Salut all,


Dans la série des outils Windows, nous avons le gestionnaire des taches. Presque tout le monde le connait. Il permet de connaître les processus en cours et éventuellement d'arrêter un processus. Pour celui qui ne le connait pas, voici l'article : http://speedweb1.free.fr/frames2.php?page=service2

Le décors est planté !
Malheureusement, cet outil est rudimentaire et n'apporte pas toujours la solution à la fermeture d'un processus ou éventuellement la connaissance d'un disfonctionnement


Il existe un excellent remplacant qui se nomme : Process Explorer que vous trouverez sur le site de Systinternals: http://www.sysinternals.com/Utilities/ProcessExplorer.html

3 versions différentes existent en fonction de votre systeme d'exploitation (en fin de page)
ne vous trompez pas en le téléchargeant

Dans la suite de ce mini-tuto, je le nommerai "PE" (Process Explorer)
et GdT (Gestionnaire des taches)
Sans entrer dans les détails, je vais essayer de vous donner un aperçu des avantages à utiliser ce programme à la place du gestionnaires des taches de Windows


Process Exploreur a de nombreuses fonctions qui vont vous permettre d'aller plus loin dans la recherche de processus, de thread ou de fichiers qui infectent votre machine


Nous allons en voir quelques unes des plus importantes pour mieux connaître votre système et ainsi vous aidez à déterminer la cause d'un disfonctionnement par exemple !


Ce soft peut s'exécuter à partir d'une clé USB, c'est un exécutable, il n'installe rien sur le système d'exploitation, ce qui en fait un choix de première classe en cas de soucis avec le gestionnaire des taches.

A l'ouverture de Process Explorer, vous aurez plusieurs volets et vous constatez qu'il indique les processus en arborescence, ce qui est trés pratique pour voir quel processus dépend de l'autre, etc :



Les plus du soft :
on peut remplacer le gestionnaire des taches (GdT) par Process Explorer. (PE)
Pour cela, il suffit de cocher dans les options : Replace Task Manager



Argument important quand on sait que dans la plupart des cas, certains virus désactivent le Gestionnaire des taches
Compte-tenu que Process Explorer n'a pas le même nom, il aura l'avantage de fonctionner quelque soit la restriction sur le gestionnaire des taches !
Il peut également se placer directement dans le systray ( à droite de la barre des taches) et de ce fait, être toujours à porter de la main
il faut juste cocher l'option Hide When Minimized

Grace à Process Explorer, on peut également démarrer une application ou un processus avec la commande "runas"



Bon, maintenant, passons aux choses sérieuses.
Un virus récalcitrant ne se kill (tue) pas facilement avec le gestionnaire des taches, c'est ici que PE devient indispensable
la premiere chose à faire, c'est de voir ce qui tourne derriere un processus
clic droit sur le processus en cours ---> Properties ---> Thread


(Qu'est-ce qu'un Thread ? = un thread est un processus léger, correspondant à l'exécution d'un petit programme, ou d'une routine d'un programme plus gros (le processus parent par exemple)
Il est donc possible qu'un thread se crochette à un processus légitime en cours, que l'on appelle pour l'occasion (un hook) afin d'en modifier son fonctionnement. L'intérêt de PE est qu'il permet de voir tout les Threads et ainsi de pouvoir vérifier la véracité du programme par l'intermédiaire de votre navigateur (un petit coup de google et vous saurez quoi faire)

Il est donc possible de connaître un processus par l'intermédiaire de votre navigateur (IE) par défaut s'ouvrira sur Google en cliquant sur le processus



Si dans le processus, le nom d'un thread vous parraît suspect, n'hésitez pas de faire une recherche afin dans connaître le plus possible sur ce fichier avant de le killer (tué)

C'est ici qu'on trouve la superiorité de ce programme face au GdT

A propos de Killer, le GdT ne permet pas de killer n'importe quoi, en voici la preuve


Et oui Windows ne veut pas se suicider !! hein


Nous allons faire la même chose avec PE maintenant :


Allez, on est gentil, on va en tuer un autre de windows pour le plaisir :
mais ce coup là avec la commande Kill process tree (qui permet de killer tout les processus de la hiérarchie)



Ce qui a pour effet de nous donner comme résultat, ceci :


Il ne reste plus grand chose me direz-vous !
Important : (Ne pas faire n'importe quoi ! c'est juste un test pour faire les images)


biensur, l'objectif n'est pas de killer les processus de Windows, mais, la puissance de ce programme vous permettra de tuer un malware et sa hierarchie sans aucune hésitation, et c'est tout l'intérêt de ce programme


