Stai leggendo un articolo su Microsoft Windows
Per tutti gli articoli e le guide che riguardano il più popolare sistema operativo per PC, sfoglia il "Canale Windows".
Fra i programmi per il monitoraggio e la classificazione di processi e informazioni di sistema, uno dei più ricchi e versatili è sicuramente System Informer (ex Process Hacker), gratuito ed open source, disponibile anche in versione portabile, quindi molto comodo da tenere ad esempio su una chiavetta USB. Nella pagina di download trovate anche i link diretti per i risultati della scansione con VirusTotal che, considerando la profondità di analisi di System Informer, inevitabilmente comporta qualche rilevamento e la possibile messa in allerta dell'antivirus di Windows.
In generale possiamo considerarlo un'alternativa estremamente potenziata al Task Manager (Gestione attività) di Windows e in questa presentazione ci concentreremo sulle funzionalità di base (escludendo quelle troppo tecniche) che lo distinguono dal Task Manager, senza dilungarci su quelle che li accomunano, come:
- monitoraggio uso risorse e processi
- chiusura processi, impostazione priorità processi e apertura percorso file di riferimento
- ricerca processi e creazione file di dump della memoria (in System Informer sono entrambe più granulari)
- ricerca di un processo online (System Informer consente di scegliere il motore di ricerca)
- gestione servizi (System Informer include anche i driver e specifica il tipo di avvio: al boot, con trigger, etc.)
Da ricordare che System Informer non ha una scheda per monitorare i programmi impostati per partire all'avvio né una dedicata alla "App History". Comunque, senza chiudere System Informer, possiamo utilizzare in parallelo anche Task Manager senza alcun conflitto.
Personalizzazione
Prima di proseguire, mettiamoci a nostro agio impostando il dark mode, aumentando un po' le dimensioni dei caratteri e impostando alcune opzioni generali.
Clicchiamo su Options (v. immagine sopra, tag 1) e alla scheda General (2) troviamo subito l'impostazione del motore di ricerca (3) di cui parleremo in seguito, quella dei caratteri (4), il pulsante per rendere System Informer il Task Manager di default (5) e, in basso, una sezione navigabile con alcune impostazioni. Al suo interno possiamo, fra le tante funzioni disponibili, impostare:
- Enable Theme support (experimental), che attiva il dark mode, se è già impostato nel sistema operativo
- Resolve DNS over HTTPS (DoH), se usiamo questo tipo di DNS
- Show Advanced Options, che rende visibile la scheda Advanced (sotto General nell'immagine sopra) dove troviamo molte impostazioni con stringhe e booleani da settare.
La barra degli strumenti
Una funzione sicuramente comoda è quella di poter selezionare la finestra di un'altra applicazione e ottenere il processo di riferimento, oltre ad ulteriori informazioni approfondite. Per farlo è sufficiente cliccare su uno dei due pulsanti, a seconda che si voglia conoscere solo il processo (v. immagine sopra tag 1) oppure avere informazioni avanzate (2) e trascinare il cursore (diventato a forma di croce) nella finestra del programma da indagare. Il terzo pulsante (3) consente invece di chiudere forzatamente il processo della finestra selezionata.
Il pulsante a forma di scudo (4) abilita la modalità admin con cui è possibile vedere maggiori dettagli dei processi. Alla sua destra avrete già notato il classico campo di ricerca, in cui potete usare anche le espressioni regolari (RegEx). Cliccando invece su System Information (alla sinistra del tag 1), viene visualizzato un pannello con i grafici delle prestazioni in tempo reale di memoria, CPU, GPU e scrittura disco.
Le schede dell'interfaccia grafica
La scheda di default con sui si apre il programma è quella dei processi, Processes e per capire a cosa corrispondano i vari colori possiamo usare la legenda disponibile in Options (v. sopra) / Highlighting, dove è possibile anche abilitare e disabilitare alcune categorie.
Un effetto collaterale dell'usare il dark mode è che i colori non corrispondono esattamente, perché quelli nella scheda Processes vengono un po' scuriti, mentre quelli in Highlighting no.
Cliccando con il tasto destro su un processo (in questo caso System Informer stesso), si apre un ricco menu con varie opzioni, fra cui Search Online che usa il motore di ricerca scelto a piacere (di cui abbiamo parlato poco sopra) per ottenere maggiori informazioni sul processo e Send to che può inviare il file a tre motori di scansione malware: virusscan.jotti, VirusTotal e HybridAnalysis.
