Artikel top billede

(Foto: Computerworld)

Overvågning, fejlfinding og optimering af pc’en - del 2

Brug Process Hacker til at se og styre alt hvad der kører på din Windows-pc.

Af Redaktionen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Sidst kiggede vi på den grundlæggende overvågning og detektivarbejdet bag udryddelsen af uhensigtsmæssige processer. Denne gang forklarer vi, hvordan du identificerer og fjerner malware.

Afdæk malware

Kunne dit mystiske program være malware, der er sluppet gennem antivirusforsvaret? Vi begynder med nogle af de Process Hacker-test, vi allerede har brugt.

Klik på knappen »Network« for at se, om processen opretter onlineforbindelse, eller højreklik på processen, vælg »Properties | Handles« og se, hvilke filer og registreringsdatabasenøgler den overvåger.

Dernæst kan du prøve at højreklikke på processen, vælge »Properties« og klikke på knappen »Memory«. Det viser ikke kun de forskellige ram-blokke, som processen bruger, du kan også søge på dem.

Vælg »String Scan« i boksen »Search«, og Process Hacker browser gennem hver hukommelsesblok og meddeler alle de ASCII-strenge, den finder. Hvis et program for eksempel hemmeligt har samlet kontokortnumre eller læst vigtige filer, kan du måske se resultaterne her.

Du kan måske også se interessante datablokke, der er dele af programmets kode: Registreringsdatabasenøgler, som det browser efter; url’er, det prøver at nå; eller sågar prompts, der bliver vist senere. Denne funktion gør det også muligt at lave hukommelsessøgning for legitime programmer.

Desværre kan malwareudviklere bruge trick, der gemmer information for hukommelsesscanninger. Hvis alt andet svigter, kan du bruge din antivirussoftware til at scanne filen.

Højreklik på den mystiske proces, vælge »Miscellaneous | Upload to VirusTotal«, så sender programmet filen til www.virustotal.com, hvor den bliver scannet med omkring 40 antivirusværktøjer. Et browservindue kommer frem og viser resultaterne.

Noget malware prøver at undgå afsløring ved at skjule dens processer, men Process Hacker kan også gøre nytte her. Klik »Tools | Hidden Processes« og dernæst »Scan«. Nu bruger programmet en enkel, men effektiv teknik til at finde nogle skjulte processer.

Hvis det ikke finder noget, skal du vælge funktionen »Brute Force« og klikke »Scan« igen. Det er ikke nogen særlig avanceret teknologi, og den kan ikke erstatte et professionelt rootkit-værktøj, men den er hurtig og et forsøg værd, hvis du har mistanke om infektion.

Gør noget

Foreløbig har vi fokuseret på Process Hackers overvågningsværktøjer, der fortæller om de processer, der kører på pc’en. Det har imidlertid også nogle nyttige måder at interagere med disse processer på, som kan hjælpe med til at få styr på pc’en.

Hvis en bestemt proces for eksempel bruger en usædvanlig stor mængde ram, skal du højreklikke på den og vælge »Reduce Working Set«. Så beder Process Hacker Windows om at skrue ned til noget mere håndterligt.

Det er ikke magi, og hvis processen aktivt bruger ram, vil »Working Set«-tallet begynde at vokse igen, og du er hurtigt tilbage ved udgangspunktet. Men det er et forsøg værd.

Somme tider gør processer meget mere end at sluge hukommelse. De kan besætte al din cpu-tid og blande sig i andre applikationer. I det tilfælde ville vi prøve at højreklikke på processen, vælge »Affinity« og sikre os, at kun en boks er klikket af. Det begrænser processen til en cpu-kerne, så de andre kan blive brugt af noget andet.

Du kan også prøve at højreklikke på processen, vælge »Priority« og reducere dens prioritet lidt – helst under »Normal«, men »Idle« kan også bruges, hvis alt andet svigter. Programmet fortsætter med at køre, men Windows allokerer mindre cpu-tid, så det burde ikke påvirke andre applikationer.

