CATEGORII DOCUMENTE |
Bulgara | Ceha slovaca | Croata | Engleza | Estona | Finlandeza | Franceza |
Germana | Italiana | Letona | Lituaniana | Maghiara | Olandeza | Poloneza |
Sarba | Slovena | Spaniola | Suedeza | Turca | Ucraineana |
DOCUMENTE SIMILARE |
|
TERMENI importanti pentru acest document |
|
Služby počítača – spustené procesy
Wdfmgr.exe – súčasť Windows Media Player 10, Služba Windows User Mode Driver Framework je súčasť ovládača používaná programom Windows Media Player 10. Služba Windows User Mode Driver Framework podporuje synchronizáciu obsahu s hardwarovými prehrávačmi. Hardwarovým prehrávače je napríklad zariadenie pre prehrávanie formátov MP3.
Explorer.exe (Windows Explorer) – jedná sa o proces, ktorý uskutočňuje užívateľské prostredie (shell). Patri sem všetko, čo označujeme pojmom System GUI, respektíve Explorer riadi tieto časti:
Plocha
TaskBar
StartMenu
Vykonávanie užívateľom definovaných shortcutov (napr. logicky pre ikony:))
Niektoré DDE akcie. To je zo systémového hľadiska najdôležitejšie, aliasy pre Plochu alebo Programs v StartMenu by nefungovali (napríklad inštalovanie aplikácií, ktoré si umiestňujú link na plochu)
Vykonávanie určitých startup programov. Napríklad z win.ini a z niekoľkých miest v registroch
System tray – nemýľte si to s systray.exe, ten organizuje len určíte ikony typu ovládanie hlasitosti. Štandardný system tray je vytváraný a riadený explorerom
V skutočnosti ale tento proces nie je taký dôležitý, ako by sa mohlo zdať – je možné ho reštartovať (t.j. vypnúť a znovu zapnúť) bez ohrozenia chodu počítača. Je to pomerne jednoduchý spôsob, ako opraviť grafické nezrovnalosti a problémy s GUI.
Dokonca je možné tento proces nahradiť iným shellom. Občas sa napríklad moze hodit staricky progman.exe (pamatate si na Win 3.x?). Ten sice poskytuje omnoho mensi komfort, ale jeho bootovacia doba je zanedbatelna v porovnani s explorerom. Je teda idealnym riesenim na stanice, kde je uzivatelsky komfort neznamym pojmom. Ja osobne som ho napríklad pouzival ako managera pre svoju MP3 vezu. Zaujimavy experiment som raz videl na starych pocitacoch (thin klienti), ktory mali ako shell progmana a hned sa konektili na Terminal Server.
Su ludia, ktory uprednostnuju nahradenie explorera iným shellom, ja som tomu ale na chut nikdy prilis neprisiel. Vacsinou sa pouzivaju maximalne extravagantne a farebne shelly, ktoré odbornickovia ukazuju svojim kamaratom. To ale neznamena, ze si alternativny shell v praxi predstavit neviem :) Mozno si v buducnosti vytvorim alternativu k linuxovej konzole, v skutočnosti to nie je zlozita zalezitost
Pokial mate chut experimentovat so shellom, cesta sa nastavuje pomocou registru:
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem HKLMSoftwareMicrosoftWindows NTCurrentVersionWinLogonShell
Kluc registru sa vola Shell a je typu REG_SZ
Winlogon.exe (Windows NT Logon Application) – tento proces je zodpovedny za spravu uzivatelskych prihlaseni do systemu a samozrejme aj odhlaseni. Tento proces sa aktivuje v moment, ked sa pomocou ctrl+alt+delete dostanete k logovacej obrazovke pri boote systemu.
Winlogon nasledne vykona tuto cinnost:
Nastartuje Service Control Manager (Services.exe)
Nastartuje Local Security Authority (Lsass.exe)
V moment, ked sa uzivatel uspesne prihlasi, uklada sa LastKnownGood konfiguracia a zaroven Winlogon iniciuje userinit.exe.