On peut également faire un rapport complet avec PE pour le faire : ---> File --> Save as



() A savoir,
- il fonctionne en mode sans echec ou en mode normal
- on peut l'utiliser à partir d'un autre support autre que la partition de windows
- il s'ouvre de la même manière que le GdT avec les raccourcis clavier si vous le remplacez par celui-ci
- il est complémentaire à l'excellent programme Autoruns fourni par la même société dont vous trouverez un mini-tuto ici : http://speedweb1.free.fr/forum-tesgaz/view...c.php?p=151#151


Bonus games,

ce soft a une option de transparence pour les fous de la customisation



voila, j'ai fait juste un petit tour d'horizon de ce programme, je vous le laisse découvrir et le tester tranquillement chez vous, vous verez par la suite que vous ne pourez plus vous en passer. Un grand nombre d'option supplémentaire est présent sur ce soft, il vous appartient maintenant de les aprivoiser
Seul bémol, ce soft est en anglais

() - en cours de rédaction, un sujet complet sur tout les outils que l'on peut remplacer sans aucune hésitation sous Windows, Process Explorer et Autoruns en font parti, ce sujet sera présent dans les articles sur mon site prochainement

Ce message a été modifié par tesgaz - vendredi 14 avril 2006 à 15h38.

merci tesgaz, très bon soft, et très bon tuto



énorme! à épingler !

je suis étonné que l'on en ai pas parlé avant.. !

Ca fait longtemps que tu l'utilises? jamais de conflit avec GDT?

Ce message a été modifié par boris21 - vendredi 14 avril 2006 à 15h49.

Bonjour à tous,

Merci Tesgaz pour ce petit tuto sur "Process Explorer" qui est effectivement un bon GdT.

depuis 2 ans environ, jamais aucun conflit
et puis sur une machine infectée, tu démarres avec ce soft, tu te régales à dézinguer les process

Bonjour tesgaz, boris21, coolman, bonjour à tous,

Merci pour ce nouveau tuto : bien plus pratique que le Gestionnaire des tâches !

salut @ tous

Super tuto tesgaz, comme d'hab!Process Explorer que j'ai depuis un bail sur mon pc et que j'avais oublié....(ainsi que Autoruns!)Merci de les remettre au goût du jour
On voit tout de suite l'intérêt de ce tool quand un malware interdit l'utilisation du taskmgr!

Salut à tous,

Au fait, j'y pense, ce tuto irait très bien dans la rubrique "FAQ Software"

A+

une autre fonction (parmis plein d'autre) qui peut etre utile:



vous cliquez sur le bouton en forme de cible en laissant appuyer, ce curseur remplace votre souris et permet de cibler les différents éléments affichés à l'écran ( vous remarquerez les cadres) quand vous relachez il désigne le processus correspondant

par exemple si vous ciblez:

#votre barre des taches > explorer.exe
#votre page web > firefox.exe

bonjour tesgaz et tous les autres....existe-t-il une version française de process explorer? (mon anglais etant toujours aussi limité...)

Ce message a été modifié par chepioq - dimanche 16 avril 2006 à 17h29.

hello chepiog

non, pas de version francaise, et chez sysinternals, j'ai bien regardé, pas de fichier source sur son site pour cet utilitaire

() pourtant, il en a de nombreux qui ont les fichiers sources

dommage

tant pis...je vais me mettre serieusement a l'anglais....merci tesgaz

Merci Tesgaz,

J'étudie et j'adopte sous peu

Amicalement.

salut!
Je voulai juste apporter ma pierre à l'édifice:j'ai trouvé un manuel en français à télécharger.
http://manuelsdaide.com/System/ProcessExpl...essExplorer.htm

allez je retourne à la chasse sur process explorer!

Si ça intéresse quelqu'un ProcessExplorer XP avec l'aide en français.
Il n'y a pas d'accentuation car ça foirait les menus.
L'aide vient de http://manuelsdaide.com/

Bonjour,, un contrôleur d'intégrité comme Process Guard "full" permet de bloquer les hook (crochetage, voir SSDT), entre autre (ProcessGuard - Process Guard http://assiste.com.free.fr/p/logitheque/processguard.php ).Process Explorer est, à mon avis, un excellent complément à des log comme IceSword, Seem et GMER, entre autre. Et merci pour ton excellent tuto tesgaz

IceSword : un IDS + : http://www.open-files.com/forum/index.php?showtopic=29383

Seem 4.1 : http://www.open-files.com/forum/index.php?showtopic=30793

GMER : http://gmer.net/files.php

Amicalement.