今天給大家介紹的是一款免費(fèi)且強(qiáng)大的多功能工具，廣大研究人員可以利用該工具來(lái)監(jiān)控自己的系統(tǒng)資源，調(diào)試軟件或檢測(cè)惡意軟件。

[[259096]]

Process Hacker項(xiàng)目地址

• 官方網(wǎng)站：https://processhacker.sourceforge.io/
• GitHub：https://github.com/processhacker/processhacker

系統(tǒng)要求：Windows7及以上版本，支持32位或64位。

功能介紹

• 提供詳細(xì)的系統(tǒng)活動(dòng)信息概覽，支持高亮顯示;
• 提供圖標(biāo)數(shù)據(jù)和統(tǒng)計(jì)數(shù)據(jù)，可幫助我們快速追蹤目標(biāo)資源和進(jìn)程;
• 不能編輯或刪除文件?追蹤正在使用目標(biāo)文件的進(jìn)程;
• 活動(dòng)網(wǎng)絡(luò)連接診斷，可直接關(guān)閉連接;
• 獲取實(shí)時(shí)磁盤(pán)訪問(wèn)信息;
• 以內(nèi)核模式查看棧內(nèi)存數(shù)據(jù)，支持WOW64和.NET;
• 越過(guò)services.msc：創(chuàng)建、編輯和控制服務(wù);
• 體積小，可移動(dòng)，無(wú)需安裝;
• 100%免費(fèi)軟件(遵循GPL v3許可證協(xié)議)。

項(xiàng)目構(gòu)建

要求Visual Studio(2017及更高版本)

執(zhí)行build目錄下的build_release.cmd文件來(lái)編譯項(xiàng)目代碼，如果你想使用Visual Studio來(lái)構(gòu)建項(xiàng)目，你可以加載ProcessHacker.sln和Plugins.sln解決方案。

你可以從【這里】下載免費(fèi)版本的Visual Studio社區(qū)版來(lái)構(gòu)建、運(yùn)行或開(kāi)發(fā)Process Hacker。

其他信息：不可以在64位操作系統(tǒng)上運(yùn)行32位版本的ProcessHacker。

工具設(shè)置

如果你直接從U盤(pán)運(yùn)行Process Hacker，你同樣需要保存Process Hacker的設(shè)置。這里，你需要在Process Hacker.exe所在的目錄中創(chuàng)建一個(gè)名叫”ProcessHacker.exe.settings.xml”的空文件。

插件支持

點(diǎn)擊Hacker->Plugins配置工具插件。

如果你遇到由插件所導(dǎo)致的程序崩潰，請(qǐng)確保插件和Process Hacker均為新版本。

ExtendedTools插件所提供的磁盤(pán)和網(wǎng)絡(luò)信息僅可在Process Hacker以管理員權(quán)限運(yùn)行的環(huán)境下使用。

KProcessHacker

ProcessHacker使用了內(nèi)核模式驅(qū)動(dòng)器和KProcessHacker來(lái)輔助特定功能，其中包括：

• 捕捉內(nèi)核模式棧數(shù)據(jù);
• 提升進(jìn)程處理枚舉效率;
• 獲取文件信息;
• 獲取EtwRegistration對(duì)象名稱;
• 設(shè)置Handle屬性。

請(qǐng)注意，默認(rèn)配置下KprocessHacker僅允許有管理員權(quán)限的進(jìn)程建立連接。進(jìn)行下列操作可允許ProcessHacker查看所有進(jìn)程(無(wú)管理員權(quán)限)：

• 在注冊(cè)表編輯器中，找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\KProcessHacker3;
• 在這個(gè)鍵下，創(chuàng)建一個(gè)名叫Parameters的鍵;
• 創(chuàng)建一個(gè)名為SecurityLevel的DWORD值，設(shè)置為2;如果你使用的不是官方版本，你需要將其設(shè)置為0;
• 重啟KprocessHacker3服務(wù)(sc stop KProcessHacker3,sc start KProcessHacker3)。