Userinit je zodpovedny za logon skripty, sietove pripojenia a inicializaciu shellu. Je mozne ho nastavit tak, aby logon skripty vykonal pred inicializaciou shellu alebo tieto dve akcie mozu byt vykonavane subezne (zname ako SyncForegroundPolicy). Winlogon je na poslednom mieste v hierarchii overovania (SMSS – CSRSS – WinLogOn)
Services.exe (Services And Controller Application) – Tento proces je nezbytny pre spravny beh systemu windows, spravuje spustanie, zastavovanie a kompletnu komunikaciu so systemovymi sluzbami. Nastrojov pre spravu sluzieb je vo windowsoch velke mnozstvo – okrem GUI nastrojov dostupnych pomocou MMC mozeme spomenut konzolove nastroje SC.exe, SrvAny.exe, InstSrv.exe, Lodctr spolu s Unlodctr alebo klasicky net services
Spoolsv.exe (Spooler SubSystem Application) – Uz podla nazvu (Spooler service – „zaradovacia sluzba“) je jasne, na co asi tato sluzba sluzi – jedna sa o zaradovanie a spravu tiskovych a faxovych uloh. V systemoch s NT jadrom od w2k vyssie je zahrnutych niekolko technologii, ktore cinnost spoolu zrychluju, mimo ine sa spoolsv aktivuje ako on-demand, pripadne ho aktivuje userinit.exe. Pokial mate nejake problemy so spoolsv, mozete pouzit nasledujuce konzolove prikazy:
CleanSpl.exe – Vyborna zalezitost, velky neznama a uzitocna zalezitost. Umoznuje odstranit vsetky komponenty spoolu, pokial mate problemy s tiskarnami, pouzijte cleanspl, odstrante komponenty a nechajte znovu pripojit tiskarnu. Funguje aj na vzdialeny pocitac
Empty.exe – anuluje working set size, v podstate to je integrovany ekvivalent roznych softwarov pre uvolnovanie pamate
Setprinter.exe – nastroj pre konfiguraciu spoolu, poskytuje pomerne velke moznosti, odporucam dokladnejsie sa s nim zoznamit, mimo ine sa da pouzivat pre konfiguracie print serveru
Splinfo.exe – poskytuje informacie od spoolu
Obcas sa stava, ze spoolsv.exe vytazuje procesor na 100%. Vacsinou je to sposobene nastavenim monitoringu a providerov v registroch.
Prva
cesta je HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlPrintMonitors a
defaultne hodnoty, ktore by sa tam mali nachadzat su nasledovne:
BJ Language Monitor
Local Port
PJL Language Monitor
Standard TCP/IP Port
USB Monitor
Windows NT Fax Monitor
LPR Port
Druha cesta je KEY_LOCAL_MACHINESYSTEMCurrentControlSetControlPrintProviders
a defaultne hodnoty su:
Internet
Print Provider
LanMan Print Services
Csrss.exe (Client Server Runtime Process) – tento proces tvori uzivatelsku cast subsystemu Win32 (kernelova cast je tvorena win32.sys) – jedna sa o zname rozdelenie 2:2GB. Je to dolezity proces potrebny pre konzolove okna, vytvaranie a odstranovanie podprocesov a niektore casti 16bitoveho simulovaneho (virtualneho) prostredia systemu MS-DOS. Tento proces musi byt VZDY spusteny. Zjednodusene povedane Csrss.exe poskytuje inym procesom pristup k Windows API. Csrss je NATIVNA APLIKACIA, takze pouziva nativne API systemu. V urcitych situaciach z neznameho a nepochopitelneho dovodu ma csrss.exe problemy s Power Managementom – jedine mne zname riesenie je nastavit Power Management na Always On.
Lsass.exe (Local Security Authority SubSystem) – tento proces predstavuje miestny server pre overovanie zabezpecenia a generuje proces zodpovedny za overovanie uzivatelov pre sluzbu Winlogon. Prave tento proces sa stara aj o pridelovanie tzv. Pristupoveho tokenu. Ked uzivatel zada heslo, toto heslo je predane LSA, dalej sa pomocou nereverzneho formatu (one-way hash) preposle SAM databaze. Pokial heslo sedi, SAM vrati SID uzivatela + SID vsetkych skupin, do ktorych uzivatel patri. Na zaklade tychto SIDov LSA vygeneruje pristupovy token uzivatela.
Smss.exe (Windows NT Session Manager) –Spusta sa hned, ako dobehne ntoskrnl.exe. Jeho ulohou je nastartovat uzivatelsku sesnu (csrss.exe). Po inicializacii vykona nasledujucu cinnost:
Vykona programy uvedene v registre HKLM/SYSTEM/CurrentControlSet/Control/Session Manager/BootExecute. U mna je to napriklad autocheck autochk *, znamena to automaticku kontrolu vsetkych particii. Programy v tejto casti musia byt zalozene na Native API! V tejto casti sa napriklad realizuje PFR (Pending File Rename)
Nastavi page file podla HKLM/SYSTEM/CurrentControlSet/Control/Session Manager/Memory Management/PagingFiles
Nastavi CurrentControlSet a CloneControlSet v registroch. CloneControlSet sa neskor stava LastGoodKnown controlset (viz vyssie)
Vytvori DOS zariadenia podla HKLM/SYSTEM/CurrentControlSet/Control/Session Manager/DOS Devices
Nahra Win32 subsystemy podla HKLM/SYSTEM/CurrentControlSet/Control/Session Manager/SubSystems. Standartny je csrss ako uzivatelska cast, win32k.sys ako kernelova cast, viz vyssie. Posledny krok smss.exe je prvym krokom csrss.exe. Potom sa smss prepne do suspend rezimu a caka na ukoncenie winlogon alebo csrss.
V moment, ked dojde k vypnutiu procesov Winlogon alebo Win32, prebehne vypnutie systemu, pokial k vypnutiu tychto procesov dojde necakane, proces smss.exe sposobi zastavenie systemu.
