Типичные процессы



Скачать 62.18 Kb.
Дата30.11.2016
Размер62.18 Kb.
Просмотров264
Скачиваний0
ТИПИЧНЫЕ ПРОЦЕССЫ

Посмотрим теперь, какие же процессы встречаются на компьютерах рядовых пользователей. Для примера возьмем Windows XP SP2, в которой были инсталлированы все необходимые драйверы и Microsoft Office. Диспетчер задач на этой, почти чистой системе показывает наличие в памяти 28 процессов. Разберемся, что же это такое и для чего нужно.

– acs.exe – Atheros Configuration Service (ACS) – сервис для настройки Wi-Fi-адаптера. Отключать не стоит.

– ACU.exe – Atheros Client Utility – утилита настройки Wi-Fi-адаптера, в данной конкретной системе также необходима.

– AGRSMMSG.exe – SoftModem Messaging Applet – процесс, устанавливаемый драйвером модема Agere, необходим ему для работы.

– alg.exe – Application Layer Gateway Service – ключевой компонент Windows Internet Connection Sharing и Windows Firewall, обеспечивает поддержку плагинов, позволяющих сетевым протоколам работать через общий доступ к интернет-подключению и при подключении к Сети с помощью брандмауэра. Соответственно, отключать можно, если вы их не используете.

– ati2evxx.exe – ATI External Event Utility EXE Module, она же – сервис Ati HotKey Poller. Утилита, входящая в состав ATI Catalyst, применяется, например, для распознавания подключения внешнего монитора или телевизора, нажатия «горячих» клавиш. Если это не требуется, можно отключить.

– BTTray.exe – Bluetooth Tray Application – один из компонентов драйверов Bluetooth от Widcomm, необходим для их работы.

– btwdins.exe – Bluetooth Support Server, также необходим для работы драйверов Bluetooth от Widcomm.

– CLI.exe – Command Line Interface application for all ACE Components – утилита из состава ATI Catalyst. Служит для доступа через иконку в системном трее к настройкам драйвера, можно отключить, при запуске Control Center она снова загрузится в память.

– csrss.exe – Client/Server Runtime Server Subsystem – часть подсистемы Win32, исполняющаяся в пользовательском режиме (в то время как Win32.sys исполняется в режиме ядра), отвечает за работу консольных окон, создание и уничтожение потоков и частично за работу 16-разрядной виртуальной среды MS-DOS. Отключать нельзя. Вирус с таким же именем – Nimda.E.

– ctfmon.exe – языковая панель, индикатор, отображающий текущую раскладку клавиатуры и обеспечивающий поддержку альтернативных методов ввода. Если вместо него будете использовать Punto Switcher, то только выиграете. (Раньше индикатором являлся Internat.exe, сейчас под таким именем могут скрываться вирусы.)

– eabservr.exe – Easy Access Buttons – программа Quick Launch Buttons на ноутбуках HP Compaq, отвечает за работу дополнительных кнопок.

– explorer.exe – оболочка системы, отвечающая за формирование Рабочего стола и окон Проводника. Сам процесс можно перезапускать, если что-то подвисло. А можно и вообще отключать, если вы используете другую оболочку. Следует только обратить внимание на путь к файлу – Windows по умолчанию ищет explorer.exe во всех папках подряд (грубо говоря), поэтому если злоумышленник кинет в корень диска С: троян с таким названием, то она его спокойно запустит. Хотя Рабочий стол в таком случае вы уже вряд ли получите.

– lsass.exe – Local Security Authority Service – локальный сервер проверки подлинности, порождающий процесс, ответственный за проверку пользователей в службе Winlogon, отвечает за локальные политики безопасности и авторизации. Не отключать.

– msiexec.exe – компонент Windows Installer, необходим для установки программ, постоянно в памяти обычно не висит, но может в ней остаться после установки какой-то программы или стартовать после перезагрузки ПК для завершения процедуры установки.

– services.exe – Services Control Manager – системный процесс, отвечающий за запуск/остановку сервисов и взаимодействие с ними. Программа жизненно важна для Windows, ее отключать нельзя. Под этим именем может скрываться также множество вирусов (W32/Leave.B, W32.HLLW.Kazping и так далее, но тогда они расположены в папках, отличных от System32). Будьте внимательны, этот процесс не должен запускаться через разделы RUN реестра!

– SMAgent.exe – SoundMAX Service Agent – часть аудиодрайвера, его отключение не сказывается на работе звукового тракта.

– SMax4.exe – SoundMAX Control Center, при его отключении просто пропадает иконка SoundMAX в системном трее.

– SMax4PNP.exe – SMax4PNP MFC Application – необходим для запуска SoundMAX Control Center (Панель управления SoundMAX).

– smss.exe – Session Manager Subsystem – подсистема диспетчера сеансов, ответственная за запуск сеансов пользователей, за запуск процессов Winlogon и Win32 (Csrss.exe) и за установку системных переменных. Отключать нельзя. Пример трояна – Backdoor.IRC.Flood.

– spoolsv.exe – Microsoft Printer Spooler Service – спулер печати, необходим для работы принтера, отвечает за управление заданиями на печать и передачу факсимильных сообщений. Под этим именем любят также скрываться вирусы (Backdoor.Ciadoor.B, VBS.Masscal.Worm и т. д.).

– svchost.exe (6 штук) – Microsoft Service Host Process – каждая из его копий отвечает за работу целого ряда сервисов. Чтобы быстро посмотреть, какие сервисы она запускает, введите в командной строке tasklist/svc. Отключать ненужные сервисы следует в оснастке «Службы» Панели управления. Не должен располагаться в других папках, кроме System32, и прописываться в разделах RUN реестра! Одно из наиболее распространенных имен вирусов!

