Maz
Дед Мазай | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Общее: Пользователям настоятельно не рекомендуется включать использование драйвера уровня ядра (см. Привелигированные функции) поскольку это резко снижает уровень безопасности ОС. Все настройки Process Hacker и его плагинов хранятся в XML файлах "%APPDATA%\Process Hacker\settings.xml", а для Portable режима "ProcessHacker.exe.settings.xml" в каталоге Process Hacker. Записи в Реестр для драйверов, служб и интеграции в ОС создаются только по вашей команде. Управление настройками: Доступ к настройкам Process Hacker осуществляется через меню "Hacker - Options", "Hacker - Plugins..." и "Hacker - Options - Show advanced options - Advanced" (v3.0.5478.951, этот флаг всегда сброшен, вызов редактора настроек). Пример настроек "ProcessHacker.exe.settings.xml" может быть использован для восстановления работоспособности/начальной настройки Process Hacker. По умолчанию плагин Firewall Monitor отключён. Для неофициальных сборок в редакторе настроек установите значение "EnableKphWarnings=0", и если установлен драйвер KProcessHacker3 (при работе в ограниченной учётной записи он нужен для доступа к процессам запущенным от других пользователей), то от имени администратора в консоли CMD выполните команду: @taskkill /IM ProcessHacker.exe /FI "STATUS eq running" && @sc stop KProcessHacker3 && @reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\KProcessHacker3\Parameters" /v "SecurityLevel" /t REG_DWORD /d 0 /f && @sc start KProcessHacker3 после чего можно запустить РН с правами обычного пользователя включив в его настройках Enable kernel-mode driver (или в редакторе настроек поставьте "EnableKPH=1"). В настройках Process Hacker можно использовать относительные пути просто указав имя файла, но тогда он ищется по правилам указанные в статье MSDN Путь поиска используемый Windows для обнаружения библиотеки DLL: Используя механизмы явного и неявного связывания, Windows сначала выполняет поиск "известных библиотек DLL", таких как Kernel32.dll и User32.dll. Затем Windows выполняет поиск библиотек DLL в следующей последовательности: 1) Каталог, в котором находится исполняемый модуль текущего процесса. 2) Текущий каталог. 3) Системный каталог Windows. Путь к этому каталогу извлекается с помощью функции GetSystemDirectory. 4) Каталог Windows. Путь к этому каталогу извлекается с помощью функции GetWindowsDirectory. 5) Каталоги, указанные в переменной среды PATH. Примечание Переменная среды LIBPATH не используется. Установленные пользователем настройки сохраняются до сброса всех настроек кнопкой "Reset" в окне "Options..." или удаления конфигурационных файлов "%APPDATA%\Process Hacker\settings.xml" / "ProcessHacker.exe.settings.xml" (в Portable mode). Опция "Hacker - Options - General - Start hidden" добавлена в v3.0.5478.951 и становится доступна при включении опции "Hacker - Options - General - Start when I log on". В v3.0.0 (r455) поменялись пути хранения настроек и имя ключа автозапуска с "Process Hacker 2" на "Process Hacker" для обеспечения возможности параллельной работы версий v2.x и v3.x. По умолчанию каталог загрузки обновлений Cache располагается в "%LOCALAPPDATA%\Process Hacker", но этот каталог можно изменить в редакторе настроек "LocalCachePath" на любой иной по вашему усмотрению. Начиная с версии v3.0.5469.942 в дистрибутив при сборке автоматически добавляются пустые файлы "ProcessHacker.exe.settings.xml" и "usernotesdb.xml" (0 байт), так что стоит бэкапить свои конфиги во избежание их перезаписи. Фильтры поиска процессов: Список доступных в диалоге поиска процессов фильтров (применимы только на панели Process) фиксирован и включает: BadSignature - у процесса неверная ЭЦП (возможно это вирус или он повреждён) Distrust - Expired - срок действия ЭЦП истёк Full - IsBeingDebugged - отлаживаемые IsDotNet - .NET IsElevated - Elevated IsImmersive - IsInJob - пакетные (Job) IsInSignificantJob - доверенные Job IsPacked - процесс содержит исполняемые модули в ресурсах (упакован) IsPicoProcess - Linux-подсистема Win10 IsProtectedProcess - Защищённые процессы (например ядра) IsSecureProcess - IsSuspended - приостановленные (на паузе) IsWow64 - 32-х битные WOW64 Limited - NoSignature - не подписанные Revoked - SecuritySettings - Trusted - доверенные подписанные Unknown - неизвестные (например Interrupts, System) Он-лайн проверка на вирусы: Для работы плагина OnlineCheck включите в меню "Hacker - Options - OnlineCheck" опцию Enable VirusTotal scanning и в меню "Tools - Online Check" отметьте чекбокс "Enable VirusTotal scanning" после чего обязательно перезапустите Process Hacker. Если в колонке VirusTotal пишут "VirusTotal disabled" или там пусто, то ничто не мешает вам отправить на него файл через контекстное меню "Send to..." процесса. Работа с БД геолокации: Флаг на панели Networks указывает страну которой был выделен IP, но это не значит что хост находится там. Для установки (обновления) БД MaxMind GeoLite2-Country (БД обновляется в первый вторник каждого месяца) откройте пункт меню "Tools - Network Tools - GeoIP database update..." и там последовательно нажмите кнопку "Download" и через 6 - 8 секунд после завершения скачивания БД "Restart". По умолчанию БД "GeoLite2-Country.mmdb" ищется в каталоге "%APPDATA%\Process Hacker", но этот каталог можно изменить в значении "ProcessHacker.NetworkTools.GeoDbPath" конфигурационных файлов settings.xml (ProcessHacker.exe.settings.xml) или через редактор настроек на любой иной по вашему усмотрению. Допустимы абсолютные, относительные или UNC пути. Работа со сменных носителей (Portable mode): При использовании Process Hacker со сменных носителей рекомендуется использовать относительные пути для dbghelp.dll, GeoLite2-Country.mmdb и каталога Cache. Начиная с v3.0.5467.940 фaйл "usernotesdb.xml" при необходимости будет автоматически создан при добавлении пользовательского комментария или завершении работы Process Hacker. Привилегированные функции: По умолчанию уровень безопасности для драйвера KProcessHacker устанавливается равным 2 (проверяется ЭЦП файлов Process Hacker, подробнее см. notes.txt в архиве). Пункт меню "Tools - Hidden processes" добавлен в v3.0.5378.851, для его включения надо изменить значение настройки "Hacker - Options - Show advanced options" [x], Advanced, "HiddenProcessesMenuEnabled" (v3.0.5478.951) в settings.xml с 0 на 1 и перезапустить Process Hacker. Функция выгрузки модулей работает только на Windows XP - 7. На Windows 8 - 10 данная возможность не доступна. Пакетные задания (во всплывающей подсказке будет стоять "Process is in a job") определяются всегда, но для того, чтобы в свойствах процесса появилась вкладка Job нужно чтобы был запущен драйвер KProcessHacker3 и в опциях Process Hacker на вкладке "General" надо отметить чекбокс "Enable kernel-mode driver". Установка плагинов: ./ --- корневой каталог, отсчёт идёт от него, его расположение произвольное ./kprocesshacker.sys - начиная с v2.39.67 новый драйвер версии 3.0 работает только с ОС Windows 7/Server 2008 R2 и выше и по умолчанию не устанавливает и не запускается. Для ветки 3.0 необходим драйвер версии 3.1. ./capslist.txt - добавлен в v3.0.6633.2106 Git-0bfcb231 ./peview.exe ./ProcessHacker.exe ./x86/ProcessHacker.exe - 32-х бит ЕХЕ необходим только для х64 редакции. В инсталляторы включён начиная с r6015 ./CHANGELOG.txt ./COPYRIGHT.txt ./LICENSE.txt ./README.txt ./plugins/ - все плагины (*.dll) должны лежать тут (если это правило нарушено, плагин не загрузится!) установка отдельных плагинов чуть отличается для разных версий: для версии 2.