في الموضوع السابق تحدث عن بعض النقاط التي تلاحظ في سلوك الفيروسات بشكل العام، مما يسهل علينا اكتشافها، و لكن و ردني استفسار من أكثر من شخص عن كيفية استخدام برنامج (Prcoess Explorer (Sysinternals و مميزاته.

و لتسهيل إستعراض وظائف البرنامج الكثيرة، سأقسمها إلى أقسام رئيسية:

• العمليات Processes
  • عرض جميع المسالك Threads و حالتها، و عدد المرات التي تم جدولة المسلك Scheduledفكما هو معلوم تقوم أنظمة التشغيل متعددة المهام Multithreaded (وويندوز يعتبر Multithreaded Operating System)، بتشغيل أكثر من برنامج في نفس الوقت عن طريقة إعطاء كل برنامج فترة بسيطة من التشغيل، و عدد مرات الفترات التي أعطيت له تسمى جدولة.
  • كمية  الذاكرة Memory المستهلكة، و عدد مرات حدوث Page Fault للبرنامج، طبعا كل ما كان عداد ال Page Fault أكبر كلما صار أداء البرنامج اسوء.
  • كمية الوقت التي يستحوذه من المعالج CPU Time، و هذه القيمة تدل على نشاط أو خمول العملية.
  • عرض العمليات التي تمت تشفيرها او تغليفها بإستخدام أدوات خاصة بلون مميز، طبعا عملية تشفير البرامج التنفيذية هي عملية شائعة لمنع الكراكرز Crackers للإطلاع على كيفية عمل البرنامج.
  • عدد كائنات GDI (كائنات GDI هي الأدوات التي تستخدم لرسم مخرجات على شاشة من قلم Pen و فرشة Brush الخ) المستخدمة.
  • الوقت الذي يقضيه البرنامج في User Space
  • إمكانية إيقاف عملية عن العمل Suspend، و هذه الوظيفة تخدمك عندما تشك في برنامج معين و تريد ان توقفه عن التشغيل، و من ثم جمع معلومات اكبر عنه بينما هو في الذاكرة، إيقافه يعني إيقافه الخطر حتى يتسنى لك جمع معلومات أكبر عنه.
  • عرض الملفات المفتوحة حاليا بالبرنامج .
  • عرض جميع المنافذ Ports التي مفتوحة الان من برنامج معين.
  • عرض شجرة العمليات، كل برنامج و البرنامج الذي قام بتسجيله، طبعا اغلب البرامج تم تشغيلها من مستكشف ويندوز Windows Explorer، عن طريق الضغط (دبل كليك) على ايقونه البرنامج.
  • إنهاء عملية، أو إنهاء شجرة عمليات، أي إنهاء البرنامج و كل البرامج التي قام بتشغيلها.
  • عرض العمليات التي تعمل كخدمة Service بلون مختلف.
  • إمكانية التأكد هل البرنامج تابع للشركة التي يدعي انه منها Verification.
• العمليات الخدمية Services Processes
  • عرض الخدمات Services باللون الزهري.
  • عرض معلومات عن الخدمة Service مع إمكانية إطفائها Stop و إعادة تشغيلها Restart.
• المكتبات DLLs
  • البحث عن DLL معين بإسمه، و سيعرض كل العمليات التي تستخدمه الان.
  • يوجد برنامج اسمه RunDLL صنعته مايكروسفت ليستطيع المبرمجين من تشغيل الـ DLL كبرنامج تنفيذي، و يقوم Process Explorer بعرض ال DLL  المستضافة داخل Rundll بلون مختلف، ليسهل عليك التعرف عليها و الإطلاع على معلومات أكبر عنها.
• عمليات الدوت نيت Net Proccesses.
  • عرض برامج الدوت نيت باللون الأصفر.
  • إمكانية عرض عمليات الدوت نيت فقط.
  • عرض الـ AppDomains في عمليات الدوت نيت Net Processes. .
  • استعراض جميع عدادات الأدء Performance Counters الخاصة ببيئة التشغيل المشتركة CLR.
• وظائف عامة
  • إمكانية الحصول على معلومات أكبر عن كل برنامج، بالضغط على خيار قووقل Google من نفس البرنامج، والذي يقوم بنقلك إلى المتصفح والبحث في قووقل Google بإسم البرنامج بشكل اتوماتيكي.

هذه بعض مميزات البرنامج، و أخشى ان اكون قد نسيت الكثير...

تحياتي،،