между ними клиентские запросы на обслуживание и ответы сервера на них.

Цитата:

А вот так ДОЛЖЕН выглядеть список:

не должен. Так он бы выглядел при отсутствии записей loopback в hosts/lmhosts, а при их наличии DNS через механизмы обратной зоны (arpa) смотрит первую строку таблицы для данного IP и считывает из неё имя хоста которое и возвращает ОС, и это имя выводится в РН.