Tutoriel Process explorer

Répondre
     
Avatar du membre
hackinginterdit
Site Admin
Messages : 243
Enregistré le : 03 sept. 2017, 19:16

Tutoriel Process explorer

Message par hackinginterdit » 01 juin 2018, 10:45

Process Explorer est un gestionnaire de tâches plus évolué que celui de Windows qui permet de visualiser/gérer les processus "terminer, suspendre etc"
Il permet aussi de visualiser les handles, DLL chargés/ouverts par chaque processus.
Les colonnes affichent les informations relatives aux process (PID, utilisation CPU, description etc).

Image

L’affichage des processus peut se faire de manière linéaire ou en arborescence "View / Show Process Tree".
C'est l'affichage que je préfère car on peut visualiser les processus parents et enfants ce qui peut être interressant lorsqu’un dropper lance divers autres trojans.

Image

avec les couleurs, qu'est-ce que l'on voit

Du bleu clair (3) : c'est notre session. Donc tous les processus lancés dans notre session seront de cette couleur;
Du rose (1): ce sont les services système;
Du blanc (2): processus système ou une session différente.

Image

Voici la légende par défaut des couleurs modifiable par le menu Options Configure colors....

New objets : Nouveau processus lancé. Le processus qui vient d’être lancé sera en légende rouge pour passer dans une autre couleur selon le type d’élément.
Deleted Objets : Processus en cours de terminaison.
Own Processes : Processus démarrés par l’utilisateur courant.
Services : comme son nom l'indique Services
Packed Images : Processus packés (Les packers sont des utilitaires qui permettent de compresser et/ou encrypter des exécutables, ceci permet de protéger des analyses antivirus mais ceci n’est pas forcément utilisés par les malwares le programme d’installation d’un logiciel peut-être packé).
Jobs : Tâches Planifiées
NET Processes : Programmes écrit en .NET
Relocated DLL : La DLL n’est pas chargée dans son espace mémoire habituelle.

Image

En faisant un clique droit sur les colonnes du haut. On peut aussi ajouter de nouvelles colonnes :

Image

Un clic droit sur un processus permet de gérer celui-ci

Kill Process : tue le processus en cours
Kill Process Tree : tue le processus parents et ses enfants
Restart : termine et relance le processus, le processus parent sera celui de Process Explorer
Suspend : Suspend l’exécution du processus, celui-ci est « freez »
Properties : permet d’ouvrir une fenêtre informative sur le processus (voir plus bas).

Enfin le menu Find permet de faire une recherche sur une ressource (DLL, fichier etc.) afin de savoir si celle-ci est en cours d’utilisation.

Image

2) Tracer l'activité du système

En plus d'afficher le processus en cours, il va modifier les couleurs pour les processus nouvellement crées et ceux qui meurent.

un processus créé va apparaître en vert
alors qu'un processus qui meurt apparaîtra en rouge :

Propriétés d’un processus

Processus Explorer donne la possibilité d’obtenir une multitude d’informations sur les processus en cours (Handle, DLL chargées etc…).
L’onglet Image permet d’obtenir le chemin du fichier et le répertoire de lancement du processus.
Vous pouvez savoir par quel utilisateur le processus a été lancé et à quelle heure.

Image

L’onglet Performance/Performance Graph donne les ressources utilisées par le processus (Mémoire, CPU etc).

Image

Image

L’onglet Threads permet de visualiser les threads démarrés par le processus les threads sont des processus légers démarrés par les processus parents et s’exécutant dans l’espace mémoire du processus parents.
Tout comme il est possible d’arrêter un processus, Process Explorer permet de suspendre ou tuer un Thread "boutons Kill et Suspend".

Image

L’onglet TCP/IP permet de visualiser l’état des connexions TCP/IP du processus.

Image

L’onglet Security permet de visualiser les privilèges avec lequel le processus est lancé Privilege Constants
Les assignment par utilisateur se font dans les sécurités locales (secpol.msc)

Image

L’onglet Environment donne les variables d’environnement avec lequel le processus a été démarré.

Image
Répondre

Réseau social