Process Explorer

Process Explorer
Tesgaz
21 octobre 2006
Dans la série des outils Windows, nous avons le gestionnaire des taches. Presque tout le monde
le connait. Il permet de connaı̂tre les processus en cours et éventuellement d’arrêter un processus.
Pour celui qui ne le connait pas, voici l’article : Le gestionnaire des taches
http://speedweb1.free.fr/frames2.php?page=service2
Le décors est planté ! Malheureusement, cet outil est rudimentaire et n’apporte pas toujours la
solution à la fermeture d’un processus ou éventuellement la connaissance d’un disfonctionnement
Il existe un excellent remplacant qui se nomme : Process Explorer que vous trouverez sur
le site de Systinternals :
http://www.sysinternals.com/Utilities/ProcessExplorer.html
3 versions différentes existent en fonction de votre systeme d’exploitation (en fin de page) ne
vous trompez pas en le téléchargeant
Dans la suite de ce mini-tuto, je le nommerai ”PE” (Process Explorer) et GdT (Gestionnaire
des taches) Sans entrer dans les détails, je vais essayer de vous donner un aperçu des avantages
à utiliser ce programme à la place du gestionnaires des taches de Windows
Process Exploreur a de nombreuses fonctions qui vont vous permettre d’aller plus loin dans
la recherche de processus, de thread ou de fichiers qui infectent votre machine
Nous allons en voir quelques unes des plus importantes pour mieux connaı̂tre votre système
et ainsi vous aidez à déterminer la cause d’un disfonctionnement par exemple !
Ce soft peut s’exécuter à partir d’une clé USB, c’est un exécutable, il n’installe rien sur
le système d’exploitation, ce qui en fait un choix de première classe en cas de soucis avec le
gestionnaire des taches.
A l’ouverture de Process Explorer, vous aurez plusieurs volets et vous constatez qu’il
indique les processus en arborescence, ce qui est trés pratique pour voir quel processus dépend
de l’autre, etc :
1
Les plus du soft
on peut remplacer le gestionnaire des taches (GdT) par Process Explorer. (PE) Pour cela, il
suffit de cocher dans les options :
Replace Task Manager
Argument important
Quand on sait que dans la plupart des cas, certains virus désactivent le Gestionnaire des taches
Compte-tenu que Process Explorer n’a pas le même nom, il aura l’avantage de fonctionner
quelque soit la restriction sur le gestionnaire des taches ! Il peut également se placer directement
dans le systray ( à droite de la barre des taches) et de ce fait, être toujours à porter de la main
Il faut juste cocher l’option Hide When Minimized
Grace à Process Explorer, on peut également démarrer une application ou un processus avec
la commande ”runas”
2
1
Utilisation
Bon, maintenant, passons aux choses sérieuses. Un virus récalcitrant ne se kill (tue) pas
facilement avec le gestionnaire des taches, c’est ici que PE devient indispensable la premiere
chose à faire, c’est de voir ce qui tourne derriere un processus : clic droit sur le processus en cours
—> Properties —> Thread
3
Qu’est-ce qu’un Thread
(Un thread est un processus léger, correspondant à l’exécution d’un petit programme, ou
d’une routine d’un programme plus gros (le processus parent par exemple) Il est donc possible
qu’un thread se crochette à un processus légitime en cours, que l’on appelle pour l’occasion
(un hook) afin d’en modifier son fonctionnement. L’intérêt de PE est qu’il permet de voir tout
les Threads et ainsi de pouvoir vérifier la véracité du programme par l’intermédiaire de votre
navigateur (un petit coup de google et vous serez quoi faire)
Il est donc possible de connaı̂tre un processus par l’intermédiaire de votre navigateur (IE)
par défaut s’ouvrira sur Google en cliquant sur le processus
Si dans le processus, le nom d’un thread vous parraı̂t suspect, n’hésitez pas de faire une
recherche afin dans connaı̂tre le plus possible sur ce fichier avant de le killer (tué)
A propos de Killer, le GdT ne permet pas de killer n’importe quoi, en voici la preuve
Nous allons faire la même chose avec PE maintenant :
4
Allez, on est gentil, on va en tuer un autre de windows pour le plaisir : mais ce coup là avec
la commande Kill process tree (qui permet de killer tout les processus de la hiérarchie)
Ce qui a pour effet de nous donner comme résultat, ceci :
5
l ne reste plus grand chose me dirait vous !
Important :(Ne pas faire n’importe quoi ! c’est juste un test pour faire les images)
Biensur, l’objectif n’est pas de killer les processus de Windows, mais, la puissance de ce
programme vous permettra de tuer un malware et sa hierarchie sans aucune hésitation, et c’est
tout l’intérêt de ce programme
On peut également faire un rapport complet avec PE pour le faire : —> File –> Save as
Process PID CPU Description Company Name
System Idle Process 0 99.01
Interrupts n/a Hardware Interrupts
DPCs n/a Deferred Procedure Calls
System 4
smss.exe 240 Gestionnaire de session Windows NT Microsoft Corporation
csrss.exe 340 Client Server Runtime Process Microsoft Corporation
winlogon.exe 368 Application d’ouverture de session Windows NT Microsoft Corporation
services.exe 412 Applications Services et Contrôleur Microsoft Corporation
svchost.exe 632 Generic Host Process for Win32 Services Microsoft Corporation
svchost.exe 1004 Generic Host Process for Win32 Services Microsoft Corporation
lsass.exe 424 LSA Shell (Export Version) Microsoft Corporation
explorer.exe 924 Explorateur Windows Microsoft Corporation
procexp.exe 1100 0.99 Sysinternals Process Explorer Sysinternals
Process : winlogon.exe Pid : 368
Name Description Company Name Version
activeds.dll DLL de la couche de routage AD Microsoft Corp
.......................... etc ................
A savoir
- il fonctionne en mode sans echec ou en mode normal
- on peut l’utiliser à partir d’un autre support autre que la partition de windows
- il s’ouvre de la même manière que le GdT avec les raccourcis clavier si vous le remplacez
par celui-ci
- il est complémentaire à l’excellent programme Autoruns fourni par la même société dont
vous trouverez un mini-tuto ici :
Autoruns http://speedweb1.free.fr/frames2.php?page=outils8
6
2
Bonus games
ce soft a une option de transparence pour les fous de la customisation
Voila, j’ai fait juste un petit tour d’horizon de ce programme, je vous le laisse découvrir et le
tester tranquillement chez vous, vous verez par la suite que vous ne pourez plus vous en passer.
De nombreuses options supplémentaires sont présentes sur ce soft, il vous appartient maintenant
de les aprivoiser Seul bémol, ce soft est en anglais
Une question, un commentaire sur cette article, le forum :
http://speedweb1.ovh.org/forum-tesgaz/index.php est à votre disposition.
Tesgaz le : 18/10/2006
7