ყველა მომხმარებელი, ვისაც ერთხელ მაინც გაუხსნია Task Manager, მეტ-ნაკლებად იცნობს პროცესის კონცეფციას Windows-ში. კითხვაზე, თუ რას წარმოადგენს პროცესი, უმეტესობა უპასუხებს: ეს არის ესა თუ ის პროგრამა ან სერვისი. პასუხი არ არის მთლად სწორი, რადგან პროგრამა არის შესრულებადი ფაილის სახით წარმოდგენილი ინსტრუქციების ერთობლიობა, ხოლო პროცესი უნდა გავიგოთ, როგორც მეხსიერების კონკრეტული დამისამართებული სივრცის, მონაცემებისა და რესურსების ნაკრები, რომელიც გამოიყენება პროგრამის შესრულებისას.
Windows 10-ში მიმდინარე პროცესების სანახავად და მათ სამართავად, Task Manager გამოიყენება; გამოცდილ მომხმარებლებს და სისტემის ადმინისტრატორებს შეუძლიათ გამოიყენონ უფრო მოწინავე პროგრამული ინსტრუმენტები, როგორიცაა Process Explorer – პროგრამა, რომელიც, სხვა შესაძლებლობებთან ერთად, საშუალებას გაძლევთ მიიღოთ ინფორმაცია გახსნილი დესკრიპტორების და ჩატვირთული DLL-ების შესახებ.
სისტემის სტანდარტული პროცესები ცოდნის მნიშვნელობა
სტანდარტული პროცესების ცოდნა გვეხმარება კონკრეტული აპლიკაციის პროცესის იდენტიფიცირება და მართვაში. ჩვენ ასევე შეგვეძლება საშიში ანდა პოტენციურად არასასურველი პროგრამული უზრუნველყოფის იდენტიფიცირება.
მოდით გადავხედოთ Windows-ის სტანდარტულ პროცესებს და ვნახოთ, რა დანიშნულებას აქვთ მათ სისტემაში. Task Manager-ში მიმდინარე პროცესები ნაჩვენებია ორ ჩანართში – “Processes” და “Details”.
პირველ ჩანართში (Processes) მენეჯერი აჩვენებს პროცესის სახელს და მის ზეგავლენას სისტემის ძირითად კომპონენტებზე. მეორეში – შესრულებადი ფაილის სახელს, პროცესის ID-ს, აღწერას (სახელს), კუთვნილებას, სტატუსს და მოხმარებული მეხსიერების რაოდენობას.
Windows პროცესები წარმოადგენენ სისტემური მნიშვნელობის პროცესებს და უზრუნველყოფენ ოპერაციული სისტემის ნორმალურ და გამართულ ფუნქციონირებას.
Windows სისტემური პროცესები
Windows პროცესებს შორისაა:
svchost.exe არის სისტემური პროცესი, რომელიც პასუხისმგებელია სხვადასხვა სერვისის მართვაზე და ასრულებს ერთგვარი კონტეინერის როლს ქვეპროცესებისთვის, რომლებიც იყენებენ DLL-ებს. Task Manager-ში წარმოდგენილია რამდენიმე ეგზემპლარად, რომელთა უმეტესობა კრიტიკულია Windows-ის მუშაობისთვის. მდებარეობს System32 საქაღალდეში და ხშირად ხდება მავნე პროგრამების სამიზნე.
lsass.exe არის მნიშვნელოვანი სისტემური პროცესი, რომელიც პასუხისმგებელია სისტემაში ავტორიზაციაზე. თუ ავტორიზაცია წარმატებული იყო, lsass.exe აინიცირებს Explorer-ის გაშვებას. svchost.exe-სგან განსხვავებით, lsass.exe პროცესი ყოველთვის მუშაობს SYSTEM-ის უფლებებით. კრიტიკულია სისტემის მუშაობისთვის. svchost.exe-ს მსგავსად განლაგებულია System32 საქაღალდეში და ხშირად ხდება მავნე პროგრამების მიზანში
explorer.exe არის ყველაზე ცნობილი პროცესი, რომელიც პასუხისმგებელია Windows-ის გრაფიკული გარსის ჩვენებაზე და ფოლდერებში ნავიგაციის შესაძლებლობაზე. მისი გამორთვა სისტემას არ გათიშავს, მაგრამ გრაფიკული ინტერფეისის გამოყენებას შეუძლებელს გახდის. პროცესი გაშვებულია Windows საქაღალდედან და შეიძლება წარმოდგენილი იყოს რამდენიმე ეგზემპლარად.
sihost.exe – Shell Infrastructure Host file- სისტემის პროცესი ჩართულია Windows-ის გრაფიკული გარსის მუშაობაში, საშუალებას გაძლევთ გახსნათ Action Center, სხვადასხვა მენიუები, მათ შორის Start მენიუ. შესრულებადი ფაილი გაშვებულია System32 საქაღალდედან.