La voce Properties (v. immagine sopra), da non confondere con quella consultabile con il tasto destro nel Task Manager, a sua volta presenta numerose schede per indagare meglio il processo; fra cui, ad esempio, quella Statistics che indica anche i valori minimi e massimi dell'uso di risorse del processo scelto:
La scheda General consente di individuare il parent process ("processo genitore") di quello selezionato, consultando anche le policy e i permessi, i percorsi dell'eseguibile e il tempo di attività. Le numerose altre schede abbondano di grafici con i dettagli del consumo in tempo reale, elenchi con threads, token, handles, variabili d'ambiente e altri "tecnicismi".
Anche nella scheda Services, cliccando con il tasto destro, è consultabile una finestra di proprietà (cliccando sull'omonima voce) estremamente ricca:
A differenza delle due precedenti, la scheda Network è totalmente assente nel Task Manager di Windows e rappresenta un buon valore aggiunto per System Informer, anche perché, oltra a informazioni come porte, protocolli, stato e owner della connessione, cliccando con il destro su un indirizzo è possibile utilizzare direttamente strumenti come il ping, il traceroute e consultare dati di proprietà dell'indirizzo con whois:
Nell'ultima scheda a destra, Devices, abbiamo l'elenco per la identificazione dei dispositivi, simile a quello presente cliccando con il destro nel menu Start di Windows, ma, anche stavolta, è la voce Properties del menu (tasto destro sul dispositivo di interesse) a fare la differenza, contenendo una notevole carrellata di informazioni, fra cui la segnalazione di eventuali problemi, l'identificativo del driver del dispositivo, la data di installazione, l'ultimo avvio e molti, molti altri:
Da segnalare che cliccando con il destro all'interno della scheda Devices è possibile anche selezionare Show disconnected devices per mostrare i dispositivi disconnessi, le cui tracce rimangono comunque nel registro; una funzione simile è disponibile, in modo più intuitivo, nel menu Options / Disk devices.
Passiamo ora alle due schede che richiedono che il programma venga eseguito come admin. La prima è la scheda Disk, in cui è possibile monitorare in tempo reale quale processo (e quale file di riferimento) sta scrivendo o leggendo il disco (e quanto):
L'altra scheda che richiede l'esecuzione come admin è Firewall; che mostra quando una connessione innesca una regola del firewall, fornendoci tutte le informazioni del caso, compresi (oltre a quelli visibili nell'immagine sotto) la porta e il nome host remoti, il protocollo e il timestamp.
Concludiamo la selezione delle funzionalità peculiari di System Informer, con alcune voci del menu Tools, una parte delle quali risultano tanto intuitive quanto pratiche (visualizzazione statistiche del file di paging, caricare file per inviarli a siti di analisi, usare ping, traceroute e whois con indirizzi a piacere, visualizzare le impostazioni dei permessi, etc.), mentre altre funzioni risulteranno utili solo se si hanno competenze tecniche adeguate, di gran lunga superiori a quelle dell'utente medio. Come ad esempio:
- create live dump (funzione disponibile anche nel menu del tasto destro nella scheda Processes, per creare un dump del singolo processo): crea un file .dmp contenente informazioni istantanee sulla memoria volatile e le operazioni del kernel, da poter analizzare in un secondo momento con appositi programmi per un debug avanzato, come WinDbg:
- inspect executable file: consente di selezionare un file dal dispositivo e ottenere una miriade di informazioni "a basso livello", come è facile intuire dall'elenco del menu a sinistra:
- zombie process: cliccando su Scan, mostra l'elenco dei processi segnalando l'eventuale presenza di "processi zombie" o "orfani", ossia quelli generati da un altro processo non più attivo, ma rimasti ancora aperti o in stallo.
Un'ultima nota: se, per quanto visto molto sinteticamente finora, pensate che System Informer sia ricco di parametri da visualizzare, considerate che in ogni scheda, cliccando con il tasto destro sull'intestazione di una colonna qualsiasi, è possibile scegliere molte ulteriori colonne da aggiungere alla visualizzazione.
System Informer è quindi uno strumento estremamente efficace per l'analisi di ciò che sta succedendo nel sistema operativo, anche se, come tutti gli strumenti di monitoraggio avanzato, richiede un po' di pratica, pazienza e competenze per orientarsi nelle numerose informazioni che vengono raccolte e intabellate.
