kontrola procesów systemowych

| 9 maja 2009 | Oprogramowanie komputerowe | Brak komentarzy

Domyślne niezbędne do pracy systemu procesy Windows:

  • Proces bezczynności (proces wirtualny; ma związek z wykorzystaniem procesora; im liczba w kolumnie CPU w Manager zadań jest większa, tym obciążenie procesora jest mniejsze np. liczba 91 oznacza, że procesor obciążony jest w 9% )
  • SYSTEM (proces nadrzędny),
  • smss.exe >>> lokalizacja WINDOWSSystem32smss.exe. Jest to Manager sesji.
  • csrss.exe >>> lokalizacja WINDOWSsystem32csrss.exe. Odpowiada za działanie instrukcji graficznych / okien konsolowych.
  • wininit.exe (tylko Vista/7) >>> lokalizacja Windowssystem32wininit.exe. Proces „rdzeń”. Odpowiada za uruchamianie podstawowych usług.
  • winlogon.exe >>> lokalizacja WINDOWSsystem32winlogon.exe. Obsługuje procedury logowania / wylogowywania się z systemu.
  • services.exe >>> lokalizacja WINDOWSsystem32services.exe. Uruchamia oraz zatrzymuje usługi.
  • svchost.exe >>> lokalizacja WINDOWSsystem32svchost.exe. Odpowiada za uruchomione usługi. Kilka procesów svchost.exe to normalna sytuacja, ponieważ każdy proces obsługuje inne usługi.
  • lsass.exe >>> lokalizacja WINDOWSsystem32lsass.exe. Proces odpowiada za politykę bezpieczeństwa systemu. Uwierzytelnia użytkowników podczas logowania, zapobiega dostępowi niechcianym użytkownikom do poufnych danych, obsługuje zmiany haseł itp.
  • lsm.exe (tylko Vista/7) >>> lokalizacja WINDOWSsystem32lsm.exe. Manager sesji lokalnych.
  • explorer.exe >>> lokalizacja WINDOWSExplorer.EXE. Jest to powłoka graficzna systemu.

Wszystkie wymienione wyżej procesy są krytyczne dla systemu i nie można ich zamykać, ponieważ spowoduje to niestabilne działanie systemu, wystąpienie ekranu BSOD, konieczność restartu, samoistne wyłączenie się komputera (wyjątkiem jest możliwość zamknięcia procesu explorer.exe, ale wówczas nie będziemy mieć dostępu do graficznego interfejsu).
Wszystkie podane procesy uruchomione z innych lokalizacji niż podane to prawie na pewno procesy malware.

Process Explorer EN.jpg

Licencja: freeware
Platforma: Windows XP/Vista/7 oraz Server 2003/2008 (Support 32 and 64 bit)

Opis:
rozbudowana aplikacja umożliwiająca kontrolę uruchomionych w systemie procesów. Okno podzielone jest na dwie sekcje. Górne zawiera listę aktualnie uruchomionych procesów wraz z detalami jak nazwa, numer PID, wykorzystywany czas procesora (CPU), krótki opis (Description) oraz nazwa twórcy (Company Name). Dwukrotne kliknięcie na procesie daje nam więcej informacji. Procesy ułożone są w hierarchiczne drzewo, pozwalające sprawdzić, który jest nadrzędny.
Sekcja dolna zawiera listę powiązanych wskaźników/uchwytów (Handlers) lub bibliotek (DLLs) w zależności, która opcja aktywna – menu View –> Lover pane view.
Każdy wątek jest oznaczony innym kolorem informującym o trybie uruchamiania – nowe obiekty standardowo wyróżnione są kolorem zielonym, procesy uruchomione w trybie usługi są różowe, usunięte obiekty czerwone, natomiast własne pliki jasnoniebieskie.
Menu File umożliwia nam uruchamianie aplikacji z uprawnieniami administratora lub z obniżonym dostępem.
Dostęp do operacji na procesach mamy z klikając PPM – ustawienie priorytetu, zakończenie, „zabicie” całego drzewa, restart, zawieszenie, określenie z którego rdzenia CPU ma korzystać. Wybierając Properties aplikacja wyświetla powiązane z procesem biblioteki oraz uchwyty. Funkcje bibliotek wywołują pliki wykonywalne exe. W ten sposób do pamięci mogą ładować się szkodliwe elementy. Załadowane uchwyty to klucze rejestru, z których proces pobiera dane, a także pliki i katalogi, z których korzysta. Informacji o procesie możemy uzyskać klikając Search online – uruchomi się domyślana przeglądarka z wynikami wyszukiwania.

