فرآیند سیستمیک سیستم de1rr1c را فرا می خواند! () و de1rts1 ()

فرآیندهای سیستم

تمام توابع انجام شده توسط سیستم عامل QNX، به استثنای توابع هسته، توسط فرآیندهای استاندارد پیاده سازی می شوند. یک پیکربندی معمولی سیستم QNX دارای فرآیندهای سیستمی زیر است:

  • مدیر فرآیند (Proc)،
  • مدیر سیستم فایل(Fsys)
  • سرپرست دستگاه (Dev)،
  • · مدیر شبکه (Net).

فرآیندهای سیستم و فرآیندهای کاربر

فرآیندهای سیستم عملاً از هیچ فرآیند کاربر قابل تشخیص نیستند: آنها یک رابط خاص یا پنهانی ندارند که برای فرآیند کاربر غیرقابل دسترسی باشد.

این معماری است که قابلیت گسترش نامحدودی را برای سیستم QNX فراهم می کند. از آنجایی که اکثر عملکردهای QNX توسط فرآیندهای سیستم استاندارد انجام می شود، گسترش سیستم عامل اصلاً دشوار نیست: کافی است برنامه ای را بنویسید و در سیستم بگنجانید که پیاده سازی می کند. عملکرد جدیدسیستم عامل

در واقع، خط بین سیستم عامل و برنامه های کاربردی نسبتاً دلخواه است. تنها تفاوت اساسی بین فرآیندهای سیستم و فرآیندهای کاربردی این است که فرآیندهای سیستم منابع سیستم را با ارائه آنها به فرآیندهای برنامه مدیریت می کنند.

فرض کنید شما یک سرور پایگاه داده نوشته اید. این برنامه چگونه باید طبقه بندی شود؟

سرور پایگاه داده باید عملکردهای مشابه File System Administrator را انجام دهد که درخواست ها (پیام ها) را برای باز کردن فایل ها و خواندن یا نوشتن داده ها دریافت می کند. اگرچه پرس و جوها به سرور پایگاه داده می توانند پیچیده تر باشند، در هر دو مورد مجموعه ای از موارد اولیه (از طریق پیام ها) تشکیل می شود که در نتیجه دسترسی به یک منبع سیستم فراهم می شود. در هر دو مورد، ما در مورد فرآیندهایی صحبت می کنیم که می توانند توسط کاربر نهایی نوشته شده و در صورت نیاز اجرا شوند. بنابراین، سرور پایگاه داده را می توان در یک مورد به عنوان یک فرآیند سیستمی و در مورد دیگر به عنوان یک فرآیند کاربردی مشاهده کرد. در واقع هیچ تفاوتی وجود ندارد. توجه به این نکته ضروری است که در یک سیستم QNX، چنین فرآیندهایی بدون هیچ گونه تغییری در سایر اجزای سیستم عامل فعال می شوند.

این مقاله یک راهنمای کامل و دقیق برای فرآیندهای سیستم ویندوز نیست. در عوض، این مقاله می تواند به تعیین اینکه کدام یک واقعی هستند و کدام غیر واقعی کمک می کند. می پرسی، این چطور ممکن است؟ پاسخ بسیار ساده است. چه اتفاقی افتاده است ویروس کامپیوتری? در اصل همینطور است برنامه ساده، اما فقط بدون اطلاع شما صدمه می زند و کار می کند.

و برای اینکه کار کند باید فرآیندی در سیستم شروع شود. اغلب، یک ویروس فرآیند جدیدی را از سیستم ایجاد می کند که می تواند مشکلات خاصی را ایجاد کند. اما بیشتر در مورد آن در زیر. توصیه می شود از برنامه هایی برای مشاهده فرآیندهای در حال اجرا در قالب درخت فرآیند استفاده کنید که تشخیص آن را آسان تر می کند.

بنابراین، لیست "مجاز"، فرآیندها و فرآیندهای سیستم. گاهی اوقات فرآیندهای ویروس‌های در حال اجرا نام فرآیندی را ایجاد می‌کنند که با نام سیستم مطابقت دارد. آنها را می توان با تخصیص حافظه غیرعادی بزرگ و امکان تکمیل آنها متمایز کرد. چنین فرآیندهایی با علامت تعجب مشخص می شوند.

explorer.exe یک پوسته گرافیکی است. ارزش آن را دارد که آن را خاموش کنید و از طریق سیستم کنترل می شود کاربر مشترکتنها چیزی که باقی می ماند خود مدیر وظیفه و خط فرمان است (که با این حال هنوز باید راه اندازی شود).

internat.exe - نماد زبان مورد استفاده را در سینی بارگذاری می کند. بهتر است لمس نکنید، اگرچه، در اصل، هیچ چیز مهمی نیست. taskmgr.exe خود مدیر وظیفه است. اگر استفاده می کنید برنامه شخص ثالث، می توانید با خیال راحت آن را کاهش دهید تا منابع سیستم را نخورید (زیرا بالاترین اولویت را دارد).

