Содержание

Process Explorer — бесплатная утилита для контроля за системными процессами
Проверка процессов Windows на вирусы и угрозы в CrowdInspect
Использование CrowdInspect для анализа запущенных процессов Windows
Проверка запущенных процессов windows

Process Explorer — бесплатная утилита для контроля за системными процессами

Разработчик:	Mark Russinovich
Лицензия:	Freeware (бесплатное ПО)
Язык:	Английский
Система:	Windows 10/8.1/8/7/XP
Размер:	1,13 Мбайт
Обновлен:	17 декабря, 2016

Process Explorer – это мощная бесплатная утилита, которая предназначена для контроля в режиме реального времени всех подгруженных в операционной системе различных процессов. Изначально она была создана компанией Sysinternals, однако позже была приобретена Microsoft Corporation. Программа показывает самую подробную техническую информацию обо всех работающих процессах, в том числе использование всей системной памяти, подгруженных библиотеках и многую остальную техническую информацию.

Активная область программы состоит из двух отдельных окон. В первом из них отображается список всех загруженных на текущий момент в системе процессах, в том числе имена пользователей и учетных записей, от которых запущены эти процессы. В зависимости от конкретного выбранного режима, нижнее окно может отображать разную дополнительную информацию. Так, в первом случае (в режиме обработки) можно увидеть все открытые дескрипторы, которые относятся к процессу, который был выбран в самом верхнем окне. В режиме работы библиотек DLL в этом окне отображаются все занятые процессом динамические библиотеки, а также отображенные в памяти файлы.

Кроме этого, Process Explorer имеет мощные возможности интеллектуального поиска, благодаря которому с легкостью можно достоверно узнать, у какого процесса какой открыт дескриптор или какая из библиотек DLL загружена.

Приложение очень полезно для решения различных проблем, связанных с версиями DLL библиотек, а также обнаружения утечек в памяти.

Примечательно, что выводимая приложением информация намного подробнее той, которую предоставляет стандартный Диспетчер задач от Windows. Среди наиболее примечательных свойств этой утилиты – возможность уточнить, какому именно процессу принадлежит то или иное окно на рабочем столе.

Процесс Эксплорер — работает на операционных системах Микрософт Виндовс ХР и выше, в том числе и 64-битные версии. Самая свежая редакция программы поддерживает 64-битный режим систем Vista, Windows 7 — Windows 10. Для этих версий операционных систем выпускается самораспаковывающийся архив программы, с запускающимся затем процессом procexp64.exe.

Возможности программы:

Древовидное отображение процессов.
Возможность распознавания системных процессов (является тот или иной процесс системным или сторонним).
Отображение иконки, а также названия компании-изготовителя для каждого процесса.
Графические наглядные индикаторы, а также изменяемый диапазон загрузки центрального процессора.
Функция заморозки любого процесса.
Удобная возможность управления (пауза, запуск и остановка) отдельными нитями (потоками) процесса.
Функция вывода окна, которое принадлежит тому или другому процессу поверх всех остальных.
Возможность закрытия сразу всего дерева процессов.
Функция в реальном стандартном режиме времени изменять приоритет и также ядро, которое будет выполнять тот или прочий процесс.
Возможность анализа сертификата файла того или иного сист. процесса.
Функция замены стандартного Диспетчера задач по все тем же самым горячим клавишам.
Для всех объектов, которые имеют ACL, имеется вкладка «Безопасность» (начиная с версии 12-04).

Итак, перед вами мощный инструмент, который позволяет отслеживать состояние и все процессы, которые запущены ы вашей операционной системе. Небольшие размеры, понятный интерфейс, большой функционал – все эти стороны выгодно выделяют приложение Process Explorer перед остальными аналогами стандартного Диспетчера задач.

