Tutoriel Process Explorer

Process Explorer est un gestionnaire de tâches évolué qui permet de visualiser/gérer les processus (terminer, suspendre etc..).
Process Explorer permet aussi de visualiser les handles, DLL chargés/ouverts par chaque processus.

Voici une page qui présente les différentes fonctions principales de Process Explorer.

Lien pour télécharger Process Explorer : Télécharger Process Explorer
(vous pouvez télécharger le programme en bas de cette page).

Présentation de Process Explorer

Une fois lancé, vous obtenez la liste des processus en cours d’exécution.

Les colonnes affichent les informations relatives aux process (PID, utilisation CPU, description etc).
Ceci est paramétrable depuis le menu View / Columns

L’affichage des processus peut se faire de manière linéaire ou en arborescence (View / Show Process Tree).
Personnellement, je préfère cette affichage car on peut visualiser les processus parents et enfants (ce qui peut être intérressant lorsqu’un dropper lance divers autres trojans), les services non Microsoft (exemple ci-dessous winvnc.exe / wndms.exe) car lancés par services.exe.

L’affichage du User Name (l’utilisateur avec lequel le processus a été lancé) peux aussi être intérressant.
Dans la capture ci-dessous, on voit les processus démarrés par Robert et les processus systèmes démarrés par SYSTEM.

Tutorial Process Explorer
Tutorial Process Explorer
Process Explorer est un vrai petit sapin de noel. Voici la légende par défaut des couleurs (modifiable par le menu Options /  Configure Highlighting).

  • New objets : Nouveau processus lancé. Le processus qui vient d’être lancé sera en légende rouge pour passer dans une autre couleur selon le type d’élément.
  • Deleted Objets : Processus en cours de terminaison.
  • Own Processes : Processus démarrés par l’utilisateur courant.
  • Services : Services
  • Packed Images : Processus packés (Les packers sont des utilitaires qui permettent de compresser et/ou encrypter des exécutables, ceci permet de protéger des analyses antivirus mais ceci n’est pas forcément utilisés par les malwares le programme d’installation d’un logiciel peut-être packé).
  • Jobs : Tâches Planifiées
  • .NET Processes : Programmes écrit en .NET
  • Relocated DLL : La DLL n’est pas chargée dans son espace mémoire habituelle.

Tutorial Process ExplorerUn clic droit sur un processus permet de gérer celui-ci notamment :

  • Kill Process : tue le processus en cours
  • Kill Process Tree : tue le processus parents et ses enfants
  • Restart : termine et relance le processus, le processus parent sera celui de Process Explorer
  • Suspend : Suspend l’exécution du processus, celui-ci est « freez »
  • Properties : permet d’ouvrir une fenêtre informative sur le processus (voir plus bas).

Enfin le menu Find permet de faire une recherche sur une ressource (DLL, fichier etc.) afin de savoir si celle-ci est en cours d’utilisation.

Propriétés d’un processus

Processus Explorer donne la possibilité d’obtenir une multitude d’informations sur les processus en cours (Handle, DLL chargées etc…).

L’onglet Image permet d’obtenir le chemin du fichier et le répertoire de lancement du processus.
En outre, vous pouvez savoir par quel utilisateur le processus a été lancé et à quelle heure.

Tutorial Process Explorer
L’onglet Performance/Performance Graph donne les ressources utilisées par le processus (Mémoire, CPU etc).

Tutorial Process Explorer

Tutorial Process Explorer
L’onglet Threads permet de visualiser les threads démarrés par le processus (voyez les threads comme des processus légers démarrés par le processus parents et s’exécutant dans l’espace mémoire du processus parents).
Tout comme il est possible d’arreter un processus, Process Explorer permet de suspendre ou tuer un Thread (boutons Kill et Suspend).Tutorial Process Explorer

L’onglet TCP/IP permet de visualiser l’état des connexions TCP/IP du processus.

Tutorial Process Explorer
L’onglet Security permet de visualiser les privilèges avec lequel le processus est lancé (voir http://msdn.microsoft.com/en-us/library/bb530716(VS.85).aspx).
Les assignements par utlisateur se font dans les sécurités locales (secpol.msc)Tutorial Process Explorer

L’onglet Environment donne les variables d’environnement avec lequel le processus a été démarré.

Tutorial Process Explorer
Enfin l’onglet Strings permet de visualiser un dump des strings image (contenu dans le fichier) et mémoire du processus.
(Dump Stings j’entends tous les textes contenus en mémoires ou dans le fichier du processus).Ici on peux voir que le processus est un Backdoor.IRC avec entre autre des fontionnalités de DDoS.Tutorial Process Explorer

DLL chargées et Handles

Process Explorer permet de visualiser les DLL chargées par chaque processus ainsi que les Handles (Les Handles sont des pointeurs vers des ressources [Fichiers, Clefs du Registre Windows etc..).

Pour visualiser ces éléments, cliquez sur le menu View puis Lower Pane View

Tutorial Process Explorer
Les DLL chargés appraissent alors sous forme de liste.
Process Explorer n’est pas capable de décharger une DLL, il permet simplement de visualiser les DLL chargés.Tutorial Process Explorer

Les Handles sont eux aussi affichés sous forme de liste, il est possible de fermer un Handle en faisant un clic droit puis Close Handles

Tutorial Process Explorer

Comment trouver le processus lié à une fenêtre avec Process Explorer

Rendez-vous sur le tutoriel : Trouver le processus lié à une fenêtre

Utilisation avancée de Process Explorer : Vundo/Virtumonde’s kicking asses

Si Process Explorer est un formidable outil de diagnostic, il peut aussi être utilisé dans les désinfections.
Voici un exemple d’utilisation avancée de Process Explorer en supprimant l’infection Vundo/Virtumonde : http://forum.malekal.com/process-explorer-exemple-d-utilisation-avancee-t13969.html

Liens connexes

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 1 390 times, 9 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *