Process Explorer : un gestionnaire de tâche évolué

Process Explorer est un gestionnaire de tâches évolué qui permet de faire beaucoup de choses.
La fonction première est d’afficher et lister les processus en cours d’exécution.
Mais on peut aussi les terminer ou les suspendre.
Process Explorer va plus loin car il donne accès aux handles, DLL chargés/ouverts par chaque processus.
Enfin l’outil peut aussi aider à visualiser l’utilisation CPU, l’utilisation mémoire, GPU et l’utilisation disque globale et par application.

Voici un tutoriel complet sur Process Explorer son utilisation, ses fonctionnalités, etc.

Présentation de Process Explorer

Voici le lien pour télécharger Process Explorer :

Une fois démarré, vous obtenez la liste des processus en cours d’exécution.

Les colonnes donnent les informations relatives à ces derniers comme le (PID, utilisation CPU, description etc).
On peut bien tendu paramétrer les colonnes à depuis le menu View / Columns

L’affichage des processus peut se faire de manière linéaire ou en arborescence (View / Show Process Tree).
Personnellement, je préfère cette affichage car on peut visualiser les processus parents et enfants.
Cela permet très rapidement de voir lorsqu’un processus lance un autre processus.

L’affichage du User Name (l’utilisateur avec lequel le processus a été lancé) peut aussi être intéressant.
Dans la capture d’écran ci-dessous, on liste facilement les processus démarrés par l’utilisateur Robert mais aussi les processus systèmes démarrés par SYSTEM.

Les couleurs

Process Explorer est un vrai petit sapin de noel. Voici la légende par défaut des couleurs (modifiable par le menu Options /  Configure Highlighting).

• New objets : Nouveau processus lancé. Le processus qui vient d’être lancé sera en légende rouge pour passer dans une autre couleur selon le type d’élément.
• Deleted Objets : Processus en cours de terminaison.
• Own Processes : Processus démarrés par l’utilisateur courant.
• Services : Services
• Packed Images : Processus packés. Les packers sont des utilitaires qui permettent de compresser et/ou encrypter des exécutables. Ceci permet par exemple de protéger des analyses antivirus. Les malwares ne sont pas les seules à utiliser les packers. Par exemple, le programme d’installation d’un logiciel (setup) peut en utiliser.
• Jobs : Les tâches Planifiées
• .NET Processes : Programmes écrit en .NET
• Relocated DLL : La DLL n’est pas chargée dans son espace mémoire habituelle.

Le menu clic droit

Un clic droit sur un processus permet de gérer celui-ci notamment :

• Kill Process : tue le processus en cours
• Kill Process Tree : tue le processus parents et ses enfants
• Restart : termine et relance le processus, le processus parent sera celui de Process Explorer
• Suspend : Suspend l’exécution du processus, celui-ci est “freez”
• Properties : permet d’ouvrir une fenêtre informative sur le processus (voir plus bas).

Enfin le menu Find permet de faire une recherche sur une ressource (DLL, fichier etc.). Par exemple pour savoir si celle-ci est en cours d’utilisation.

Colonne et mesures CPU, GPU, mémoire, réseau et disque

Les colonnes sont paramétrables pour afficher les informations souhaitées.
Vous pouvez donc ajouter des colonnes pour mesurer l’utilisation GPU, la mémoire ou même les connexions réseaux et débits.
Pour ajouter une colonne, faites un clic droit sur une colonne puis Select Columns.
A partir de là, vous pouvez cocher la colonne à afficher selon la catégorie souhaitée.

Par exemple, ici on ajoute une colonne GPU pour mesurer l’utilisation du processeur graphique, plus d’informations :

• Comment mesurer l’utilisation GPU sur Windows 7, 8 et Windows 10
• Comment mesurer l’utilisation réseau sur Windows 10

Propriétés d’un processus

Processus Explorer donne la possibilité d’obtenir une multitude d’informations sur les processus en cours (Handle, DLL chargées etc…).

L’onglet Image permet d’obtenir le chemin du fichier et le répertoire de lancement du processus.
En outre, vous pouvez savoir par quel utilisateur le processus a été lancé et à quelle heure.

Performances

L’onglet Performance/Performance Graph donne les ressources utilisées par le processus (Mémoire, CPU etc).

