Auteur Sujet: Utilisation de Process Explorer de Sysinternals  (Lu 12532 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10278
Utilisation de Process Explorer de Sysinternals
« le: octobre 19, 2012, 22:37:02 »
Process Explorer de Sysinternals:

Process Explorer est un outil beaucoup plus puissant et complet que le gestionnaire des tâches de Windows. Il est compatible sur les plateformes XP, Vista et Seven et ne nécessite pas d'installation.



Page d'information : http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Téléchargement :
http://download.sysinternals.com/files/ProcessExplorer.zip


1 ) Un gestionnaire de tâches "sur-vitaminé"

Au premier lancement, on voit les processus qui sont en cours d'utilisation avec différentes couleurs. Nous détaillerons les couleurs un peu plus loin.



On peut ainsi observer :


1-Nom du processus
2-PID
3-Utilisation en cours de CPU
4-Taille en Mémoire
5-S'il possède un nom de compagnie



Si on zoome un peu sur les couleurs, qu'est-ce que l'on voit ?



Du bleu clair : c'est notre session. Donc tous les processus lancés dans notre session seront de cette couleur;
Du rose :  ce sont les services système;
Du violet : le processus est "packé" : c'est-à-dire qu'il est compressé ou qu'il est chiffré (ou les deux),nous détaillerons plus tard.
Du blanc : processus système ou une session différente.

Comment le savoir ?
En faisant un clique droit sur les colonnes du haut. On peut aussi ajouter de nouvelles colonnes :



Ajouter les colonnes UserName et Session pour bien faire apparaître les différences.

2) Tracer l'activité du système

En plus d'afficher le processus en cours, il va modifier les couleurs pour les processus nouvellement crées et ceux qui meurent.

un processus créé va apparaître en vert  :



un processus qui meurt apparaîtra en rouge :



3) Les processus

Comme son nom l'indique, Process Explorer s'occupe des processus.

Premier point : en passant la souris sur le processus cible,on verra son chemin complet mais aussi les arguments de la ligne de commande qui l'a lancé.



Deuxième point : en faisant un clique droit sur le processus, puis en allant sur Propriétés, nous avons des informations nouvelles sur le processus :

  • Son chemin complet
  • La ligne de commande qui l'a lancée
  • Son répertoire courant
  • L'emplacement dans le registre qui le lance :  c'est une des dernières nouveautés de Process Explorer



Troisième point :

En plus de connaître les informations de bases, Process Explorer permet de lister les Handles mais aussi les DLL utilisées par le processus.

  • View
  • Show Lower Panel: à cocher
  • Lower panel viewt: choisir la vue désirée







4) Les processus "packés"

Comme je l'ai mis au dessus, ils seront affichés de couleur "Violette".



De plus, les informations que l'on peut avoir nous le confirment.





*Process Explorer ne connait que peu de packers donc cette information n'est pas fiable à 100 %...



« Modifié: février 03, 2017, 15:36:54 par igor51 »

Security-X

Utilisation de Process Explorer de Sysinternals
« le: octobre 19, 2012, 22:37:02 »

Hors ligne igor51

  • Admin
  • Mega Power Members
  • *****
  • Messages: 10278
Re : Utilisation de Process Explorer de Sysinternals
« Réponse #1 le: novembre 02, 2012, 21:18:33 »
Exemple d'utilisation de Process Explorer pour détecter des malware : http://forum.security-x.fr/tutoriels-317/utilisation-de-process-explorer-pour-detecter-des-malwares/