(!) lsass.exe - یک برچسب کاربر برای سیستم تولید می کند. یک فرآیند سیستمی مهم. شما نمی توانید به صورت دستی آن را غیرفعال کنید. mstask.exe یک زمانبندی کار است. بی فایده است، اما نمی توانید آن را هم خاموش کنید. smss.exe - مسئول شروع یک جلسه برای یک کاربر خاص است. غیرممکن است که آن را غیرفعال کنید.

(!) svchost.exe فرآیند منبع برای تمام فرآیندهایی است که از DLL استفاده می کنند. لانه مورد علاقه ویروس ها قبل از خاموش کردن آن، باید ببینید چه کسی و از کدام پوشه با آن تماس گرفته است. شما باید مراقب باشید که هیچ فرآیند مهمی را غیرفعال نکنید.

Services.exe یک مدیر خدمات سیستم است. غیرممکن است که آن را خاموش کنید. اگر یک فرآیند مخرب از آن ایجاد شود. هیچ کاری نمی توان کرد از یک آنتی ویروس استفاده کنید.

سیستم - فرآیند "هسته" سیستم. بر این اساس، خاموش کردن آن نیز غیرممکن است.

بنابراین، تشخیص یک فرآیند مخرب امکان پذیر است، اگرچه همیشه آسان نیست. اغلب، فایل‌های اجرایی به‌طور تصادفی نام‌هایی (مانند x8er45yu67rw) یا نام‌هایی تولید می‌کنند که باید به کاربر اطمینان دهد که جزء سیستم هستند. برای جلوگیری از چنین فریبکاری، باید بدانید کجا و کدام فایل اجرایی قرار دارد (با این حال، این فقط برای اساسی ترین فرآیندها اعمال می شود - می توانید لیست بالا را بخوانید). اما اگر فرآیند "سیستم" از پوشه WINDOWS شروع نشده باشد، این دلیل خوبی برای شک و تخلیه آن از حافظه است. با این وجود، توصیه می شود همیشه از یک آنتی ویروس استفاده کنید، زیرا حذف ساده ممکن است همیشه کمک کننده نباشد، ویروس ها اغلب رجیستری را تغییر می دهند و فایل های سیستمی، و سیستم های آنتی ویروس برای بازگشت مورد نیاز است. با این حال، این دانش می تواند برای شما مفید باشد، به عنوان مثال، رایانه شما به ویروس جدیدی آلوده شده است که دسترسی به اینترنت را ممنوع می کند، اما این ویروس در پایگاه داده آنتی ویروس شما نیست. سپس، بدیهی است که باید فرآیند ویروس را حذف کنید، به روز رسانی پایگاه داده را دانلود کنید و ویروس را به طور کامل از خود آنتی ویروس پاک کنید.

برنامه های ویندوز 7 یا هر نسخه دیگری، از جمله ابزارهای خود سیستم برای همه موارد، امروزه به قدری متنوع هستند که کاربران اغلب نمی دانند برای چیست. یک سوء تفاهم خاص با فرآیندهای سیستمی مرتبط است که می توانند در آنها عمل کنند زمینه... یکی از این سرویس ها فرآیندی با فایل اجرایی مسئول MRT.exe است. این ابزار سیستم چیست، بسیاری از کاربران حتی سرنخی ندارند. به همین دلیل است که بیشتر پیشنهاد می شود بفهمیم که چیست و برای چیست.

MRT.exe: این سرویس چیست؟

نام فایل اجراییمخفف ابزار محافظتی داخلی به نام Microsoft Removal Tool است. بر این اساس، به راحتی می توان نتیجه گرفت که این نوعی شباهت است اسکنر آنتی ویروسکه برای محافظت از سیستم در برابر انواع تهدیدات طراحی شده است.

با این حال، همه چیز به این سادگی نیست. مشکل اصلی این سرویس فقط به این واقعیت مربوط می شود که قادر به شناسایی تهدیدات در ورودی و محافظت از سیستم در زمان واقعی نیست، اما منحصراً برای اسکن، شناسایی و حذف ویروس ها یا در یک سیستم عامل از قبل آلوده استفاده می شود. این وظیفه اصلی اسکنر MRT.exe است. این از نظر امنیت کلی چیست؟ در اینجا می توانید ساده ترین تشبیه را با موارد قابل حمل مانند Kaspersky Virus Removal Tool یا موارد مشابه دیگر ترسیم کنید. با این حال، عملکرد این اپلت نسبتاً مشکوک است.