Hvis et program er uden for kontrol eller ikke svarer, vil du måske lukke det ned. Højreklik på processens navn og vælg »Terminate Process« for at lukke denne proces eller vælg »Terminate Process Tree« for at lukke den og alle andre processer, den har startet.

Men pas på! Når du lukker en systemproces, kan det fryse pc’en, og hvis du vælger »Terminate Process Tree«, lukker du også alle de processer, den har startet, herunder alle dine Windows-startprogrammer.

Af og til låser et program så eftertrykkeligt, at den normale »Terminate«-funktion ikke virker. Du har sikkert prøvet noget lignende, når selv Joblistens »Afslut proces« ikke kan myrde et bestemt program.

Heldigvis har Process Hacker en ekstra funktion, der måske kan klare ærterne. Højreklik på processen, vælg »Terminator | Run«, så bruger Process Hacker 16 avancerede metoder til at lukke det og rydde op bagefter.

Det er et stærkt sæt værktøjer, og hvis du bliver glad for Process Hacker, findes der en nem måde at sikre, at det altid er lige ved hånden. Klik »Hacker | Options | Advanced«, klik i »Replace Task Manager with Process Hacker« og klik »OK«. Når du siden trykker [Ctrl]+[Shift]+[Esc], starter du Process Hacker, der gør det nemt at overvåge alt, hvad der kører på pc’en.

Befri låste filer

Har du en mystisk fil på din pc, som du gerne vil flytte eller slette, men Windows siger, at den er låst, eller at du ikke har adgang? Process Hacker kan hjælpe.
Start programmet, klik på »Hacker | Find Handles or DLLs«, skriv navnet på filen i boksen »FilterW« og klik på »Find«.

Process Hacker søger alle processer og meddeler, hvem der ejer filen. Ideelt burde du nu gå til det, som denne proces er, og prøve at befri den låste fil. Det er dog nok blot at lukke processen, så længe den ikke er systemkritisk.

Hvis det ikke kan lade sig gøre, kan du altid højreklikke på filen i boksen »Find Handles or DLLs« og vælge »Close«. Men pas på: Du kan ikke vide, hvilken påvirkning det får på den ejende applikation, der nu måske går ned eller opfører sig sært.

Hvis applikationen virkelig har styrke nok til at beskadige systemet, skal du tænke dig om to gange, før du gør det. Og hvis det er mindre vigtigt, så genstart pc’en, så snart du har fjernet filen. Så sikrer du dig, at ændringen har haft kortest mulig tid til at lave problemer

Lav en log over dine pc-processer

Selv for Windowseksperter er det umuligt at huske, hvilke processer de normalt har kørende, foruden den ram og de ressourcer, de typisk bruger. Men uden den information, hvordan kan du så finde ud af, hvad der er ændret, siden du sidst så systemet efter?

Der er heldigvis en enkel løsning på det problem. Start Process Hacker og klik på »Hacker | Save« for at sætte programmet til at registrere alt, hvad du har kørende i øjeblikket.

Du får tekstoplysninger om ram-brug og alt andet, du har bedt om at få vist. Resultatet er en ren tekstfil, der kan åbnes i stort set alt, så du kan se resultaterne eller tilføje ekstra oplysninger. Det kan for eksempel være noget, du har opdaget vedrørende en bestemt proces.

Hvis du gentager processen en måned senere, kan du sammenligne de to filer og se nye processer eller andre, der bruger flere (eller måske færre) systemressourcer. Husk at du kan have forskellige processer kørende til enhver tid. Det afhænger af, hvad der sker på computeren.

Du får de mest pålidelige resultater, hvis du altid logger dine pc-processer på det samme tidspunkt – for eksempel lige efter at Windows er startet, og før du kører nogen applikationer.

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]

Det skal du bruge…

[/themepacific_accordion_section]
[/themepacific_accordion]