Process Explorer下载安装使用教程（图文教程）超详细

Process Explore 是微软的一款「进程资源管理器」，比Windows系统自带的任务管理器更加详细。
Process Explorer
1、下载安装
2、页面功能介绍
2.1、展示树形结构
2.2、显示列设置
2.3、识别进程
2.4、查看进程状态
2.5、查看进程信息
2.6、操作进程
2.7、查看进程加载的DLL
2.8、查看历史资源占用情况
3、实战案例
3.1、寻找程序的进程
3.2、判断进程文件是否恶意
3.3、分析外联行为
3.4、导出日志
3.5、获取Dump信息
1、下载安装
微软官网下载：
https://learn.microsoft.com/zh-cn/sysinternals/downloads/process-explorer

解压即可，免安装

2、页面功能介绍
2.1、展示树形结构
点击左上角的「树形图标」，会以「树形结构」展示进程间的「父子」关系

2.2、显示列设置
展示常用的列，比如进程ID、进程路径、命令行参数，来更好的分析进程。

点左上角的 View - Select Columns ，可以设置「显示列」。

勾选列名后，确定，即可在右侧列表中显示。

常用的列有：

Image Path ：进程的文件路径
Command Line ：进程的命令行参数
Image Type ：进程是32位的还是64位的
User Name ：进程的权限（普通用户还是管理员用户）
Verified Signer ：签名是否有效
2.3、识别进程
遇到无法确认的进程时，比如想知道广告弹窗是哪个进程，可以点左上角的「靶标图标」，摁住靶标「拖动」到目标窗口上，即可跳转到对应的进程。

2.4、查看进程状态
根据进程的颜色可以判断「进程状态」。

点左上角的 Options - Configure Colors ，可以设置进程状态的颜色。

不同的颜色对应不同的进程状态。

默认颜色和状态对应关系如下：

绿色（ New Objects ）：创建的进程（一闪而过）
红色（ Deleted Objects ）：被结束的进程
淡紫色（ Own Processes ）：当前登录用户启动的进程
粉色（ Services ）：系统服务的进程，
灰色（ Suspened Processes ）：挂起的进程
紫色（ Packed Images ）：被压缩或加密的进程（病毒流氓软件常用这种方式做免杀）
2.5、查看进程信息
选中进程，双击或者右键 Properties ，查看进程的「详细信息」。重点看 Image 和 Strings 标签。

Image 标签，显示进程的主要信息。

Path：进程路径
Command line：进程启动参数
Autostart Location：启动项位置
Verify：验证签名，点Verify开始验证，结果显示在最上方。Verified表示正常。

Strings 标签，会显示进程运行时可能会使用的一些字符串，比如网址、路径名、注册表名。杀软也会从这里提取病毒特征码。

可疑的IP地址、url
可疑的进程路径，比如：C:\Windows\xx.exe
常见的注册表启动项路径

2.6、操作进程
选中进程，右键可以结束进程、挂起进程、重启进程。

Kill Process：结束进程
Kill Process：结束进程树
Restart：重启进程
Resume：恢复进程（针对挂起状态的进程）
Suspend：挂起进程（挂起后，进程对应的程序窗口就无法操作了）

2.7、查看进程加载的DLL
选中进程，点左上角的 View - Lower Pane View - DLLs，最下方查看这个进程加载了哪些DLL。

Dependency Walker 可以通过分析文件的PE结构，列出文件所需要装在的DLL。

对比两者的DLL列表，判断是否存在DLL注入。

2.8、查看历史资源占用情况
Windows自带的任务管理器只能查看实时的资源占用，Process Explorer更强大，可以记录历史的资源占用情况。

点左上角View - System Information 打开资源视图，以右侧的形式展出。

选中进程，双击或者右键 Properties，选择Performance Graph标签，可以查看单个进程的历史资源占用情况。

3、实战案例
3.1、寻找程序的进程
随便打开一个文件（这里用文本文档），长按上方的靶标，拖拽到程序窗口上，Process Explorer 会自动选中程序对应的进程并高亮显示。

3.2、判断进程文件是否恶意
选中可疑进程，双击或右键 - Properties，检查Image标签，点 Verify 验证签名，（红框圈中的地方）显示verified，说明签名合法，（大概率）不是可疑文件。

病毒程序通常没有签名，并且版本信息不会很全。

需要注意的是，Verify 是拿（镜像）磁盘中的文件验证签名，而不是内存中正在运行的文件。这样会被进程替换技术绕过。针对这种绕过，可以比较两者 String 标签中的字符串是否相同，如果字符串差距很大，就说明被进程替换绕过了。

还有一种快速识别恶意文件的方法：

打开可疑文档，观察 Process Explorer 中是否有新进程被创建（正常的文档打开后，不会创建跟文档无关的进程）。
如果有新创建的进程，就双击进去看Image标签，根据 Path 定位文件位置。
3.3、分析外联行为
切换到TCP/IP标签，检查程序访问网络的情况，木马程序通常会有外联行为，把外联的地址拿到TI等平台分析看是否恶意。

3.4、导出日志
选中进程，点右上角 File - Save，将日志导出后（让别人帮忙分析），导出格式见右侧。

3.5、获取Dump信息
Dump是进程的内存镜像，用来分析进程的运行情况。

点右上角 Process - Create Dump - Create Full Dump，导出完整的（或者迷你的）镜像。

————————————————

                            版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。
                        
原文链接：https://blog.csdn.net/wangyuxiang946/article/details/135674723