System – Jeho uloha je jednoducha. Nuluje (skor znamejsie ako zeroing) volne stranky pamate. Je to jediny proces s prioritou 0.
System Idle process – pokial si vyhodite Task Managera, zistite, ze tento proces zabera vacsinu procesoroveho casu pre seba (vacsinou). Netreba sa bat, prave kvoli tomu je tento proces vytvoreny, jeho hlavnou (a jedinou) ulohou je spotrebovavat cas procesoru, pokial tento nespracuva momentalne ine podprocesy. Vdaka SIP (System Idle Process) je mozne vygenerovat kvalitnejsi kod (nemusia sa robit samostatne volania, ked procesor nema co robit, ale preda sa SIPu s nizkou urovnou priority). Okrem toho SIP predava procesoru HLT instrukciu, ktora „uspi“ procesor Predlzuje sa tym zivotnost procesora a na notebookoch vydrzi dlhsie baterka :)
Svchost.exe - Svchost je skratka pre Service Host – v podstate sa jedna o proces, ktory hostuje systemove sluzby. Rozhodne sa nesnazte ho zmazat – keby sa vam to nahodou aj podarilo, mozete sa tesit na reinstalaciu pocitaca.
Ako zistim, co sa pod svchostom skryva?
Mate stastie, vobec sa nejedna o zlozitu operaciu – sluzi na to prikaz tasklist /svc, ktory vypise sluzby viazane na procesy. Tento prikaz je dostupny len vo Windows XP, pokial chcete zistit informacie z Windows 2000, bud musite pouzit externy nastroj (napriklad Process Explorer od SysInternals, viz www.sysinternals.com), alebo musite tieto informacie zistit pomocou stanice s Windows XP (prikaz tasklist /s nazov_pocitaca /svc). Dalsou moznostou je tlist.exe z archivu Support.cab, ktory je v adresary Support/Tools na instalacnom CD Windows 2000. Pouziva sa ako tlist.exe –s. Pre cerstvu instalaciu Windows 2000, ktora lezi vedla mna je ten vypis nasledovny:
svchost.exe 400 RpcSs
svchost.exe 440 EventSystem, Netman, NtmsSvc, SENS, TapiSrv, WZCSVC
svchost.exe 1028 wuauserv
Ostatne hodnoty vynechavam, nie su pre nas zaujimave. Teoreticky by mal fungovat aj prikaz tasklist /svc /fi “NÁZOV_PROCESU eq suchost.exe”, mne vsak nikdy a nikde nefungoval – holt dolezite systemove prikazy by sa nemali lokalizovat :(.
Vidite nejake hodnoty – co to ale znamena? Niektore uz mozno poznate, niektore nie. Ako zistit blizsie informacie si urcime podla toho, do akej skupiny patrite.
Skuseni administratori:
Sc sq nazov_podozrivej_sluzby
Dalsia metoda pre skusenych administratorov:
wmic service where Name='nazov_podozrivej_sluzby' list full
Menej skuseni uzivatelia, ktory potrebuju strucny popis:
wmic service where Name='nazov_podozrivej_sluzby' get Name, Description, DisplayName.
Pokial sa vam ani napriek tejto napovede nepodarilo zistit to, co hladate, pouzijte google (www.google.com).
Samozrejme dalsou “registry-based” cestou je navsteva KEY_LOCAL_MACHINESystemCurrentControlSetServices.
Ako upravovat sluzby hostovane pod svchost.exe?
Sluzby pridruzene k svchost sa definuju pomocou registru. Jedna sa o vetvu
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost
Tu mozete vidiet niekolko poloziek, u mna to je napriklad imgsvc, LocalService, netsvc, NetworkService, rpcss, termsvcs. K tymto polozkam vidime v sekcii Data uvedene jednotlive pridruzene sluzby.
Pokial SvcHost rozbalite, uvidite styri kategorie: LocalService, netsvcs, PCHealth, termsvcs.
Ako nas moze ohrozit svchost?
SvcHost je idealnym miestom pre schovanie spywaru a virusov, preto moze byt nebezpecny. Staci sa pozriet na Symantec (https://www.symantec.com/search/ - 139 zaznamov spojenych so svchost) alebo ComputerAssociates (https://www3.ca.com/securityadvisor/search.aspx?mode=tmc&pst=svchost – dokonca 334 zaznamov).
Znamy spyware CoolWebSearch tiez pouziva svchost na zamaskovanie – jeho proces ma nazov sCVhost.exe. Dalsie informacie viz https://soulin.wz.cz/Spyware.htm.
Pokial vam svchost vytazuje extremne procesov alebo kolabuje, vacsinou sa ukaze, ze na vine je virus. Znamym prikladom je napriklad Blaster a podobne virusy napadajuce RPC. Viz https://support.microsoft.com/?kbid=824146.
Politica de confidentialitate | Termeni si conditii de utilizare |
Vizualizari: 1290
Importanta:
Termeni si conditii de utilizare | Contact
© SCRIGROUP 2024 . All rights reserved