Download

Zrzut ekranu:
ProcessExplorer.jpg

alternatywy.png

Process Hacker download: najnowsza wersja (nie wymaga instalacji)
uruchamiając z wiersza poleceń w formie ProcessHacker.exe -settings „settingsfile” aplikacja nie zapisuje pliku ustawień, po usunięciu kprocesshacker.sys aplikacja nie zapisuje ustawień do rejestru

podzielony na część aktualnie uruchomionych procesów oraz listę usług. Potrafi pokazać procesy typu rootkit. Licencja: GPL (open source)

Daphne download: wersja portable (nie wymaga instalacji)

Svchost Viewer EN.jpg

Licencja: Microsoft Public License (Ms-PL)
Platforma: Windows XP/Vista/7 + NET.Framework

pozwala na przegląd aplikacji i usług związanych w procesach Svchost. Kilka uruchomionych wystąpień procesu to normalne zjawisko i nie trzeba się niepokoić. Każde wystąpienie odpowiada za uruchamianie innych usług.
Po uruchomieniu z lewej strony wyświetlą się wszystkie wystąpienia procesu wraz z dowiązanymi usługami. Po wybraniu danej usługi aplikacja poda kilka szczegółowych informacji o niej: nazwa, status, typ uruchamiania, opis. Mamy możliwość zatrzymania usługi oraz wygenerowania raportu.
Uruchomiony plik z innej lokalizacji niż X:WINDOWSsystem32 to na pewno kopia wirusa. Wymagania: .NET Framework

Download

Zrzut ekranu:
svchostviewer.jpg

alternatywy.png

Svchost Process Analyzer download: SvchostAnalyzer.exe (portable)
usługi oznaczone zieloną ikoną na pewno są systemowe.

ProcessActivityView PL.jpg

Licencja: freeware
Platforma: Windows 2000/XP/Vista/7 oraz Server 2003/2008 (Support 32 and 64 bit)

Opis:
aplikacja wyświetla listę plików i folderów, do których dany proces próbuje uzyskać dostęp. Aplikacja wstrzykuje specjalną bibliotekę do procesu, która przekazuje informacje do okna aplikacji.

Download

Zrzut ekranu:
ProcessActivityView.jpg

ProcessKO EN.jpg

Licencja: freeware
Platforma: Windows 2000/XP/Vista/7 i Server (Support 32 and 64 bit)

Opis:
aplikacja umożliwia zabicie wszystkich uruchomionych / wiszących procesów. Działa szybciej niż Manager zadań. Możliwość dodania skrótów do szybkiego zabicia najczęściej zawieszających aplikacji oraz ustawienie timera. Przydatna dla testerów / developerów oprogramowania.

Download

Zrzut ekranu:
processko.jpg

TopWinPrio EN.jpg

Licencja: freeware
Platforma: Windows XP/Vista/7 + .NET Framework 3.5

Opis:
aplikacja, która wykrywa aktywne okno innego programu i przydziela procesowi, który je utworzył wyższy priorytet wykorzystania procesora. Czyli okno nad jakim obecnie pracujemy zawsze będzie miało wyższy priorytet. Spowoduje to płynniejsze działanie programów, ale nie przyspieszy szybkości całego komputera.
Aplikacja po zainstalowaniu nie wymaga praktycznie żadnej obsługi i może działać na domyślnych ustawieniach. Okno aplikacji podzielone jest na trzy zakładki:

  • Priolist: lista aplikacji, które otrzymały wyższy piorytet
  • Bost settings: mamy opcję dołączenia Explorera do aplikacji, które mają być brane pod uwagę (Boost explorer). Tutaj także edytujemy priorytet aktywnych (Set active window) oraz nieaktywnych okien (Force inactive window). Domyślnie ustawiany jest priorytet Powyżej normalnego, ale w opcjach mamy możliwość ustawienia Wysoki lub Czasy rzeczywistego. Najlepiej pozostawić domyślne ustawienia priorytetu, ponieważ aplikacje nie będą zawieszać systemu.
  • Application settings: ustawiamy start aplikacji wraz z systemem, ukrycie i priorytet własnego okna.

Download

Zrzut ekranu:
topwinprio.jpg



Tags:

Autor artykułu

Traxter

Nazywam się Sebastian Wolszlegier. Jestem właścicielem, administratorem oraz redaktorem strony traxter-online.net.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *