Process
Explorer est un gestionnaire périphérique évolué qui permet de
visualiser/gérer les processus (terminer, suspendre etc..).
Process Explorer permet aussi de visualiser les handles, DLL
chargés/ouverts par chaque processus.
Voici une page qui présente les différentes fonctions principales de
Process Explorer.
Une fois lancé, vous
obtenez la liste des processus en cours d'exécution.
Les colonnes affichent les informations relatives aux process (PID,
utilisation CPU, description etc).
Ceci est paramétrable depuis le menu View / Columns
L'affichage des processus peut se faire de
manière linéaire ou en arborescence (View / Show Process Tree).
Personnellement, je préfére cette affichage car on peut visualiser les
processus parents et enfants (ce qui peut être intérressant lorsqu'un
dropper lance divers autres trojans), les services non Microsoft
(exemple ci-dessous winvnc.exe / wndms.exe) car lancés par services.exe.
L'affichage du User Name
(l'utilisateur avec lequel le processus a été lancé) peux aussi être
intérressant.
Dans la capture ci-dessous, on voit les processus démarrés par Robert
et les processus systèmes démarrés par SYSTEM.
Process Explorer est un vrai petit sapin de noel. Voici la légende par
défaut des couleurs (modifiable par le menu
Options / Configure
Highlighting).
- New objets :
Nouveau processus lancé. Le processus qui vient d'être lancé sera en
légende rouge pour passer dans une autre couleur selon le type
d'élément.
- Deleted Objets :
Processus en cours de terminaison.
- Own Processes :
Processus démarrés par l'utilisateur courant.
- Services :
Services
- Packed Images :
Processus packés (Les packers sont des utilitaires qui permettent de
compresser et/ou encrypter des exécutables, ceci permet de protéger des
analyses antivirus mais ceci n'est pas forcément utilisés par les
malwares le programme d'installation d'un logiciel peut-être packé).
- Jobs :
Tâches Planifiées
- .NET Processes :
Programmes écrit en .NET
- Relocated DLL :
La DLL n'est pas chargée dans son espace mémoire habituelle.
Un clic droit sur un processus permet de gérer
celui-ci notamment :
- Kill Process :
tue le processus en cours
- Kill Process Tree :
tue le processus parents et ses enfants
- Restart :
termine et relance le processus, le processus parent sera celui de
Process Explorer
- Suspend :
Suspend l'exécution du processus, celui-ci est "freez"
- Properties :
permet d'ouvrir une fenêtre informative sur le processus (voir plus
bas).
Enfin le menu
Find
permet de faire une recherche sur une ressource (DLL, fichier etc.)
afin de savoir si celle-ci est en cours d'utilisation.
Propriétés
d'un processus
Processus Explorer donne la possibilité d'obtenir une multitude
d'informations sur les processus en cours (Handle, DLL chargées etc...).
L'onglet
Image
permet d'obtenir le chemin du fichier et le répertoire de lancement du
processus.
En outre, vous pouvez savoir par quel utilisateur le processus a été
lancé et à quelle heure.
L'onglet Performance/Performance Graph
donne les ressources utilisées par le processus (Mémoire, CPU etc).
L'onglet Threads
permet de visualiser les threads démarrés par le processus (voyez les
threads comme des processus légers démarrés par le processus parents et
s'exécutant dans l'espace mémoire du processus parents).
Tout comme il est possible d'arreter un processus, Process Explorer
permet de suspendre ou tuer un Thread (boutons Kill et Suspend).
L'onglet TCP/IP permet de
visualiser l'état des connexions TCP/IP du processus.
L'onglet Environment
donne les variables d'environnement avec lequel le processus a été
démarré.
Enfin l'onglet Strings
permet de visualiser un dump des strings image (contenu dans le
fichier) et mémoire du processus.
(Dump Stings j'entends tous les textes contenus en mémoires ou dans le
fichier du processus).
Ici on peux voir que le processus est un Backdoor.IRC avec entre autre
des fontionnalités de DDoS.
DLL
chargées et Handles
Process Explorer permet de visualiser les DLL chargées par chaque
processus ainsi que les Handles (Les Handles sont des pointeurs vers
des ressources [Fichiers, Clefs du Registres etc..).
Pour visualiser ces éléments, cliquez sur le menu
View
puis
Lower
Pane View
Les DLL chargés appraissent
alors sous forme de liste.
Process Explorer n'est pas capable de décharger une DLL, il permet
simplement de visualiser les DLL chargés.
Les Handles sont eux aussi
affichés sous forme de liste, il est possible de fermer un Handle en
faisant un clic droit puis Close Handles
Utilisation
avancée de Process Explorer : Vundo/Virtumonde's
kicking asses
