Статьи Настройка Безопасности Процессы Windows: Описание и определение безопасности
Вторник, 03 Января 2012 в 20:00

Процессы Windows: Описание и определение безопасности

Описание процессов Windows

Все программы и действия на компьютере выполняются в определенных процессах. Некоторые приложения используют собственные, некоторые - системные. Задачи одной и той же программы могут выполняться в разных процессах, в зависимости от характера самой задачи. Увидеть весь список запущенных процессов можно, нажав правый клик на панели задач и выбрав "Запустить диспетчер задач" (Вкладка "Процессы")

Поскольку каждый запущенный процесс потребляет определенное количество системных ресурсов, теоретически можно предположить, что чем меньше их работает - тем лучше. На практике все не так просто. Многие процессы по умолчанию стартуют вместе с компьютером независимо от того, будем мы их использовать, или нет. Это сделано разработчиками операционной системы для того, чтоб улучшить стабильность ее работы на большинстве пользовательских компьютеров (Предугадать предпочтения и характер использования ПК каждым пользователем - невозможно). Работа многих процессов критически необходима для нормального функционирования ОС.

Чтоб корректно деактивировать определенный процесс, нужно изменить настройки запуска службы (сервиса) или программы, которая его вызывает. Список возможных сервисов и путь их деактивации я описывал в предыдущих статьях, поэтому дополнительно останавливаться на этом здесь не планирую. В этой статье хотелось бы сосредоточить внимание на другом: Многие вирусы для усложнения их обнаружения, маскируют свои действия под определенный системный процесс. Вычислить их возможно, если знать, какие процессы должны работать у нас в данный момент и какие пути к файлам на диске, которые их активируют.

На первый взгляд, запомнить названия всех активных процессов кажется невыполнимой задачей, но со временем они Вам так примелькаются, что будет достаточно несколько секунд посмотреть на окно Диспетчера задач, чтоб выделить нетипичные процессы для Вашей конфигурации. Я для себя уже достаточно давно определил, что после полной настройки Windows 7 и установки всех необходимых программ, в режиме простоя у меня должно быть запущено 29 - 32 процесса. Если их больше - я начинаю искать службу или приложение, которое активирует лишние.

Сейчас хотелось бы предоставить Вам необходимую информацию о ключевых процессах Windows.

Расположение: "Системная папка" означает, что исполняемый файл ДОЛЖЕН находиться в директории C:\Windows\System32

Если Вы переместили системную папку - значит вам точно известно ее местоположение :-)

Если процесс запущен с места, отличающегося от описания - значит есть большая вероятность его заражения, или имитации вредоносной программой

Список основных процессов (в алфавитном порядке):

alcmtr.exe - Процесс, обеспечивающий мониторинг аудиоустройств Realtek AC97. Может быть завершен, но иногда его отключение вызывает проблемы со звуком. Случаев заражения вредоносным ПО не выявлено.

alg.exe - служба Windows, обеспечивающая доступ к Интернету и нормальную работу Брандмауэра Windows. Самостоятельное прямое отключение не рекомендуется, но многие сторонние фаерволы могут заменять этот процесс собственным. Расположение - Системная директория. Возможно заражение некоторыми вирусами.

ati2evxx.exe – Обеспечивает работу программы ATI External Event Utility (Устанавливается вместе с драйверами видеокарт AMD / ATI), поддерживает работу горячих клавиш для видеодрайверов. Благодаря потреблению большого количества системных ресурсов, желательно отключить автозагрузку соответствующей службы. Случаев заражения не обнаружено.

csrss.exe – Подсистема компонента "клиент / сервер", обеспечивающая работу консольных приложений, потоков и среды MS DOS. Не может быть отключен. Всегда распологается в Системной папке. Существует большая вероятность вирусного заражения.

ctfmon.exe – Поддерживает стабильную работу различных функций ввода и отображения данных. Отключение не рекомендуется. Расположен в системной директории. Бывают случаи использования вредоносным ПО.

dumprep.exe – Может активизироваться только после критической ошибки системы (BSOD – "Синий Экран Смерти"), поскольку отвечает за создание дампа памяти. Исключить создание можно, отключив Запись отладочной информации в компоненте "Загрузка и восстановление". Местоположение: Системная папка. Встречаются случаи заражения и имитации данного процесса.

dwm.exe - Интегрирован в систему, начиная с Windows Vista и 7. Отвечает за обработку графических эфектов рабочего стола, окон и меню, нормальное функционирование возможностей интерфейса "Aero". Если Вам более привычен вариант отображения, как в Windows XP - можете отключить службу Aero в настройках системы. Расположение: Системная папка (C:\Windows\System32\dwm.exe). Вероятность заражения - низкая.

dxdiag.exe – сопровождает работу службы диагностики библиотек DirectX. Если Вы не желаете выполнять автоматический поиск проблем этого класса, можете убрать программу DirectX Diagnostic Tool из автозагрузки. Вирусов, имитирующих работу этого приложения обнаружено небыло.

explorer.exe - Проводник Windows. Критический системный процесс, отвечающий за отображение рабочего стола и меню, возможность осуществления навигации пользователя. Не может быть отключен. Путь запуска: C:\Windows. Возможны проблемы нарущения стабильности при его конфликте с недавно установленными (некачественными) приложениями, или заражении вирусом.

hkcmd.exe - Работает только вместе с видеокартами Intel. Осуществляет поддержку горячих клавиш для смены графического режима. При желании может быть отключен путем деактивации функции горячих клавиш в свойствах дисплея. Расположен в системной папке. Вероятность заражения - высокая.

issch.exe – Программа, выполняющая обновление стандартного инсталлятора Windows (InstallShield). Распологается в Системной директории. Случаев заражения  или подмены не обнаружено.

jusched.exe – Программа для проверки по расписанию обновлений для компонентов Java. Отключить автоматический запуск процесса можно в Планировщике задач, или путем выключения автоматической проверки обновлений в настройках Java Plug-in. Вероятность заражения – низкая.

lsass.exe – Отвечает за работу локального сервера проверки подлинности, взаимодействует с службой winlogon. Это критический процесс, не может быть завершен. Размещен в Системной папке. Часто используется вирусным ПО (создание процесса с очень похожим названием, дублирование или внезапное завершение).

lsm.exe – Сопровождает работу программы Local Session Manager (Начиная с Windows Vista и 7), управляет удаленными подключениями к локальной системе. Самостоятельное отключение не рекомендуется. Размещен в Системной папке. Случаев заражения не зарегистрировано.

mdm.exe - Обеспечивает работу функционала отладки программ. В современных версиях Windows, обычно, отключен по умолчанию. Место расположения файла - Системная директория. Существует вероятность заражения вредоносной программой.

nwiz.exe - Предоставляет владельцам видеокарт NVidia возможность дополнительной конфигурации этих устройств. На работу системы не влияет, может быть отключен. Запуск производится от имени системы, в одном процессе. Если это не так - есть большая вероятность заражения.

rthdcpl.exe – Процесс, обеспечивающий работу контрольной панели Realtek HD Audio. При отключении или удалении с автозагрузки самой панели, отключается и процесс. Вероятность использования вредоносным программным обеспечением – очень низкая.

rundll32.exe - Процесс командной строки. Сопутствует загрузке некоторых функций DLL - файлов. Может быть отключен из автозагрузки. Расположение: Системная директория. Может быть использована для запуска и работы вирусов.

services.exe – Отвечает за управление (включение, работу и остановку) системными службами. Самостоятельное отключение недопустимо. Размещен в Системной директории. Инициатором запуска всегда является система (System). Работа под другим пользователем означает заражение вирусом.

smss.exe - Подсистема менеджера пользовательских сеансов, предоставляет возможность запуска некоторых системных процессов и установку переменных. Завершать работу этого процесса нельзя. Расположение - Системная папка. Вероятность заражения - высокая.

spoolsv.exe - Отвечает за функции печати (взимодействие с принтером, факсом и т.д.). Если Вы не используете подобные устройства, отключить процесс можно путем деактивации сервиса "Диспетчер очереди печати". Расположение - Системная директория. Вероятность заражения - низкая.

svchost.exe – Хост-процесс, выполняющий роль контейнера для различных служб. Одновременно может работать много его копий, поскольку каждая содержит в себе службы разных направлений. Размещается всегда в Системной папке. Часто используется вирусными программами.
Здесь Вы можете узнать больше информации о процессе svchost.exe

wininit.exe – Ответственный за своевременный запуск элементов автозагрузки, поддерживает работу некоторых системных служб. Отключение не рекомендуется, поскольку может вызвать ухудшение стабильности работы операционной системы. Расположен в Системной папке. Случаев заражения не зафиксировано.

winlogon.exe - Критический системный процесс. Отвечает за вход (выход) пользователя в систему. Не может быть завершен. Находится в системной директории. Возможно использование этого процесса различным вирусным программным обеспечением.

wmiprvse.exe - Один из компонентов инструментария Инструментария управления Windows. Отключение не рекомендуется. Файл расположен по пути: C:\Windows\System32\Wbem. Вероятность использования вирусом - высокая.

wuauclt.exe - Осуществляет возможность обновления операционной системы через Web - интерфейс. После установки требуемых обновлений, может быть отключен путем деактивации службы обновлений. Расположение файла - Системная папка. Есть случаи заражения.

wudfhost.exe – Представляет собой функционал поддержки драйверов в ОС Windows. Не может быть отключен. Расположен в системной директории. Случаев заражения, или имитации работы wudfhost.exe каким-либо вирусом не зафиксировано.
Последнее изменение: Среда, 04 Января 2012 в 09:04
Авторизуйтесь, чтобы получить возможность оставлять комментарии

Обновления приложений