Проверка процессов Windows на вирусы и угрозы в CrowdInspect

Во многих инструкциях, касающихся удаления Adware, Malware и другого нежелательного ПО с компьютера присутствует пункт о необходимости проверить запущенные процессы Windows на наличие среди них подозрительных уже после использования автоматических средств удаления вредоносных программ. Однако, сделать это пользователю без серьезного опыта работы с операционной системой не так уж и просто — список выполняемых программ в диспетчере задач мало о чем может ему рассказать.

Помочь в проверке и анализе запущенных процессов (программ) Windows 10, 8 и Windows 7 и XP может бесплатная утилита CrowdStrike CrowdInspect, предназначенная именно для этой цели, о которой и пойдет речь в данном обзоре. См. также: Как избавиться от рекламы (AdWare) в браузере.

Использование CrowdInspect для анализа запущенных процессов Windows

CrowdInspect не требует установки на компьютер и представляет собой архив .zip с единственным исполняемым файлом crowdinspect.exe, который при запуске может создать еще один файл для 64-разрядных систем Windows. Для работы программы потребуется подключенный Интернет.

При первом запуске вам потребуется принять условия лицензионного соглашения кнопкой Accept, а в следующем окне при необходимости выполнить настройки интеграции с онлайн-сервисом проверки на вирусы VirusTotal (и при необходимости отключить загрузку заранее неизвестных файлов на этот сервис, отметка «Upload unknown files»).

После нажатия «Ок» на короткий промежуток времени откроется рекламное окно платного средства защиты CrowdStrike Falcon, а затем — главное окно программы CrowdInspect со списком запущенных в Windows процессах и полезной информацией о них.

Для начала информация по важным столбцам в CrowdInspect

ProcessName — имя процесса. Также можно отобразить полные пути к исполняемым файлам, нажав кнопку «Full Path» в главном меню программы.
Inject — проверка на инъекции кода процессом (в некоторых случаях может показать положительный результат для антивирусов). При подозрении на наличие угрозы выдается двойной восклицательный знак и красный значок.
VT или HA — результат проверки файла процесса в VirusTotal (процент соответствует проценту антивирусов, которые считают файл опасным). В последней версии отображается колонка HA, а анализ выполняется с помощью онлайн-сервиса Hybrid Analysis (возможно, более эффективного, чем VirusTotal).
MHR — результат проверки в Team Cymru Malware Hash Repository (база контрольных сумм известных вредоносных программ). Отображает красную иконку и двойной восклицательный знак при наличии хэша процесса в базе.
WOT — при выполнении процессом соединений с сайтами и серверами в Интернете, результат проверки этих серверов в репутационном сервисе Web Of Trust

Оставшиеся столбцы содержат информацию об установленных процессом Интернет-соединениях: тип соединения, состояние, номера портов, локальный IP-адрес, удаленный IP-адрес и представление этого адреса в DNS.

Примечание: вы можете заметить, что одна вкладка браузера отображается как набор из десятка и более процессов в CrowdInspect. Причина этого в том, что отображается отдельная строка для каждого установленного единственным процессом соединения (а обычный сайт, открытый в браузере, заставляет подключаться сразу ко многим серверам в Интернете). Вы можете отключить такой тип отображения, отключив кнопку TCP и UDP в верхней панели меню.

Другие элементы меню и управления:

Live /History — переключает режим отображения (в реальном времени или список, в котором отображается время запуска каждого процесса).
Pause — поставить сбор информации на паузу.
KillProcess — завершить выбранный процесс.
CloseTCP — завершить подключение по TCP/IP для процесса.
Properties — открыть стандартное окно Windows со свойствами исполняемого файла процесса.
VTResults — открыть окно с результатами сканирования в VirusTotal и ссылкой на результат сканирования на сайте.
CopyAll — скопировать всю представленную информацию об активных процессах в буфер обмена.
Также для каждого процесса по правому клику мышью доступно контекстное меню с основными действиями.

Допускаю, что более опытные пользователи к настоящему моменту подумали: «отличный инструмент», а начинающие не совсем поняли, какой толк от него и как его можно использовать. А потому кратко и максимально просто для начинающих:

Если у вас возникли подозрения что на компьютере происходит что-то плохое, а антивирусом и утилитами, наподобие AdwCleaner компьютер уже был проверен (см. Лучшие средства удаления вредоносных программ), можно заглянуть в Crowd Inspect и посмотреть, нет ли подозрительных фоновых программ, запущенных в Windows.
Подозрительными стоит считать процессы с красной отметкой с высоким процентом в столбце VT и (или) красной отметкой в столбце MHR. Красные значки в Inject вы навряд ли встретите, но если увидите — тоже обратите внимание.
Что делать в случае если процесс подозрителен: посмотрите его результаты в VirusTotal, нажав кнопку VT Results, а затем перейдя по ссылке с результатами сканирования файла антивирусами. Можно попробовать выполнить поиск по имени файла в Интернете — распространенные угрозы обычно обсуждаются на форумах и на сайтах поддержки.
Если в результате сделан вывод о том, что файл вредоносный — пробуйте убрать его из автозагрузки, удалить программу, к которой относится этот процесс и использовать другие методы для избавления от угрозы.

Примечание: учитывайте, что с точки зрения многих антивирусов разного рода «программы для скачивания» и подобные средства, популярные у нас в стране, могут являться потенциально нежелательным ПО, что будет отображаться в столбцах VT и (или) MHR утилиты Crowd Inspect. Однако это не обязательно означает, что они опасны — тут стоит рассматривать каждый отдельный случай.

Проверка запущенных процессов windows

АНАЛИЗ ПРОЦЕССОВ, ЗАПУЩЕННЫХ НА КОМПЬЮТЕРЕ

Наверное, нет ни одного пользователя, который бы не хотел, чтобы его компьютер «летал мухой». И большинству из них абсолютно «до лампочки», какие процессы запущены на его ПК, лишь бы они не мешали работать или развлекаться. Но, к сожалению, на качество и скорость работы компьютера в значительной степени влияют процессы, которые запущенны именно в данный конкретный момент. И никуда от этого не деться. Запущенные процессы сказываются на скорости работы даже мощных многоядерных компьютеров, а о маломощных стареньких компьютерах и говорить нечего. Запущенные процессы могут в значительной степени подгружать процессор вашего ПК, а некоторые из них вообще могут оказаться вредоносными.

Как же определить, какие процессы запущены на ПК, степень влияния их на процессор и степень угрозы, которую они могут нести?

Существует множество программ, предназначенных для выявления и оценки процессов, запущенных на компьютере. Причем, надо сразу оговориться, что обычно эти программы выполняют и другие функции, но сейчас речь идет именно о выявлении запущенных процессов.

Одной из таких программ является встроенная в операционные системы семейства Windows программа «Диспетчер задач». Это очень интересная программа, с помощью которой можно определять запущенные на ПК приложения, процессы и службы, управлять вышеперечисленными компонентами (запускать, останавливать или завершать). С помощью нее можно оценивать и влиять на быстродействие компьютера, а также выполнять другие задачи. Запустить Диспетчер задач можно, нажав правой кнопкой мыши в пустой области панели задач (см.1 Рис.1), и выбрав из контекстного меню пункт «Запустить диспетчер задач» (см.2 Рис.1). Кроме этого, если одновременно нажать кнопки Ctrl+Alt+Delete, то на экране из доступных команд можно выбрать команду «Запустить диспетчер задач».

После того, как вы запустите Диспетчер задач, у вас на экране появится окно этой программы (см. Рис.2). В этом окне нас интересует вкладка «Процессы» (см.1 Рис.2). В окне этой вкладки (Рис.2) отображаются запущенные процессы и информация, относящаяся к ним (см.2 Рис.2). Кроме этого можно посмотреть количество запущенных процессов (см.3 Рис.2), загрузку процессора (см.4 Рис.2) и степень загруженности физической памяти (см.5 Рис.2).