چگونه از این ابزار استفاده کنم؟

در مورد انجام یک بررسی معمول، فقط باید برنامه را به عنوان یک فایل EXE اجرا کنید یا در ابتدا بسته KB890830 را از وب سایت رسمی مایکروسافت دانلود کنید.

پس از شروع، برنامه چندین گزینه اسکن ارائه می دهد: سریع، کامل و انتخابی. پس از انتخاب یکی از گزینه ها، آزمون شروع می شود. در صورت یافتن هرگونه تهدید یا عناصر مشکوک، برنامه هنگام نمایش نتیجه، کاربر را از حضور آنها و محل اشیاء آلوده یا ویروسی مطلع می کند.

مشکلات غیرفعال کردن و حذف فرآیند

اما این تنها بخشی از سؤال در مورد سرویس MRT.exe است. فهمیدیم چیه حال بیایید ببینیم که آیا می توانیم این جزء را از سیستم حذف کنیم یا خیر.

در واقع، این اپلت برای ویندوز مورد نیاز نیست، بنابراین می توانید بدون هیچ مشکلی آن را حذف کنید. خود این فرآیند ابتدا در "Task Manager" و سپس در بخش به پایان می رسد به روز رسانی های نصب شدهسرویس پک فوق حذف نصب شده است که می توانید آن را در لیست به روز رسانی های نصب شده در قسمت برنامه ها و کامپوننت ها مشاهده کنید. همچنین می توانید به «مرکز به روز رسانی» مراجعه کنید.

چگونه می توان تشخیص داد که ویروس است؟

متأسفانه، علیرغم تمام تلاش‌های متخصصان مایکروسافت برای ایجاد ابزاری قابل اعتماد برای شناسایی تهدیدات، ویروس‌های مدرن یاد گرفته‌اند که خود را به عنوان اسکنر سیستم پنهان کنند، که باعث مشکلات زیادی می‌شود.

تشخیص اینکه ویروسی به همین نام در سیستم زخمی شده است با استفاده از "Task Manager" کاملاً ابتدایی است. در آن، زمانی که RMB بر روی نام فرآیند، آیتم برای نشان دادن محل فایل و پوشه مسئول آن انتخاب می شود.

فایل سرویس اصلی در مسیر c: \ Windows \ System32 \ MRT.exe یا همان مسیر اما در پوشه MRT قرار دارد. اگر مسیر دیگری برای فرآیند شناسایی شده مشخص شده باشد، می توانید مطمئن باشید که این یک ویروس است. برای خنثی کردن آن، در صورت امکان، باید بلافاصله فهرست اصلی و تمام اجزای آن را حذف کنید، و همچنین از یک اسکنر قابل حمل استفاده کنید. حذف کاملتهدیدات سیستم

و به یاد داشته باشید که برای امنیت تنها به این اسکنر اعتماد نکنید. همانطور که قبلا ذکر شد، طبق اصل عملکرد، منحصراً بر روی جستجوی تهدیدها در سیستم عامل های از قبل آلوده متمرکز شده است و برای جلوگیری از نفوذ آنها به سیستم کاملاً نامناسب است. بنابراین، وجود یک ابزار ضد ویروس معمولی با محافظت فعال ضروری است.

لیستی از تمام برنامه های در حال اجرا در رایانه شما را می توان با استفاده از آن مشاهده کرد دیسپچر وظایف ویندوز ... برای انجام این کار، کلیدهای ترکیبی روی صفحه کلید را فشار دهید. لیستی از فرآیندها را مشاهده خواهید کرد و بلافاصله این سوال پیش می آید: چرا به هر فرآیند خاص در این لیست نیاز داریم؟ بیایید ببینیم چیست فرآیندهاو چگونه می توانید آنها را مدیریت کنید.

فرآیندهاآیا هر چیزی که در آن اتفاق می افتد این لحظهزمان در سیستم V مدیر وظیفهتمام برنامه های در حال اجرا در تب Processes نمایش داده می شوند. فرآیندها می توانند توسط کاربر یا سیستم "پرواز شوند". فرآیندهای سیستم زمانی شروع می شوند که بوت کردن ویندوز; فرآیندهای کاربر برنامه‌هایی هستند که توسط خود کاربر رایانه راه‌اندازی می‌شوند یا از طرف او راه‌اندازی می‌شوند. تمام فرآیندهای سیستم به صورت اجرا می شوند خدمات محلی, خدمات شبکهیا سیستم (این اطلاعاتموجود در Task Manager زیر ستون "Username").

مدیر وظیفه فقط به شما امکان می دهد لیستی از فرآیندها را مشاهده کرده و آنها را خاتمه دهید. برای انجام این کار، نام فرآیند را در لیست انتخاب کنید و روی دکمه "پایان فرآیند" کلیک کنید. این به معنای خاتمه برنامه ای است که مالک فرآیند است. با این حال، مشاهده اطلاعات مربوط به یک فرآیند خاص در Task Manager امکان پذیر نیست.