хх: ./plugins/AtomTablePlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (начиная с r5485) ./plugins/AvgCpuPlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (начиная с r5485) ./plugins/BootEntriesPlugin.dll - (начиная с r5994) ./plugins/DbgViewPlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (начиная с r5749) ./plugins/DnsCachePlugin.dll ./plugins/DotNetTools.dll ./x86/plugins/DotNetTools.dll - только для х64 редакции тут должна лежать 32-х битная DLL. В инсталляторы включён начиная с r6026 ./plugins/ExtendedNotifications.dll ./plugins/ExtendedServices.dll ./plugins/ExtendedTools.dll - минимальная версия ОС Windows Vista/Server 2003 R2 ./plugins/FirewallMonitorPlugin.dll - только для ОС Windows 7/Server 2008 R2 (начиная с r6152/r1690) ./plugins/HardwareDevice.dll ./plugins/HexPidPlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (начиная с r5485) ./plugins/NetExtrasPlugin.dll - (начиная с r5993) ./plugins/maxminddb/GeoLite2-Country.mmdb - в сам инсталлер и Zip не включена из-за габаритов, но в архиве есть. Киньте её в один каталог с инсталлятором перед установкой и он сам её скопирует в нужный подкаталог, ну а в Zip (портативку) её нужно скопировать вручную по указанному пути и NetExtrasPlugin.dll должен быть версии 1.1 и выше! ./plugins/OnlineChecks.dll ./plugins/PerfMonPlugin.dll - проблемы с не латинскими именами счётчиков производительности (WMI) устранены в r5812 ./plugins/ROTViewerPlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (начиная с r5485) ./plugins/SbieSupport.dll ./plugins/SecurityExplorer.dll - работает в ОС ниже Windows 8/Server 2012 (начиная с r6152/r1690) ./plugins/SetCriticalPlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (начиная с r5485) ./plugins/TaskbarExtPlugin.dll - (начиная с r6046) ./plugins/ToolStatus.dll ./plugins/TrustedInstallerPlugin.dll ./plugins/Updater.dll ./plugins/UserNotes.dll ./plugins/WaitChainPlugin.dll - минимальная версия ОС Windows Vista/Server 2003 R2 (добавлен в r5529) ./plugins/WindowExplorer.dll удалить ./plugins/DiskDrivesPlugin.dll - функционал плагина объединён с NetAdapters и он удалён в v2.38.163 удалить ./plugins/EnvironmentEditPlugin.dll - функционал плагина включён в Process Hacker v2.39 STABLE удалить ./plugins/HighlightPlugin.dll - в r6176 функционал плагина объединён с User Notes, плагин удалён. удалить ./plugins/NetAdapters.dll переименован в ./plugins/HardwareDevices.dll в v2.38.178 удалить ./plugins/NvGpuPlugin.dll - функционал плагина объединён с HardwareDevice и он удалён в v2.39.81 удалить ./plugins/ServiceExtrasPlugin.dll - в r5949 функционал плагина объединён с ExtendedServices, плагин удалён. удалить ./plugins/UMDFHostPlugin.dll - код плагина объединён с кодом processhacker.exe и плагин удалён в r5881 для версии 3.хх: %LOCALAPPDATA%/Process Hacker/GeoLite2-Country.mmdb - если у вас есть БД GeoLite2-Country.mmdb (БД обновляется в первый вторник каждого месяца) то вы можете положить его рядом с инсталлятором сборки от Vicror_VG и он сам его скопирует в нужное место, или откройте пункт меню "Tools - Network Tools - GeoIP database update..." и там последовательно нажмите кнопки "Download" и через 6 - 8 секунд после завершения скачивания БД "Restart". Если в каталогах %LOCALAPPDATA%/Process Hacker/GeoLite2-Country.mmdb или ./ лежит БД GeoLite2-City.mmdb (более не используется), то её следует удалить (инсталлятор v14.0.37 и выше от Victor_VG это делает автоматически). ./GeoLite2-Country.mmdb - только для режима Portable mode, способ обновления БД аналогичен обновлению в обычном режиме ./plugins/plugindata/kprocesshacker2_x32.sys - только для 32-х битной редакции ОС, используется плагином Terminator * ./plugins/plugindata/kprocesshacker2_x64.sys - только для 64-х битной редакции ОС, используется плагином Terminator * ./dbgcore.dll - разрядность как у ProcessHacker.exe, берите последнюю версию, текущая 10.0.17763.1 ./x86/dbgcore.dll - х86, берите последнюю версию, текущая 10.0.17763.1, только для х64 ./plugins/AtomTablePlugin.dll ./plugins/AvgCpuPlugin.dll ./plugins/DbgViewPlugin.dll ./plugins/DnsCachePlugin.dll ./plugins/DotNetTools.dll ./x86/plugins/DotNetTools.dll - только для х64 редакции тут должна лежать 32-х битная DLL. ./plugins/DpiAwarenessExtPlugin.dll ./plugins/ExtendedNotifications.dll ./plugins/ExtendedServices.dll ./plugins/ExtendedTools.dll ./x86/plugins/ExtendedTools.dll - только для х64 редакции тут должна лежать 32-х битная DLL ./plugins/FirewallMonitorPlugin.dll - работает только на Windows 8.1 - 10 ./plugins/FirmwarePlugin.dll - для ОС установленных на UEFI BIOS ./plugins/ForceShutdownPlugin.dll ./plugins/HardwareDevice.dll ./plugins/HexPidPlugin.dll - удалён в v3.0.6628.2101 Git-208154f5 ./plugins/LiveDumpPlugin.dll - только для Windows 10 ./plugins/MemoryExtPlugin.dll - только для Windows 10 ./plugins/NetworkTools.dll ./plugins/NvGpuPlugin.dll ./plugins/ObjectManagerPlugin.dll ./plugins/OnlineChecks.dll ./plugins/PerfMonPlugin.dll ./plugins/PoolMonPlugin.dll ./plugins/ProductPolicyPlugin.dll ./plugins/ROTViewerPlugin.dll ./plugins/SbieSupport.dll - только до версий ниже v3.0(r1254) ./plugins/SecurityExplorer.dll ./plugins/ServiceBackupRestorePlugin.dll ./plugins/SetCriticalPlugin.dll ./plugins/TaskbarExtPlugin.dll ./plugins/TerminatorPlugin.dll - требуется привилегия SeDebugPrivilege (разрешение отладки программ) ./plugins/ToolStatus.dll ./plugins/TrustedInstallerPlugin.dll ./plugins/Updater.dll ./plugins/UserNotes.dll ./plugins/WaitChainPlugin.dll ./plugins/WindowExplorer.dll Удалённые плагины: - BootEntriesPlugin.dll заменён FirmwarePlugin.dll - CommonUtil.dll - удалён в v3.0.5411.884, и даже при его наличии в каталоге плагинов запуск данного плагина блокируется "чёрным списком" не загружаемых плагинов в исходниках - ExtraPlugins.dll - удалён в v3.0.5585.1058, и даже при его наличии в каталоге плагинов запуск данного плагина блокируется "чёрным списком" не загружаемых плагинов в исходниках - HexPidPlugin.dll - удалён в v3.0.6628.2101 (интегрирован в ProcessHacker.exe) - NetExtrasPlugin.dll, так как NetworkTools.dll v1.8 включает настраиваемые Tracert, Ping, WhoIs и сам выводит колонку Country на вкладке Network, вдобавок умеет скачивать и обновлять БД геолокации (Process Hacker v3.0.0.268 и новее). SbieSupport.dll - отключён начиная с v3.0.6509.1982 Git-f0b96b18 0 см. Issues#233 SBIE2035: Out of memory Устаревшие компоненты и каталоги: - ./plugins/plugindata/GeoLite2-City.mmdb : БД геолокации с указанием города которому национальным регистратом доменных имён был выделен данный IP, удалите её вручную (инсталлятор v14.0.45 и выше от Victor_VG это сделает автоматически) - %LOCALAPPDATA%/Process Hacker 2/ : старый каталог настроек, для пользователя в нём важна БД заметок usernotesdb.xml (settings.xml переносить не стоит, так как за это время многие настройки у вас изменились) её просто нужно скопировать в %LOCALAPPDATA%/Process Hacker/ , а старый каталог удалить (инсталлятор v14.0.45 и выше от Victor_VG это делает автоматически). Примечания: - пути к плагинам фиксированы в исходниках! Кто попытается просто скопировать в подкаталог ./plugins каталоги ./plugins/x64 или ./plugins/x86 получит ошибку при загрузки плагинов - программа их просто не увидит! - начиная с версии v3.0.5478.951 путь к каталогу плагинов (по умолчанию ./Plugins) можно настроить через редактор настроек в меню "Hacker - Options", "Hacker - Plugins..." и "Hacker - Options - Show advanced options - Advanced" (этот флаг всегда сброшен). - общее правило - плагины должны быть собраны для той версии (Maj.Min) Рrocess Нacker-а с которой вы хотите их использовать - совместимость проверяется при запуске и несовместимые плагины не будут загружены, но даже если плагин от старой версии запустится это не даст гарантии что он полностью совместим с текущей версией Process Hacker-а, а потому их использования следует избегать и в случае возникновения ошибок в первую очередь начинать проверку с них путём их отключения в настройках. Плагин Security Explorer может вызывать аварийное завершение Process Hacker на Windows 10, поэтому на данной ОС рекомендуется отключить его. Если вы используете Windows 8.х и у вас возникнут проблемы вызванные плагином Security Explorer, то откройте меню Hacker - Plugins… , найдите в списке плагинов Security Explorer и нажмите кнопку Disabled после чего для применения изменений в настройках перезапустите Process Hacker. Так же можно отключить и любой иной плагин, но отключение плагинов рекомендуется только в случае если данный плагин вызывает проблемы. Плагин Terminator предназначен исключительно для аварийного завершения тех процессов и их нитей которые невозможно завершить нормальным способом, но Вы должны помнить что при аварийном завершении процесса (нити) обрабатываемые ими данные не сохраняются, что может привести к непредсказуемым ошибкам в работе других зависящих от них процессов (нитей). Начиная с (v3.0(r400) Plugins-Extra Git-d3848f8155) драйвер плагина должен располагаться в ./plugins/plugindata/ (путь для его поиска и загрузки фиксирован в исходниках плагина). В случае использования программы установки она сама правильно расположит все компоненты, важно только потом не изменять их расположение относительно корневого каталога программы! Установка параметров безопасности драйвера KProcessHacker (отображаемые имена KProcessHacker2, KProcessHacker3 и kph2 (используется плагином Terminator в Process Hacker v3) в зависимости от версии). Драйвер уровня ядра KProcessHacker имеет четыре уровня безопасности определяемые значением параметра SecurityLevel (Reg_Dword) используемых Process Hacker при проверке ЭЦП разработчика и уровня привилегий пользователя (в ключе Реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\KProcessHacker3\Parameters] "SecurityLevel" и для kph2 в ключе [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\kph2\Parameters] "SecurityLevel" ) : 00000000 - Проверки отключены, выбирается для всех неофициальных сборок 00000001 - Проверяется наличие у пользователя SeDebugPrivilege 00000002 - Signatuspam_detected, требует подписания кода с помощью EV Code Signing сертификата разработчика 00000003 - Подпись и проверка привилегий, требует подписания кода с помощью EV Code Signing сертификата разработчика и наличия у пользователя SeDebugPrivilege. Максимальный уровень безопасности. По умолчанию параметр SecurityLevel драйвера установлен на максимальный уровень безопасности (SecurityLevel= 2). При неправильно выставленном уровне безопасности драйвер не запускается и зависимые от него функции при включённом ([x]) на странице настроек Options - Advanced чекбоксе Enable kernel-mode driver (параметр EnableKPH=1 в settings.xml) становятся недоступны. Например вы получите сообщение об ошибке на вкладке Handles свойств процесса, не будут распознаваться Job-объекты и соответственно не будут подсвечиваться пакетные (Job) процессы, будут недоступны ETW хендлы и просмотр ряда свойств Pico-процессов (WSL) и т.д. ... Для устранения этих проблем при не запущенном Process Hacker однократно выполните от имени администратора скрипт "updkph.cmd": Код: @echo off setlocal sc stop KProcessHacker3 if defined PROCESSOR_ARCHITEW6432 (set reg="%systemroot%\sysnative\reg.exe" ) else ( set reg=reg) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\KProcessHacker3\Parameters" /v "SecurityLevel" /t REG_DWORD /d 0 /f sc start KProcessHacker3 exit | WARNING! Для неофициальных сборок обязательно установите флаг "Hacker - Options - Show advanced options" [x] (v3.0.5478.951 и новее), перейдите на вкладку Advanced (редактор настроек) и установите значение "EnableKphWarnings=0", и если установлен драйвер KProcessHacker3 (при работе в ограниченной учётной записи он нужен для доступа к процессам запущенным под другими пользователями), то от имени администратора выполните команду '@taskkill /IM ProcessHacker.exe /FI "STATUS eq running" && @sc stop KProcessHacker3 && @reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\KProcessHacker3\Parameters" /v "SecurityLevel" /t REG_DWORD /d 0 /f && @sc start KProcessHacker3', после чего можно запустить РН с правами обычного пользователя включив в его настройках Enable kernel-mode driver [x] или для v3.0.5478.951 и новее в редакторе настроек "Hacker - Options - Show advanced options" [x], Advanced, "EnableKPH=1". Для работы плагина Terminator вы должны иметь SeDebugPrivilege ("Отладка программ"). | Всего записей: 38841 | Зарегистр. 26-02-2002 | Отправлено: 22:22 28-12-2016 | Исправлено: Victor_VG, 07:38 13-07-2019 |
|