В окне Рис.2 можно проанализировать запущенные процессы и, если необходимо, завершить те, которые, по вашему мнению, на данный момент неактуальны. Для этого на выбранном процессе щелкнуть правой кнопкой мыши и из появившегося контекстного меню выбрать команду «Завершить процесс» (см.1 Рис.3).

К сожалению, диспетчер задач, встроенный в Windows для анализа и обработки запущенных процессов не очень удобен и имеет очень ограниченные возможности. Он не в полной мере отображает процессы, запущенные на компьютере. И если вы сравните информацию о загрузке процессора (см.4 Рис.2), с той, которая показана напротив запущенных процессов (см.2 Рис.2), то вы убедитесь, что реальная загрузка значительно выше той, которую создают процессы, отображаемые в окне диспетчера задач. Реально существует множество процессов, скрытых от диспетчера задач. А средства анализа запущенных процессов вообще весьма ограничены. Если в контекстном меню выбрать пункт «Свойства» (см.2 Рис.3), то там вы не увидите даже путь к исполнительному файлу. Но, все-таки, самую главную информацию о процессах на вашем компьютере вы сможете получить именно с помощью диспетчера задач. А именно, вы увидите степень загруженности процессора (см.4 Рис.2) и использования физической памяти (см.5 Рис.2). Если эти параметры равны или близки к 100%, значит ваш компьютер работает на пределе своих возможностей и скорость решения данной конкретной задачи, которой вы сейчас занимаетесь на компьютере, будет минимальной. А изучив и проанализировав процессы через интернет, вы сможете принять решение о возможности завершения того или иного процесса. И не нужно бояться того, что вы можете завершить не тот процесс. Вы не испортите свой ПК, т.к. этот процесс вы завершаете для данного конкретного сеанса, а при повторном запуске компьютера (или программы), процесс, который вы случайно (по незнанию) остановили, снова будет исправно работать.

Из-за недостатков в применении диспетчера задач для анализа процессов, запущенных на компьютере, приходится прибегать к программам сторонних разработчиков. Я уже говорил, что таких программ много. Я предлагаю вашему вниманию две из них. Первая – это программа «Security Task Manager», разработанная Neuber Soft, и программа «ESET Sys Inspector», входящая в комплект антивирусной программы «ESET Smart Security».

Программа «Security Task Manager», предназначена именно для анализа процессов, запущенных на компьютере. Пробную версию этой программы или ее платный вариант можно найти на сайте разработчика. Сама программа интуитивно понятна и удобна в работе. Программа имеет русскоязычный справочный материал, который поможет легко разобраться любому пользователю с особенностями ее эксплуатации.

После запуска программы в ее окне Рис.4 отражаются процессы, запущенные на ПК. В верхней части отображаются наиболее опасные и далее вниз по убыванию степени опасности. Степень опасности акцентируется красным цветом. Чем более насыщенный красный цвет, выделяющий запущенный процесс, тем более опасен этот процесс. При выделении определенного процесса (нажатии на нем левой кнопкой мыши) в нижней правой части окна отображаются характеристики процесса. После вызова контекстного меню на определенном процессе можно задать поиск в Google сведений о процессе, хотя эта функция срабатывает не всегда. Если функция автоматически не срабатывает, то поиск необходимо произвести вручную, введя в поле набора вашего поисковика название сомнительного процесса.

Оценка степени опасности процесса, приведенная в нижней части окна, очень условна. Во-первых, то, что процесс отнесен к категории опасных, не значит, что он действительно запущен вредоносной программой (может быть даже очень полезным). Во-вторых, степень опасности определяется не числовыми значениями, а положением ползунка на условной шкале опасности.

