Управление процессами . Системные процессы ( Csrss , svchost , winlogon ) - Настройка - Статьи о работе Windows - Каталог статей - Windows Web Wizard
 Windows  Web  Wizard
 

Главная     Форум     Файлы     Статьи     Объявления      Связь с нами     FAQ     RSS      Гостевая     В избранное    


Привет Гость
Меню сайта

Время
Пятница
10.09.2010
23:36

 
Категории каталога
Загрузка [10]
BSOD [62]
Статьи и BSOD
Компоненты системы [3]
Статьи , посвящённые работе компонентов системы .
Настройка [7]
Некоторые хитрости системы

Форма входа
E-mail:
Пароль:

Поиск

Друзья сайта

Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0

Мини-чат

Наш опрос
Помогла ли вам информация этого проекта ?
1. Прояснила и помогла устранить проблему
2. Информация интересна , но сейчас мне не нужна
3. Указала на другие источники информации , которые и помогли мне
4. Информация большей частью неточна (неверна , устарела)
5. Объяснила суть объекта и всё
6. Мне ничего не понятно
7. Ничего нового не дала
[ Результаты · Архив опросов ]
Всего ответов: 7
Главная » Статьи » Статьи о работе Windows » Настройка
Управление процессами . Системные процессы ( Csrss , svchost , winlogon )
В  этой  статье  я  буду  описывать  работу  с  процессами  в  Windows , предполагая , что вы  работаете  с  Process  Explorer . Вообще  эта  программа  стоит  упоминания , так  как  по  возможности  превосходит  стандартный  диспетчер  задач .
Но  с  начала  о  процессах . Процесс - это  прежде  всего  обьект   системы , который  управляется  диспетчером  процессов ( компонент  исполнительной  подсистемы ) . Процесс  имеет  своё  ограниченное  адресное  пространство , доступ  к  которому  имеет  только  он  и  система ( и  вирусы , которые  в  неё  попали ;)) . У  процесса  есть  свой  маркер  доступа , который  определяет  его  привелигированность  и  права  доступа . Процесс  имеет   потоки , причём  как  минимум  один ( выполнение  программы  начинается  с  выполнения  этого  потока , который  является точкой  входа  в  программу ) . Каждая  программа  представлена  процессом , но  может  быть  и так , что процесс  создаёт  несколько  форм , которые  можно  принять  за  несколько  разных  программ .
Теперь  о  станадртных  процессах . К  ним  относятся  виртуальные  и  реальные  . Виртуальные  процессы - это  просто  обьекты  диспетчера , но  на  самом  деле  за  ними  не  стоит  какой-либо  выполняющийся  код . Это  System Idle Process , который  нужен  для  учёта  бездействия  системы , Interrupts и  Deffered Procedure  Calls (  вызов  отложенных  процедур ) . Это  всё  только  для  статистики .
Процесс System  имеет  переходное  положение  между  виртуальными  и  реальными  процессами . Суть в том , что  он  означает  ядро , которое  процессом  не  является , но  за  этим  процессом  стоит   определённый  код , который  выполняется .
Smss.exe -диспетчер  сеансов , создаёт  сеансы  работы . Располагается  в  system32 . Если  есть  его  копии , то  остальные (  кроме  оригинала ) - либо  вирусы , либо  программы - шутки . Если убить  процесс , то  произойдёт  крах 0x000000f4 ( A process , cruicial  to  system ...) .
Csrss.exe -  подсистема  Win32 , создаёт  потоки  и  отвечает  за  консоль . Находится  в  system32 . Если  есть  его  копии , то  остальные (  кроме  оригинала ) - либо  вирусы , либо  программы - шутки . Если убить  процесс , то  произойдёт  крах 0x000000f4 ( A process , cruicial  to  system ...) .
Winlogon.exe - регистрирует  пользователя  в  системе . Располагается  в  system32 . Если  есть  его  копии , то  остальные (  кроме  оригинала ) - либо  вирусы , либо  программы - шутки . Если убить  процесс , то  произойдёт  крах 0x000000f4 ( A process , cruicial  to  system ...) .
Lsass.exe - локальная  аутентификация (  распределение  прав  пользователя , безопастность ) . Располагается  в  system32 . Убить  процесс  можно , краха  не  будет , система  продолжит  работу  дальше , но  выйти  из  системы  не  получится .
Svchost.exe - хост  процесс  для  служб в  виде  динамических  библиотек . Может  быть  неограниченное  число  копий , главно  чтобы  все  копии  были запущены  из  system32 . Если  убит  процессы , то  прекратятся  все  службы , висевшие  на  нём .
Services.exe - приложение  служб  и  контроллёров , управляет  службами . На  нём  "висят" журнал  событий  и  PnP . Если  убить , то не  будут  доступны  указанные  службы . Если  есть  его  копии , то  остальные (  кроме  оригинала ) - либо  вирусы , либо  программы - шутки .
Если  убить  процессы  Services , Lsass , Svchost то  появится  сообщение  о  перезагрузке  через  30 сек . Чтобы  не  перезагружаться , выполните  shutdown -a .
 
У  каждого  процесса  можно  просмотреть  список  процессов , библиотек и  handles . Также  их  можно  убивать . Это  бывает  полезно , если  программа  некорректно  поработала  с файлом  и  доступа  к  нему  нет , так  как  система  думает , что  файл  всё  ещё  используется . В  таком  случае  воспользуйтесь  поиском  по  handles и  убейте  незавершившийся . Если  вы  считаете  , что в списке  процессов  есть  вирус , отличить  по имени  его  невозможно . Прежде всего  посмотрите  , откуда  он  " родом " . Системные  процессы , кроме  проводника , находятся  в  system32 . Просканируйте  память  антивирусом . Если  у  процесса  есть  иконка , то  это  90%  гарантия , что  он  не  вирус . Я  не  слышал  ничего  о  вирусах с  иконками .
Иногда  вирусы  прячутся  в  другие  процессы  и  их  не  видно . но  докопаться  всё  равно  можно  , воспользовавшись  поиском  по  модулю ( если  вы  конечно  знаете , как  называется  вирус ) . Если  программа  рвётся в  сеть , то  это  будет  видно  на  вкладке  tcp/ip .
Красным  цветом  отмечены  службы . Опять же  маловероятно , что  это  вирусы ( но  они  могут  прятаться  внутри них ) ; Я  ничего  не  слышал  о  вирусах - службах .
 
Категория: Настройка | Добавил: FIL (07.06.2008)
Просмотров: 1191
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Copyright FIL CORPORATION © 2010
Сайт управляется системой uCoz