|
Интернет журнал "Uzer"
[4]
Все о компьютерах и интернете.
|
|
Новости Рубцовска и Алтайского края
[4]
Новости Алтайского края все что происходит
|
|
Интересное Видео
[1]
Все самое интересное от Ивана.
|
|
Это интересно.
[2]
Здесь пользователи могут разместить свою статью.
|
| [25.12.2011] | [Разное...] |
| наращивание ногтей (1) | |
| [22.12.2011] | [Грузовые автомобили, автобусы] |
| продаю маз (1) | |
| [20.12.2011] | [Ремонт автотранспорта] |
| ремонт (3) | |
| Главная » Статьи » Интернет журнал "Uzer" |
| В этой статье я пробую описать процессы в Windows , на примере зараженного компьютера используя стандартный диспетчер задач информацию из интернета . Но с начала о процессах . Процесс - это прежде всего обьект системы , который управляется диспетчером процессов ( компонент исполнительной подсистемы ) . Процесс имеет своё ограниченное адресное пространство , доступ к которому имеет только он и система ( и вирусы , которые в неё попали ;)) . У процесса есть свой маркер доступа , который определяет его привелигированность и права доступа . Процесс имеет потоки , причём как минимум один ( выполнение программы начинается с выполнения этого потока , который является точкой входа в программу ) . Каждая программа представлена процессом , но может быть и так , что процесс создаёт несколько форм , которые можно принять за несколько разных программ . Теперь о станадртных процессах . К ним относятся виртуальные и реальные . Виртуальные процессы - это просто обьекты диспетчера , но на самом деле за ними не стоит какой-либо выполняющийся код . Это System Idle Process , который нужен для учёта бездействия системы , Interrupts и Deffered Procedure Calls ( вызов отложенных процедур ) . Это всё только для статистики . Процесс System имеет переходное положение между виртуальными и реальными процессами . Суть в том , что он означает ядро , которое процессом не является , но за этим процессом стоит определённый код , который выполняется . Smss.exe -диспетчер сеансов , создаёт сеансы работы . Располагается в system32 . Если есть его копии , то остальные ( кроме оригинала ) - либо вирусы , либо программы - шутки . Если убить процесс , то произойдёт крах 0x000000f4 ( A process , cruicial to system ...) . Csrss.exe - подсистема Win32 , создаёт потоки и отвечает за консоль . Находится в system32 . Если есть его копии , то остальные ( кроме оригинала ) - либо вирусы , либо программы - шутки . Если убить процесс , то произойдёт крах 0x000000f4 ( A process , cruicial to system ...) . Winlogon.exe - регистрирует пользователя в системе . Располагается в system32 . Если есть его копии , то остальные ( кроме оригинала ) - либо вирусы , либо программы - шутки . Если убить процесс , то произойдёт крах 0x000000f4 ( A process , cruicial to system ...) . Lsass.exe - локальная аутентификация ( распределение прав пользователя , безопастность ) . Располагается в system32 . Убить процесс можно , краха не будет , система продолжит работу дальше , но выйти из системы не получится . Svchost.exe - хост процесс для служб в виде динамических библиотек . Может быть неограниченное число копий , главно чтобы все копии были запущены из system32 . Если убит процессы , то прекратятся все службы , висевшие на нём . Services.exe - приложение служб и контроллёров , управляет службами . На нём "висят" журнал событий и PnP . Если убить , то не будут доступны указанные службы . Если есть его копии , то остальные ( кроме оригинала ) - либо вирусы , либо программы - шутки . Если убить процессы Services , Lsass , Svchost то появится сообщение о перезагрузке через 30 сек . Чтобы не перезагружаться , выполните shutdown -a . У каждого процесса можно просмотреть список процессов , библиотек и handles . Также их можно убивать . Это бывает полезно , если программа некорректно поработала с файлом и доступа к нему нет , так как система думает , что файл всё ещё используется . В таком случае воспользуйтесь поиском по handles и убейте незавершившийся . Если вы считаете , что в списке процессов есть вирус , отличить по имени его невозможно . Прежде всего посмотрите , откуда он " родом " . Системные процессы , кроме проводника , находятся в system32 . Просканируйте память антивирусом . Если у процесса есть иконка , то это 90% гарантия , что он не вирус . Я не слышал ничего о вирусах с иконками . Иногда вирусы прячутся в другие процессы и их не видно . но докопаться всё равно можно , воспользовавшись поиском по модулю ( если вы конечно знаете , как называется вирус ) . Если программа рвётся в сеть , то это будет видно на вкладке tcp/ip . Красным цветом отмечены службы . Опять же маловероятно , что это вирусы ( но они могут прятаться внутри них ) ; Я ничего не слышал о вирусах - службах . | |
| Просмотров: 1506 | Комментарии: 1 | Рейтинг: 0.0/0 |
| Всего комментариев: 1 | ||
| ||