Если вы, основываясь на данных, полученных от программы «Security Task Manager» и из интернета проведете анализ процесса, вы сможете принять обоснованное решение об удалении процесса, или отправке его в карантин. Для этого вы должны будете воспользоваться либо панелью инструментов программы «Security Task Manager», которая расположена в верхней части окна, либо, вызвав контекстное меню нажатием на процессе правой кнопки мыши, выбрать необходимое действие. Сразу скажу — удаление или отправка в карантин сомнительного или ненужного, по вашему мнению, процесса не всегда дает положительные результаты, а точнее не всегда достигает своей цели. Нередко не смотря на попытку удалить процесс, он снова появляется после очередного запуска ПК. Хочу отметить, что я неоднократно слышал от пользователей, что после удаления некоторых «кривых процессов», их компьютер начинал «летать», а иногда и сам пользуюсь этой программой.

Нужно отметить, что в вопросе анализа процессов значительно сильнее работает программа «ESET Sys Inspector», входящая в комплект антивирусной программы «ESET Smart Security». Для того, чтобы ей воспользоваться, необязательно покупать платный антивирус ESET NOD32. Достаточно установить его пробную версию, которая ничем не отличается от платного близнеца, разве что сроком действия. Да и то, тем, кто читал серию статей из цикла «Как второй раз испытать пробную версию понравившейся вам программы», не составит труда использовать эту программу более одного раза.

После того, как вы установите и запустите программу «ESET Sys Inspector», у вас на экране появится окно Рис.5. Сама программа запускается значительно дольше, нежели программа «Security Task Manager», о которой я говорил выше, но и возможности этой программы значительно выше. Сразу оговорюсь, что всю информацию о возможностях применения данной программы вы сможете найти в ее справочных материалах, которые вы сможете вызвать, нажав кнопку «Справка» и выбрав там одноименный пункт (см.1 Рис.5). Сейчас я хочу только вкратце рассказать о возможностях данной программы в вопросе оценки и анализа запущенных процессов.

При проведении анализа можно выбрать степень детализации информации (Полная, Средняя или Основная) (см.2 Рис.5). Установив ползунок «Фильтрация» (см.3 Рис.5), можно задать степень определяемой опасности (от 1 до 9). Лучше оставлять в левом крайнем состоянии (по умолчанию). В левой части окна необходимо выбрать раздел для исследования (см.4 Рис.5). В верхней правой части окна (см.5 Рис.5) отображаются элементы для исследования выбранного раздела. В нижней правой части окна (см.6 Рис.5) отображаются параметры элемента, выбранного в верхней правой части окна.

Итак, поскольку, сейчас мы изучаем запущенные процессы, то и выбираем для исследования именно раздел «Запущенные процессы» (см.1 Рис.6). При этом в верхней правой части окна программы у нас отобразятся запущенные процессы (см.2 Рис.6) и их основные характеристики. Красным цветом выделяются опасные процессы. Если выбрать один из процессов, нажав на нем левой кнопкой мыши, в нашем случае это процесс «csrss.exe» (см.4 Рис.6), то в нижней правой части окна появятся параметры этого процесса (см.3 Рис.6). Чтобы провести анализ процесса, необходимо на выбранном процессе щелкнуть правой кнопкой мыши и выбрать один из пунктов контекстного меню (см.5 Рис.6). Здесь вы можете задать поиск в интернете информации о данном процессе, найти путь к источнику, который запустил этот процесс (выбрав пункт «открыть папку с файлом»). Вы можете скопировать путь к файлу и сделать многое другое. Самое главное, что эта программа выдает информацию о запущенном процессе в правой части окна на основе богатого опыта, накопленного в лабораториях разработчиков антивирусной программы ESET NOD32. Если возникнет необходимость в полном завершении процесса, открыв папку с файлом данного процесса можно прервать процесс, удалив его файл.

Конечно удаление файла — практически необратимый процесс, поэтому, прежде, чем что-либо удалять, создайте точку восстановления. Как это делать, детально написано в статье «Восстановление операционной системы».

В данной статье я привел только незначительную часть программ, позволяющих провести анализ и оценку запущенных на компьютере процессов. Подобных программ множество. Описать их все в одной статье просто не реально. Но и те, которые я здесь привел, надеюсь, помогут поддерживать ваш компьютер в хорошем состоянии.