:::

軟體應用 hc - 軟體應用 | 2011-11-03 | 人氣:5061

Procexp(Process Explorer)是SysinternalsSuite中的一個程式,他可以說是進階版的工作管理員,除了可以看系統的狀態之外,也能檢視各個運行中的程序、程式的所屬廠商、檢查數位簽章等,以樹狀目錄呈現的列表更讓系統的運作一目了然。在資安預警情報的警報單中有提到這個程式,目的就是要靠他來檢查是否有預期以外的程式在偷偷執行。

開啟後會像這樣子,除了程式名稱、佔用的CPU、記憶體之外,還有程式的描述、製作的廠商資訊。點選標題列可以排序,不過左方的樹狀排列會消失,這時按圖上的樹狀按鈕就可以恢復。

如果字體太小,可以選Options → Font進行調整。

列表上有各種不同的顏色,這些顏色的意義可以在Options → Configure Colors裡面查看及設定。

預設定義如下

將滑鼠游標移動到程式上,就會自動秀出這個程式所在。有些惡意程式會故意使用和系統檔案一樣的名字然後放在其他資料夾下面魚目混珠,用這個方法就可以找出來。

另外在右上方的六個方框其實是系統資訊,點選工具列上對應的按鈕就會跳出大的視窗。

系統資訊,除了CPU和(PF)記憶體使用情形之外,還有實體記憶體、I/O、網路、磁碟的使用情況,將滑鼠游標移動過去還會有該時間點的記錄,另外三個分頁則是詳細的使用情形。

在標題列上按右鍵可以選擇要秀出項目

在Process Image這個分頁中,我們把Verified Signer(檢查數位簽章)選起來然後確定。

然後勾選Options →Verify Images Signatures,Procexp就會幫我們檢查數位簽章。如果有程式沒有廠商、說明和數位簽章的,這樣的東西就要小心。(並非所有程式都有數位簽章,像某些版本的WinRAR就沒有。)屬於「服務(service)」卻沒有數位簽章的就很有問題。沒有廠商資訊就無法檢查數位簽章,在這邊會顯示Unable to Verify。

如果覺得程式有問題,可以在上面按右鍵叫出右鍵選單,選擇Search Online,這時就會自動開啟預設瀏覽器用預設搜尋引擎查詢這個程式的資料。要繼續看這個程式的資訊,就選Properties。

出來的結果如下,由於先前檢查過數位簽章,Verify按鈕會直接反白。

在刪除程序方面,Procexp可以將整個執行鏈一次刪除,像下圖在cmd.exe上叫出右鍵選單,選Kill Process Tree就會連regedit.exe一起關掉。在處理一些執行錯誤的程式時很方便。

:::

維基百科查詢

版面風格


(共 0 個樣板佈景)