ntoskrnl.exe ან system არის ოპერაციული სისტემის ბირთვის ძირითადი, კრიტიკული პროცესი, რომელიც პასუხისმგებელია მრავალი სისტემური ფუნქციის და მოწყობილობების დრაივერებიის მუშაობაზე. ამ პროცესის შეწყვეტის შეუძლებელია: მის გარეშე სისტემა ვერ ფუნქციონირებს. შესრულებადი ფაილი მდებარეობს System32 საქაღალდეში.
wininit.exe – ეს პროცესი მართავს Windows-ში აპლიკაციების ავტოგაშვებას, გარდა ამისა, wininit.exe სტარტავს უამრავ მნიშვნელოვან სერვისს, როგორიცაა SCM LSASS და LSM (სერვისების კონტროლის მენეჯერი). შესრულებადი ფაილი მდებარეობს System32 საქაღალდეში. მავნე პროგრამით ჩანაცვლების შემთხვევები პრაქტიკულად არ იყო შემჩნეული.
dwm.exe – Desktop Window Manager – პროცესი მართავს გრაფიკული გარსის მნიშვნელოვანი ელემენტების ვიზუალურ ეფექტებს: სამუშაო მაგიდას, მენიუებს, ფანჯრებს და ა.შ. მუშაობს System32 დირექტორიიდან.
smss.exe – მართავს Windows-ის სესიის მენეჯერის ქვესისტემას (ავტორიზებული მომხმარებლის სესიას). სტარტავს Winlogon და Win32 პროცესებს, მონაწილეობს ცვლადების (variable) განსაზღვრაში. პროცესი კრიტიკულია Windows-ისთვის. შესრულებადი ფაილი მდებარეობს System32 დირექტორიაში. მავნე პროგრამით ჩანაცვლების/დაინფიცირების ალბათობა მაღალია.
services.exe არის მნიშვნელოვანი პროცესი, რომელიც პასუხისმგებელია სისტემური სერვისების მართვაზე. პროცესი ეშვება System32 დირექტორიიდან. პროცესის მფლობელია System. პროცესის გაშვება სხვა მომხმარებლის სახელით მიუთითებს შესაძლო მავნე აქტივობაზე
winlogon.exe – პასუხისმგებელია კონკრეტული მომხმარებლის სისტემაში ავტორიზაციაზე (შესვლაზე) და გამოსვლაზე. პროცესი ეშვება System32 დირექტორიიდან.
csrss.exe – ეს პროცესი აკონტროლებს კონსოლის აპლიკაციების მუშაობას, მაგალითად cmd-ის და არის კლიენტ-სერვერის კომპონენტის ქვესისტემა. შესრულებადი ფაილი მდებარეობს System32 საქაღალდეში. მავნე პროგრამების მიერ ამ პროცესით მანიპულირების რისკი მაღალია
ფონური პროცესები
Windows გააჩნია ფონური პროცესები. ამ პროცესების უნიკალურობა იმაში გამოიხატება, რომ ისინი მუშაობენ background-ში, ფონში და შესაბამისად არ აქვთ ხილული ფანჯრები. ასეთ პროცესებს შორის შეიძლება იყოს როგორც სისტემის (სერვისების) მიერ დაწყებული პროცესები, ასევე მესამე მხარის პროგრამების მაგალითად, ანტივირუსების პროცესები.
ასეთ პროცესებს შორის ავღნიშნავდი:
ctfmon.exe – პროცესი უზრუნველყოფს კლავიატურის ენების გადამრთველის მუშაობას და აკონტროლებს მონაცემთა შეყვანას. ეს პროცესი არაა კრიტიკული და, როგორც წესი, ავტომატურად ჩაირთვება რაიმე მიზეზით მისი შეწყვეტის შემდეგ. შესრულებადი ფაილი მდებარეობს System32-ში, მავნე პროგრამების მიერ მისი გამოყენების შემთხვევები იშვიათია.
spoolsv.exe არის პროცესი, რომელიც უზრუნველყოფს პრინტერებზე ბეჭდვის გაშვებას . არ არის განსაკუთრებით მნიშვნელოვანი. ფაილი მდებარეობს System32-ში.
ყალბი პროცესების გარჩევა ნამდვილისგან
როგორც ხედავთ, სისტემური პროცესების უმეტესობა გაშვებულია System32 საქაღალდედან, რაც ამ პროცესების ავტენთურობის ერთ-ერთი ყველაზე მნიშვნელოვანი ნიშანია. რადგან სისტემურ პროცესებთან მიმსგავსებული მავნე სერვისები ყველაზე ხშირად იუზერის დირექტორიადან ეშვება.
თუმცა, თუ ეჭვი გაქვთ კონკრეტული პროცესთან დაკავშირებით, ყოველთვის შეგიძლიათ შეამოწმოთ ის Process Explorer უტილიტას გამოყენებით, რომელსაც შეუძლია ფაილის შესახებ მონაცემების მიღება VirusTotal სერვისიდან. ქვემოთ მოცემულ სურათზე Virustotal-ის შეფასებით პროცესის მავნებლობა ნოლს უტოლდება
Leave A Comment