Aide
Dans la série des outils Windows, nous avons le gestionnaire des taches. Presque tout le monde le connait. Il permet de connaître les processus en cours et éventuellement d'arrêter un processus. Pour celui qui ne le connait pas, voici l'article : http://speedweb1.fre...p?page=service2
Le décors est planté !
Malheureusement, cet outil est rudimentaire et n'apporte pas toujours la solution à la fermeture d'un processus ou éventuellement la connaissance d'un disfonctionnement
Il existe un excellent remplacant qui se nomme : Process Explorer que vous trouverez sur le site de Systinternals: http://www.sysintern...ssExplorer.html
3 versions différentes existent en fonction de votre systeme d'exploitation (en fin de page)
ne vous trompez pas en le téléchargeant
Dans la suite de ce mini-tuto, je le nommerai "PE" (Process Explorer)
et GdT (Gestionnaire des taches)
Sans entrer dans les détails, je vais essayer de vous donner un aperçu des avantages à utiliser ce programme à la place du gestionnaires des taches de Windows
Process Exploreur a de nombreuses fonctions qui vont vous permettre d'aller plus loin dans la recherche de processus, de thread ou de fichiers qui infectent votre machine
Nous allons en voir quelques unes des plus importantes pour mieux connaître votre système et ainsi vous aidez à déterminer la cause d'un disfonctionnement par exemple !
Ce soft peut s'exécuter à partir d'une clé USB, c'est un exécutable, il n'installe rien sur le système d'exploitation, ce qui en fait un choix de première classe en cas de soucis avec le gestionnaire des taches.
A l'ouverture de Process Explorer, vous aurez plusieurs volets et vous constatez qu'il indique les processus en arborescence, ce qui est trés pratique pour voir quel processus dépend de l'autre, etc :
Les plus du soft :
on peut remplacer le gestionnaire des taches (GdT) par Process Explorer. (PE)
Pour cela, il suffit de cocher dans les options : Replace Task Manager
Argument important quand on sait que dans la plupart des cas, certains virus désactivent le Gestionnaire des taches
Compte-tenu que Process Explorer n'a pas le même nom, il aura l'avantage de fonctionner quelque soit la restriction sur le gestionnaire des taches !
Il peut également se placer directement dans le systray ( à droite de la barre des taches) et de ce fait, être toujours à porter de la main
il faut juste cocher l'option Hide When Minimized
Grace à Process Explorer, on peut également démarrer une application ou un processus avec la commande "runas"
Bon, maintenant, passons aux choses sérieuses.
Un virus récalcitrant ne se kill (tue) pas facilement avec le gestionnaire des taches, c'est ici que PE devient indispensable
la premiere chose à faire, c'est de voir ce qui tourne derriere un processus
clic droit sur le processus en cours ---> Properties ---> Thread
(Qu'est-ce qu'un Thread ? = un thread est un processus léger, correspondant à l'exécution d'un petit programme, ou d'une routine d'un programme plus gros (le processus parent par exemple)
Il est donc possible qu'un thread se crochette à un processus légitime en cours, que l'on appelle pour l'occasion (un hook) afin d'en modifier son fonctionnement. L'intérêt de PE est qu'il permet de voir tout les Threads et ainsi de pouvoir vérifier la véracité du programme par l'intermédiaire de votre navigateur (un petit coup de google et vous saurez quoi faire)
Il est donc possible de connaître un processus par l'intermédiaire de votre navigateur (IE) par défaut s'ouvrira sur Google en cliquant sur le processus
Si dans le processus, le nom d'un thread vous parraît suspect, n'hésitez pas de faire une recherche afin dans connaître le plus possible sur ce fichier avant de le killer (tué)
C'est ici qu'on trouve la superiorité de ce programme face au GdT
A propos de Killer, le GdT ne permet pas de killer n'importe quoi, en voici la preuve
Et oui Windows ne veut pas se suicider !! hein
Nous allons faire la même chose avec PE maintenant :
Allez, on est gentil, on va en tuer un autre de windows pour le plaisir :
mais ce coup là avec la commande Kill process tree (qui permet de killer tout les processus de la hiérarchie)
Ce qui a pour effet de nous donner comme résultat, ceci :
Il ne reste plus grand chose me direz-vous !
Important : (Ne pas faire n'importe quoi ! c'est juste un test pour faire les images)
biensur, l'objectif n'est pas de killer les processus de Windows, mais, la puissance de ce programme vous permettra de tuer un malware et sa hierarchie sans aucune hésitation, et c'est tout l'intérêt de ce programme
On peut également faire un rapport complet avec PE pour le faire : ---> File --> Save as
Process PID CPU Description Company Name System Idle Process 0 99.01 Interrupts n/a Hardware Interrupts DPCs n/a Deferred Procedure Calls System 4 smss.exe 240 Gestionnaire de session Windows NT Microsoft Corporation csrss.exe 340 Client Server Runtime Process Microsoft Corporation winlogon.exe 368 Application d'ouverture de session Windows NT Microsoft Corporation services.exe 412 Applications Services et Contrôleur Microsoft Corporation svchost.exe 632 Generic Host Process for Win32 Services Microsoft Corporation svchost.exe 1004 Generic Host Process for Win32 Services Microsoft Corporation lsass.exe 424 LSA Shell (Export Version) Microsoft Corporation explorer.exe 924 Explorateur Windows Microsoft Corporation procexp.exe 1100 0.99 Sysinternals Process Explorer Sysinternals Process: winlogon.exe Pid: 368 Name Description Company Name Version activeds.dll DLL de la couche de routage AD Microsoft Corp .......................... etc ................
() A savoir,
- il fonctionne en mode sans echec ou en mode normal
- on peut l'utiliser à partir d'un autre support autre que la partition de windows
- il s'ouvre de la même manière que le GdT avec les raccourcis clavier si vous le remplacez par celui-ci
- il est complémentaire à l'excellent programme Autoruns fourni par la même société dont vous trouverez un mini-tuto ici : http://speedweb1.free.fr/forum-tesgaz/view...c.php?p=151#151
Bonus games,
ce soft a une option de transparence pour les fous de la customisation
voila, j'ai fait juste un petit tour d'horizon de ce programme, je vous le laisse découvrir et le tester tranquillement chez vous, vous verez par la suite que vous ne pourez plus vous en passer. Un grand nombre d'option supplémentaire est présent sur ce soft, il vous appartient maintenant de les aprivoiser
Seul bémol, ce soft est en anglais
() - en cours de rédaction, un sujet complet sur tout les outils que l'on peut remplacer sans aucune hésitation sous Windows, Process Explorer et Autoruns en font parti, ce sujet sera présent dans les articles sur mon site prochainement
Ce message a été modifié par tesgaz - 14 avril 2006 - 03:38 .