– SynTPEnh.exe – утилита из состава драйвера тачпада от Synaptics, обеспечивает поддержку расширенных функций тачпада (например, назначение специальных действий на отдельные зоны тачпада).

– System – системный процесс, отвечает за различные базовые функции – большинство системных потоков режима ядра исполняются от имени процесса System. Не ассоциирован с EXE-файлом! Если встретите system.exe – проверьте антивирусом! Если SYSTEM будет грузить процессор на 100%, также проверяйте систему.

– taskmgr.exe – собственно, сам Task Manager.

– wdfmgr.exe – Windows Driver Foundation Manager – входит в состав Microsoft Windows Media Player и Service Pack 2, отвечает за новую модель драйверов, занимается, в частности, проблемами совместимости WMP с другими приложениями и внешними устройствами. Если WMP завис, попробуйте убить этот процесс. Достаточно безболезненно его можно отключить в «Службах». Обратите внимание на имя файла – при перестановке букв (wdfmrg.exe) получается вирус.

– winlogon.exe – Windows Logon Process – управляет входом пользователей в систему и выходом из нее. Отключать нельзя. Пример вируса с таким названием – W32.Netsky.D.

– wscntfy.exe – Windows Security Centre Notification Process – составная часть Windows Security Center, отвечает за значок в трее. Security Center можно отключить в «Службах», если вы его не используете.

– Бездействие системы – этот процесс имеет по одному потоку на каждом процессоре, и его единственная задача — учитывать время, в течение которого система не занята другими потоками. В диспетчере задач можно видеть, что этому процессу, как правило, соответствует большая часть процессорного времени (то есть процессор не занят). Отключить нельзя. Разумеется, список этот далеко не полон – все программы, которые могут оказаться в памяти без вашего ведома, перечислить невозможно, но вышеупомянутые сетевые ресурсы помогут разобраться. При просмотре же процессов в своей системе еще раз напоминаю: обязательно обращайте внимание на свойства каждого файла, из какой папки и кем он был запущен.

Файл Svchost.exe расположен в папке %SystemRoot%\System32. В процессе загрузки Svchost.exe составляет на основании записей в реестре список служб, которые необходимо запустить. Одновременно может быть запущено несколько экземпляров процесса Svchost.exe. Каждый сеанс Svchost.exe может содержать несколько служб. Таким образом, в зависимости от того, как и где запущен процесс Svchost.exe, могут выполняться несколько отдельных служб. Такая группировка служб обеспечивает более высокий уровень контроля над ними и облегчает отладку.

Группы Svchost.exe определяются в следующем разделе реестра:



HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost

Каждое значение в этом разделе представляет отдельную группу Svchost и отображается при просмотре активных процессов как отдельный экземпляр. Каждое из этих значений имеет тип REG_MULTI_SZ и содержит службы, выполняемые в этой группе Svchost. Каждая группа Svchost может содержать одно или несколько имен служб, извлекаемых из следующего раздела реестра, в котором подраздел Parameters содержит значение ServiceDLL:



HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Служба

Чтобы просмотреть список служб, работающих в процессе Svchost, выполните описанные ниже действия.



  1. Нажмите на панели задач Windows кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите команду CMD и нажмите клавишу ВВОД.

  3. Введите команду Tasklist /SVC и нажмите клавишу ВВОД.

Команда Tasklist выводит список активных процессов. Параметр /SVC используется для вывода списка активных служб в каждом процессе. Для получения дополнительных сведений о процессе введите следующую команду и нажмите клавишу ВВОД:

Tasklist /FI "PID eq идентификатор_процесса" (кавычки обязательны)

В приведенном ниже примере показан вывод команды Tasklist для двух экземпляров процесса Svchost.exe.

Image Name PID Services

========================================================================

System Process 0 N/A

System 8 N/A

Smss.exe 132 N/A

Csrss.exe 160 N/A

Winlogon.exe 180 N/A

Services.exe 208 AppMgmt,Browser,Dhcp,Dmserver,Dnscache,

Eventlog,LanmanServer,LanmanWorkstation,

LmHosts,Messenger,PlugPlay,ProtectedStorage,

Seclogon,TrkWks,W32Time,Wmi

Lsass.exe 220 Netlogon,PolicyAgent,SamSs

Svchost.exe 404 RpcSs

Spoolsv.exe 452 Spooler

Cisvc.exe 544 Cisvc

Svchost.exe 556 EventSystem,Netman,NtmsSvc,RasMan,

SENS,TapiSrv

Regsvc.exe 580 RemoteRegistry

Mstask.exe 596 Schedule

Snmp.exe 660 SNMP

Winmgmt.exe 728 WinMgmt

Explorer.exe 812 N/A

Cmd.exe 1300 N/A

Tasklist.exe 1144 N/A

Двум группам из этого примера соответствует следующий параметр реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion \Svchost:


Netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
RApcss :Reg_Multi_SZ: RpcSs
Каталог: wp-content -> uploads -> bogomolov -> disciplini -> administrirovanie -> lekcii
lekcii -> Курсы повышения квалификации «Администрирование системы»
lekcii -> Курсы повышения квалификации «администрирование системы»
lekcii -> Курсы повышения квалификации «администрирование системы»
lekcii -> Курсы повышения квалификации «администрирование системы»
lekcii -> Курсы повышения квалификации «администрирование системы»
lekcii -> Курсы повышения квалификации «администрирование системы»
lekcii -> Курсы повышения квалификации «администрирование системы»
lekcii -> Курсы повышения квалификации «администрирование системы»
lekcii -> Лекция 27. Система обеспечения безопасности в Windows xp professional


Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал