Process Hacker : le gestionnaire de tâches avancé pour Windows
Le Gestionnaire des tâches Windows donne une vue superficielle : nom du processus, CPU, RAM. Process Hacker descend beaucoup plus profond : threads actifs, handles ouverts, DLL chargées, connexions réseau par processus, modifications en mémoire. L’outil préféré des développeurs systèmes et des analystes de sécurité.
Ce que fait Process Hacker
Process Hacker (maintenant appelé System Informer) est un gestionnaire de tâches avancé open source pour Windows. Il affiche les processus avec leur arborescence parent/enfant, les threads, les handles sur les fichiers et registres, les connexions réseau associées à chaque processus, et détecte les comportements suspects comme les injections de DLL.
Installation
# System Informer (version active, successeur de Process Hacker)
winget install SystemInformer.SystemInformer
# Process Hacker 2 (ancienne version, toujours fonctionnelle)
winget install wj32.ProcessHackerInterface principale
Vue Processus
L’arborescence des processus affiche la hiérarchie parent/enfant :
System (4)
└── svchost.exe (892)
└── RuntimeBroker.exe (4520)
explorer.exe (3456)
├── chrome.exe (8832)
│ ├── chrome.exe (8900) [renderer]
│ └── chrome.exe (9012) [gpu]
└── Code.exe (7744)
└── node.exe (9876) [extension host]Les couleurs indiquent la nature du processus :
- Rose — processus propre (signé Microsoft)
- Violet — processus packed ou chiffré (suspect)
- Rouge — processus en cours de terminaison
- Vert — nouveau processus apparu récemment
Colonnes disponibles
Ajoutez des colonnes depuis le menu Vue :
PID, CPU, RAM, Disque I/O, Réseau I/O, Handles, Threads,
Chemin complet, Ligne de commande, Utilisateur,
Description, Éditeur, Signature, Hash SHA-256...Inspecter un processus en détail
Double-clic sur un processus → fenêtre de détail :
Onglet Threads
TID État CPU Démarré depuis
1234 Running 12% ntdll.dll!NtWaitForSingleObject
5678 Waiting 0% ntdll.dll!NtDelayExecutionVoyez exactement ce que fait chaque thread du processus en temps réel.
Onglet Handles
Type Nom
File C:\Users\Alice\Documents\rapport.docx
Key HKCU\Software\Microsoft\Windows
Mutex _!SHMSFTHISTORY!_
Event (sans nom)Cas pratique : un fichier que vous ne pouvez pas supprimer car “utilisé par un autre programme”. Cherchez le fichier dans l’onglet Handles de tous les processus pour trouver le coupable.
Menu Rechercher → Trouver les handles ou DLL
Nom : rapport.docx
→ Process: Word.exe (PID: 4532)
→ Fermer le handleOnglet Modules (DLL)
Liste toutes les DLL chargées par le processus :
Nom Chemin
ntdll.dll C:\Windows\System32\ntdll.dll [Microsoft, signé]
user32.dll C:\Windows\System32\user32.dll [Microsoft, signé]
injection.dll C:\Temp\injection.dll [non signé ⚠️]Les DLL non signées ou avec un chemin inhabituel sont immédiatement identifiables.
Onglet Réseau
Protocole Local Distant État
TCP 192.168.1.10:52341 142.250.74.46:443 ESTABLISHED
TCP 192.168.1.10:52398 104.21.3.100:443 ESTABLISHED
UDP 0.0.0.0:5353 *:* LISTENINGVoyez exactement à quelles adresses un processus se connecte — indispensable pour détecter des communications suspectes.
Graphiques de performance
Performances → CPU, RAM, Réseau, DisqueGraphiques en temps réel pour chaque ressource, avec historique. Identifiez quel processus a causé un pic de CPU il y a 30 secondes.
Analyse mémoire
Clic droit sur un processus → Propriétés → MémoireAffiche les régions mémoire allouées, leurs permissions (Read/Write/Execute), et permet de détecter des zones RWX suspectes (souvent associées à du shellcode).
Recherche de handles et DLL
Rechercher → Trouver les handles ou DLL
Filtre : *.log → trouver quel processus écrit dans des logs
Filtre : HKCU\Run → trouver qui modifie le registre de démarrageTerminer des processus récalcitrants
Clic droit → Terminer → Terminer (standard)
→ Terminer l'arborescence
→ Terminer par force (KillProcess)La terminaison forcée bypasse les mécanismes de protection et fonctionne même sur les processus qui ignorent TerminateProcess standard.
Mode kernel (pilote)
System Informer peut charger un driver kernel pour accéder aux processus protégés :
Paramètres → Général → Utiliser le driver KProcessHackerAvec le driver, même les processus anti-tamper et les protections anti-cheat peuvent être inspectés (en lecture seule).
+ Les points forts
- Arborescence parent/enfant — comprendre qui a lancé quoi, détecter les processus lancés par des scripts
- Handles ouverts — trouver quel processus verrouille un fichier en deux secondes
- DLL chargées — détecter des injections ou des bibliothèques non signées
- Réseau par processus — voir les connexions exactes de chaque application
- Gratuit et open source — code auditable sur GitHub
- Les points faibles
- Interface dense — la richesse des informations peut être écrasante pour un usage occasionnel
- Nécessite des droits admin — pour l’accès aux processus système et le driver kernel
- Courbe d’apprentissage — comprendre les handles, threads et régions mémoire demande des bases en systèmes Windows
Process Hacker vs Gestionnaire des tâches
| Fonctionnalité | Gestionnaire des tâches | Process Hacker |
|---|---|---|
| Arborescence processus | Partielle | ✅ Complète |
| Threads détaillés | ❌ | ✅ |
| Handles ouverts | ❌ | ✅ |
| DLL chargées | ❌ | ✅ |
| Réseau par processus | ❌ | ✅ |
| Détection injections | ❌ | ✅ |
| Terminaison forcée | Limitée | ✅ |
En résumé
Process Hacker / System Informer est l’outil qui transforme la boîte noire “qu’est-ce qui tourne sur mon Windows” en système transparent et compréhensible. Pour les développeurs qui déboguent des problèmes de fichiers verrouillés, de processus orphelins ou de communications réseau inattendues, il est indispensable. Pour les administrateurs système et les analystes de sécurité, il est irremplaçable.
Voir aussi :
- WizTree — identifier les fichiers volumineux ouverts par les processus
- HWiNFO — surveiller les ressources matérielles en complément
- Portmaster — contrôler les connexions réseau des processus identifiés