Security-X

Forum Security-X => Sécurité Générale => Tutoriels => Discussion démarrée par: igor51 le octobre 19, 2012, 22:37:02

Titre: Utilisation de Process Explorer de Sysinternals
Posté par: igor51 le octobre 19, 2012, 22:37:02
Process Explorer de Sysinternals:

Process Explorer est un outil beaucoup plus puissant et complet que le gestionnaire des tâches de Windows. Il est compatible sur les plateformes XP, Vista et Seven et ne nécessite pas d'installation.


(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi263.photobucket.com%2Falbums%2Fii126%2FSham_Rock1%3Cbr+%2F%3E%2Fproceessexplorer_zps61613b57.jpg&hash=fe560cd7c0b7e9b1b5e7b075c52329b27eb1157e)

Page d'information : http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Téléchargement :
http://download.sysinternals.com/files/ProcessExplorer.zip


1 ) Un gestionnaire de tâches "sur-vitaminé"

Au premier lancement, on voit les processus qui sont en cours d'utilisation avec différentes couleurs. Nous détaillerons les couleurs un peu plus loin.

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fprocess%2FCapture12.JPG&hash=718b31993d7b52d9d3997f85cd23a58f296baec6)

On peut ainsi observer :


1-Nom du processus
2-PID (http://fr.wikipedia.org/wiki/Identifiant_de_processus)
3-Utilisation en cours de CPU (http://fr.wikipedia.org/wiki/Processeur)
4-Taille en Mémoire
5-S'il possède un nom de compagnie



Si on zoome un peu sur les couleurs, qu'est-ce que l'on voit ?

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fprocess%2FCapture02.jpg&hash=dd441ac89993d41980e7c6ec233b5e3b27ba8cbd)

Du bleu clair : c'est notre session. Donc tous les processus lancés dans notre session seront de cette couleur;
Du rose :  ce sont les services système;
Du violet : le processus est "packé" : c'est-à-dire qu'il est compressé ou qu'il est chiffré (ou les deux),nous détaillerons plus tard.
Du blanc : processus système ou une session différente.

Comment le savoir ?
En faisant un clique droit sur les colonnes du haut. On peut aussi ajouter de nouvelles colonnes :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fprocess%2FCapture04.jpg&hash=b1d8d929127e3536996a0ee590375088a33845c4)

Ajouter les colonnes UserName et Session pour bien faire apparaître les différences.

2) Tracer l'activité du système

En plus d'afficher le processus en cours, il va modifier les couleurs pour les processus nouvellement crées et ceux qui meurent.

un processus créé va apparaître en vert  :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fprocess%2FCapture03.jpg&hash=acbc89e37badba334d3a7d7450c9390946f4308a)

un processus qui meurt apparaîtra en rouge :

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fprocess%2FCapture11.JPG&hash=3c828ca19bf3aa9a1d0da3ba7c32177f0f7023e0)

3) Les processus

Comme son nom l'indique, Process Explorer s'occupe des processus.

Premier point : en passant la souris sur le processus cible,on verra son chemin complet mais aussi les arguments de la ligne de commande qui l'a lancé.

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fprocess%2FCapture05.JPG&hash=ed2bebd8e6f9054a1c2d45ba5666cd8486dd2e1a)

Deuxième point : en faisant un clique droit sur le processus, puis en allant sur Propriétés, nous avons des informations nouvelles sur le processus :


(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fprocess%2FCapture06.JPG&hash=d1acf1454e240eea6d74b39a7e4891450a24b69f)

Troisième point :

En plus de connaître les informations de bases, Process Explorer permet de lister les Handles (http://en.wikipedia.org/wiki/Handle_%28computing%29) mais aussi les DLL (http://fr.wikipedia.org/wiki/Dynamic_Link_Library) utilisées par le processus.



(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fprocess%2FCapture09.JPG&hash=1faf8095ce892a7882c4d27911d6701cd6eaf394)

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fprocess%2FCapture10.JPG&hash=76234d05cbbf1ca3496e71428ff497e1ff21c8ff)


4) Les processus "packés"

Comme je l'ai mis au dessus, ils seront affichés de couleur "Violette".

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fprocess%2FCapture07.jpg&hash=ab37c15b16915088b7a2b2b2fe497da9b293872e)

De plus, les informations que l'on peut avoir nous le confirment.

(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fimg%2Fpublic%2Fprocess%2FCapture08.JPG&hash=9f084c4097aad728939f9abb9324560a34ce70f4)



*Process Explorer ne connait que peu de packers (http://fr.wikipedia.org/wiki/Portable_Executable#Les_Packer) donc cette information n'est pas fiable à 100 %...



Titre: Re : Utilisation de Process Explorer de Sysinternals
Posté par: igor51 le novembre 02, 2012, 21:18:33
Exemple d'utilisation de Process Explorer pour détecter des malware : http://forum.security-x.fr/tutoriels-317/utilisation-de-process-explorer-pour-detecter-des-malwares/