Threads

L’onglet Threads permet de visualiser les threads démarrés par le processus (voyez les threads comme des processus légers démarrés par le processus parents et s’exécutant dans l’espace mémoire du processus parents).
Tout comme il est possible d’arreter un processus, Process Explorer permet de suspendre ou tuer un Thread (boutons Kill et Suspend).

L’onglet TCP/IP permet de visualiser l’état des connexions TCP/IP du processus.

Sécurité

L’onglet Security permet de visualiser les privilèges avec lequel le processus est lancé (voir http://msdn.microsoft.com/en-us/library/bb530716(VS.85).aspx).
Les assignements par utlisateur se font dans les sécurités locales (secpol.msc)

L’onglet Environment donne les variables d’environnement avec lequel le processus a été démarré.

Enfin depuis l’onglet Strings, on visualise un dump (export) des strings image et mémoire du processus.
Par Dump Stings, j’entends tous les textes contenus en mémoire ou dans le fichier du processus).
Ici on peut voir que le processus est un Backdoor.IRC avec entre autre des fonctionnalités de DDoS.

DLL chargées et Handles

Process Explorer permet de visualiser les DLL chargées par chaque processus ainsi que les Handles.
Les Handles sont des pointeurs vers des ressources (Fichiers, Clefs du Registre Windows etc..).

Pour visualiser ces éléments, cliquez sur le menu View puis Lower Pane View

Les DLL chargés apparaissent alors sous forme de liste.
Process Explorer n’est pas capable de décharger une DLL.
Ainsi, il ne permet simplement de visualiser les DLL chargées.

Les Handles sont eux aussi affichés sous forme de liste.
Vous pouvez fermer un Handle en faisant un clic droit puis Close Handles

Vérifier l’utilisation CPU, mémoire, disque ou réseau

Avec les colonnes, vous pouvez très facilement vérifier l’utilisation CPU, mémoire, disque ou réseau.
Par exemple, ci-dessous on peut facilement lister les processus qui envoient des trames sur le réseau.
Ci-dessous, on voit la télémétrie Nvidia en action.

Mais Process Explorer va beaucoup plus loin.
En effet, les graphiques en haut donne la possibilité de visualiser cette utilisation en temps réel et dans le temps.
Ces derniers se trouvent en haut, vous pouvez cliquer dessus à tout moment pour les ouvrir.

L’onglet Summary donne un aperçu de tous les éléments : CPU, mémoire, disque, réseau et GPU.
Lorsque l’on pointe la souris sur le graphique, les détails s’affichent.
Ainsi, on peut facilement voir quel processus a tendance à accaparer la CPU ce que ne permet pas le gestionnaire de tâches de Windows.

On peut obtenir les détails depuis les onglets CPU, Memory, I/O et GPU.
Voici un autre exemple l’utilisation CPU générale dans le temps .

Des articles du site donnent aussi d’autres méthodes pour surveiller le système.

• Comment mesurer l’utilisation GPU sur Windows 7, 8 et Windows 10
• Comment visualiser l’utilisation CPU sur Windows 10
• Monitorer l’activité système ou d’un programme

Analyser l’utilisation mémoire de Windows 10 avec Process Explorer

Ce tutoriel vous guide pour analyser de manière très approfondie l’utilisation mémoire de Windows 10 avec Process Explorer :

Comment trouver le processus lié à une fenêtre avec Process Explorer

Parfois des fenêtres s’ouvrent mais vous ne savez pas à quelle application, elles appartiennent.
Process Explorer propose une fonctionnalité qui permet de savoir à quel processus appartient la fenêtre.

Pour plus d’informations, rendez-vous sur le tutoriel : Trouver le processus lié à une fenêtre

En vidéo afin d’identifier le processus à l’origine d’une fenêtre :

Utilisation avancée de Process Explorer : Vundo/Virtumonde’s kicking asses

Si Process Explorer est un formidable outil de diagnostic, il peut aussi être utilisé dans les désinfections.
Voici un exemple d’utilisation avancée de Process Explorer en supprimant l’infection Vundo/Virtumonde : https://forum.malekal.com/process-explorer-exemple-d-utilisation-avancee-t13969.html