Приветствую Вас Гость!
Суббота, 19.08.2017, 21:34
Главная | Регистрация | Вход | RSS

Сайт Рубцовска

Категории раздела

Интернет журнал "Uzer" [4]
Все о компьютерах и интернете.
Новости Рубцовска и Алтайского края [4]
Новости Алтайского края все что происходит
Интересное Видео [1]
Все самое интересное от Ивана.
Это интересно. [2]
Здесь пользователи могут разместить свою статью.

Фото Рубцовск

Статистика


Онлайн всего: 1
Гостей: 1
Пользователей: 0

Форма входа

Поиск

Яндекс.Погода

Информер праздники сегодня

Объявления Рубцовск

Друзья сайта

Краасногорск Online

Каталог статей

Главная » Статьи » Интернет журнал "Uzer"

системные процессы windows
В этой статье я пробую описать процессы в Windows , на примере зараженного компьютера используя стандартный диспетчер задач информацию из интернета .
Но с начала о процессах . Процесс - это прежде всего обьект системы , который управляется диспетчером процессов ( компонент исполнительной подсистемы ) . Процесс имеет своё ограниченное адресное пространство , доступ к которому имеет только он и система ( и вирусы , которые в неё попали ;)) . У процесса есть свой маркер доступа , который определяет его привелигированность и права доступа . Процесс имеет потоки , причём как минимум один ( выполнение программы начинается с выполнения этого потока , который является точкой входа в программу ) . Каждая программа представлена процессом , но может быть и так , что процесс создаёт несколько форм , которые можно принять за несколько разных программ .
Теперь о станадртных процессах . К ним относятся виртуальные и реальные . Виртуальные процессы - это просто обьекты диспетчера , но на самом деле за ними не стоит какой-либо выполняющийся код . Это System Idle Process , который нужен для учёта бездействия системы , Interrupts и Deffered Procedure Calls ( вызов отложенных процедур ) . Это всё только для статистики .
Процесс System имеет переходное положение между виртуальными и реальными процессами . Суть в том , что он означает ядро , которое процессом не является , но за этим процессом стоит определённый код , который выполняется .

Smss.exe -диспетчер сеансов , создаёт сеансы работы . Располагается в system32 . Если есть его копии , то остальные ( кроме оригинала ) - либо вирусы , либо программы - шутки . Если убить процесс , то произойдёт крах 0x000000f4 ( A process , cruicial to system ...) .

Csrss.exe - подсистема Win32 , создаёт потоки и отвечает за консоль . Находится в system32 . Если есть его копии , то остальные ( кроме оригинала ) - либо вирусы , либо программы - шутки . Если убить процесс , то произойдёт крах 0x000000f4 ( A process , cruicial to system ...) .

Winlogon.exe - регистрирует пользователя в системе . Располагается в system32 . Если есть его копии , то остальные ( кроме оригинала ) - либо вирусы , либо программы - шутки . Если убить процесс , то произойдёт крах 0x000000f4 ( A process , cruicial to system ...) .

Lsass.exe - локальная аутентификация ( распределение прав пользователя , безопастность ) . Располагается в system32 . Убить процесс можно , краха не будет , система продолжит работу дальше , но выйти из системы не получится .

Svchost.exe - хост процесс для служб в виде динамических библиотек . Может быть неограниченное число копий , главно чтобы все копии были запущены из system32 . Если убит процессы , то прекратятся все службы , висевшие на нём .

Services.exe - приложение служб и контроллёров , управляет службами . На нём "висят" журнал событий и PnP . Если убить , то не будут доступны указанные службы . Если есть его копии , то остальные ( кроме оригинала ) - либо вирусы , либо программы - шутки .
Если убить процессы Services , Lsass , Svchost то появится сообщение о перезагрузке через 30 сек . Чтобы не перезагружаться , выполните shutdown -a .

У каждого процесса можно просмотреть список процессов , библиотек и handles . Также их можно убивать . Это бывает полезно , если программа некорректно поработала с файлом и доступа к нему нет , так как система думает , что файл всё ещё используется . В таком случае воспользуйтесь поиском по handles и убейте незавершившийся . Если вы считаете , что в списке процессов есть вирус , отличить по имени его невозможно . Прежде всего посмотрите , откуда он " родом " . Системные процессы , кроме проводника , находятся в system32 . Просканируйте память антивирусом . Если у процесса есть иконка , то это 90% гарантия , что он не вирус . Я не слышал ничего о вирусах с иконками .
Иногда вирусы прячутся в другие процессы и их не видно . но докопаться всё равно можно , воспользовавшись поиском по модулю ( если вы конечно знаете , как называется вирус ) . Если программа рвётся в сеть , то это будет видно на вкладке tcp/ip .
Красным цветом отмечены службы . Опять же маловероятно , что это вирусы ( но они могут прятаться внутри них ) ; Я ничего не слышал о вирусах - службах .
Категория: Интернет журнал "Uzer" | Добавил: Admin (16.12.2009)
Просмотров: 999 | Комментарии: 1 | Рейтинг: 0.0/0
Всего комментариев: 1
1  
So true. Hotensy and everything recognized.

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]