برای مدیریت فرآیندهای ویندوز، توصیه می کنم از یک ابزار قدرتمندتر به نام استفاده کنید. این عالی است برنامه رایگان، که همچنین نیازی به نصب ندارد. آن را دانلود کنید، سپس فایل را از پوشه اجرا کنید و تب "Processes" را از بالا انتخاب کنید.
تمام فرآیندها را در زمان واقعی نشان می دهد و اطلاعات جامعی در مورد هر یک از آنها ارائه می دهد. با کلیک راست بر روی فرآیند مورد علاقه ما و انتخاب مورد "File Properties" می توانیم سازنده را پیدا کنیم. ماژول نرم افزار، نسخه، ویژگی ها و سایر اطلاعات. منوی زمینه فرآیند همچنین به شما امکان می دهد به پوشه برنامه بروید، فرآیند را تکمیل کنید یا اطلاعاتی در مورد آن در اینترنت پیدا کنید.

چگونه با استفاده از Starter از شر ویروس های رایانه خود خلاص شوم؟

اغلب ویروس ها و دیگران بد افزارخود را به عنوان فرآیندهای مختلف پنهان می کنند. بنابراین، اگر متوجه شدید که مشکلی در رایانه شما وجود دارد، یک اسکن آنتی ویروس را اجرا کنید. اگر این کار کمکی نکرد یا آنتی ویروس شما اصلاً از راه اندازی امتناع کرد، Task Manager را باز کنید و به تمام فرآیندهای در حال اجرا نگاه کنید.

اگر به عنوان کاربر اجرا می شود و منابع زیادی مصرف می کند (ستون های "CPU" و "Memory") به فرآیند توجه ویژه ای داشته باشید. اگر فرآیند مشکوکی را در لیست پیدا کردید، آن را به پایان برسانید و ببینید بعد از آن سیستم شما چگونه کار خواهد کرد. اگر شک دارید یا نمی دانید که فرآیند در حال اجرا متعلق به کدام برنامه است، بهتر است به گوگل یا Yandex بروید، نام فرآیند را در نوار جستجو وارد کنید و اطلاعاتی در مورد آن پیدا کنید.

البته، Task Manager تعبیه شده در ویندوز به شما امکان می دهد فرآیندها را غیرفعال کنید، اما، متأسفانه، اطلاعات بسیار کمی در مورد آنها ارائه می دهد، و بنابراین درک اینکه آیا این فرآیند ویروسی است، بسیار دشوار است. برنامه Starter در این زمینه بسیار مفیدتر است.

بنابراین، برای یافتن و حذف یک فرآیند ویروسی از رایانه شما، موارد زیر را انجام می دهیم:

1. برنامه را اجرا کنید و به تب "Processes" بروید.
2. فرآیندی را پیدا کنید که ما را مشکوک کند. با دکمه سمت راست ماوس روی آن کلیک می کنیم و مورد "File Properties" را انتخاب می کنیم. مثلا فایل رو انتخاب کردم svchost.exe... در پنجره باز شده به سازنده نگاه کنیداز این نرم افزار:
واقعیت این است که عملا هر فرآیندی توسط توسعه دهنده آن امضا می شود... اما برنامه های ویروسی معمولا امضا نمی شوند.
در مورد من پرونده svchost.exeامضا شده توسط شرکت شرکت مایکروسافتو بنابراین ما می توانیم به او اعتماد کنیم.
3. اگر فرآیند انتخاب شده توسط کسی امضا نشده است یا توسط شرکتی عجیب و غریب امضا شده است، دوباره روی نام این فرآیند کلیک راست کرده و "جستجو در اینترنت" - "Google" را انتخاب کنید (اینترنت در رایانه باید باشد. متصل).
4. اگر سایت های پیشنهادی گوگل ویروسی بودن این فرآیند را تایید کردند، باید به پوشه این فرآیند بروید (برای این کار، در منوی زمینه Starter، مورد "Explorer to the process folder" را انتخاب کنید). سپس پس از تکمیل فرآیند، فایل را از اینجا حذف کنیداین فرآیند.
اگر هنوز شک دارید که ویروس است یا نه (ممکن است به دلیل کمبود اینترنت نتوانسته اید اطلاعات مربوط به آن را در گوگل ببینید)، پس می توانید به سادگی برنامه افزودنی را از از این فایل(به عنوان مثال از exe به .txt) و آن را به پوشه دیگری منتقل کنید.

همین. امروز یاد گرفتیم که فرآیندهای ویندوز چیست و از چه ابزارهایی می توان برای مدیریت آنها استفاده کرد. علاوه بر این، اکنون می‌توانیم از شر ویروس‌هایی که به عنوان فرآیندهای مختلف پنهان شده‌اند خلاص شویم.