Системные процессы

Все функции, выполняемые ОС QNX, за исключением функций ядра, реализуются стандартными процессами. В типичной конфигурации системы QNX имеются следующие системные процессы:

• · администратор процессов (Proc),
• · администратор файловой системы (Fsys),
• · администратор устройств (Dev),
• · сетевой администратор (Net).

Системные процессы и процессы пользователя

Системные процессы практически ничем не отличаются от любого процесса пользователя: у них нет специального или скрытого интерфейса, недоступного процессу пользователя.

Именно такая архитектура обеспечивает системе QNX неограниченную расширяемость. Поскольку большинство функций QNX выполняется стандартными системными процессами, то расширить ОС совсем не сложно: достаточно написать и включить в систему программу, реализующую новую функцию ОС.

Действительно, грань между ОС и прикладными программами весьма условна. Единственным принципиальным отличием системных процессов от прикладных является то, что системные процессы управляют ресурсами системы, предоставляя их прикладным процессам.

Предположим, вы написали сервер базы данных. Как следует классифицировать эту программу?

Сервер базы данных должен выполнять функции, подобные функциям Администратора файловой системы, который получает запросы (сообщения) на открытие файлов и чтение или запись данных. Несмотря на то, что запросы к серверу базы данных могут быть более сложными, и в том, и в другом случае формируется набор примитивов (посредством сообщений), в результате чего обеспечивается доступ к системному ресурсу. В обоих случаях речь идет о процессах, которые могут быть написаны конечным пользователем и выполняться по необходимости. Таким образом, сервер базы данных можно рассматривать как системный процесс в одном случае и как прикладной процесс, в другом. Фактически нет никакой разницы. Важно отметить, что в системе QNX подобные процессы включаются без каких бы то ни было модификаций других компонентов ОС.

Эта статья не является полным и подробным гидом по системным процессам Windows. Эта статья скорее может помочь определить какие из них настоящие, а какие – нет. вы спросите, как это может быть? Ответ очень прост. Что такое компьютерный вирус? По сути это простая программа, но она лишь вредит и работает без вашего ведома.

А для того, чтобы она работал, в системе необходимо запустить процесс. Зачастую вирус порождает новый процесс из системного, что может вызвать определённые проблемы. Но об этом ниже. Рекомендуется использовать программы для просмотра запущенных процессов в виде деревьев процессов, что упрощает распознование.

Итак, список «разрешённых», системных процессов и процессов. Иногда процессы запущенных вирусов генерируют название процесса, совпадающее с системным. Отличить их можно по аномально большому выделению памяти и возможности завершения. Такие процессы помечены восклицательным знаком.

explorer.exe – графическая оболочка. Стоит её отключить, и из средств управления системой у простого пользователя останется лишь сам диспетчер задач и командная строка(которую, впрочем, еще надо запустить).

internat.exe – подгружает в трей иконочку используемого языка. Лучше не трогать, хотя, в принципе, ничего критичного. taskmgr.exe – сам диспетчер задач. Если используете стороннюю программу, можете смело его вырубать, дабы не жрал системные ресурсы (ибо имеет наивысший приоритет).

(!)lsass.exe – генерирует метку пользователя для системы. Важный системный процесс. Отключить вручную невозможно. mstask.exe – планировщик задач. Бесполезен, но отключить тоже нельзя. smss.exe – отвечает за запуск сеанса для конкретного пользователя. Отключить невозможно.

(!)svchost.exe – процесс-источник для всех процессов, использующих DLL. Любимое гнездилище вирусов. Прежде чем отключать, надо смотреть, кто его вызвал и из какой папки. Нужно быть осторожным и не отключить какой-нибудь важный текущий процесс.

services.exe – менеджер системных сервисов. Выключить невозможно. Если вредоносный процесс порождён из него. поделать ничего уже не выйдет. Используйте антивирус.

system – процесс «ядра» системы. Соответственно, выключить тоже невозможно.

Таким образом, отличить вредоносный процесс возможно, хоть и не всегда это просто. Зачастую выполняемые файлы носят случайно сгенерированные имена (вроде x8er45yu67rw) или имена, которые должны вызвать у пользователя уверенность в том, что это компонент системы. Для предотвращения подобного обмана нужно знать, где и какой исполняемый файл находится (впрочем это относится лишь к самым основным процессам – их список вы можете прочесть выше). Но если «системный» процесс запущен не из папки WINDOWS, это уже является веской причиной для подозрения и выгрузки его из памяти. Тем не менее рекомендуется всегда использовать антивирус, так как простое удаление не всегда может помочь, вирусы зачастую изменяют реестр и системные файлы, и для отката необходимы системы антивируса. Однако эти знания могут пригодится вам, когда, например ваш компьютер заражен новым вирусом, запрещающим выход в интернет, но этого вируса нет в базе вашего антивируса. Тогда, очевидно, необходимо удалить процесс вируса, скачать обновление баз и удалить вирус уже полностью из самого антивируса.

Программы для Windows 7 или любой другой версии, включая собственные инструменты системы на все случаи жизни, сегодня настолько разнообразны, что пользователи зачастую не знают, для чего они предназначены. Особое непонимание связано с системными процессами, которые могут работать в фоновом режиме. Одной из таких служб является процесс с отвечающим за него исполняемым файлом MRT.exe. Что это за инструмент системы, многие пользователи даже понятия не имеют. Именно поэтому далее предлагается разобраться, что это такое и для чего он нужен.

MRT.exe: что это за служба?

Название исполняемого файла является аббревиатурой, обозначающей встроенный защитный инструмент системы под названием Microsoft Removal Tool. Исходя из этого, нетрудно сделать вывод о том, что это некое подобие антивирусного сканера, которое призвано обеспечить защиту системы от разного рода угроз.

Однако не все так просто. Самая главная проблема этой службы связана только с тем, что она неспособна определять угрозы на входе и защищать систему в реальном времени, а применяется исключительно для сканирования, обнаружения и удаления вирусов или в уже зараженной ОС. Это основная задача сканера MRT.exe. Что это с точки зрения общей безопасности? Тут можно провести самую простую аналогию с портативными вроде Kaspersky Virus Removal Tool или еще с чем-то подобным. Только вот функциональность данного апплета вызывает достаточно большие сомнения.

Как использовать этот инструмент?

Что касается выполнения штатной проверки, достаточно просто запустить программу в виде EXE-файла или изначально загрузить пакет KB890830 с официального сайта корпорации Microsoft.

После старта приложение предложит несколько вариантов сканирования: быстрое, полное и выборочное. После выбора одного из вариантов стартует проверка. Если какие-либо угрозы или подозрительные элементы будут найдены, программа при выдаче результата оповестит пользователя об их наличии и местоположении зараженных или вирусных объектов.

Вопросы отключения и удаления процесса

Но это только часть вопроса, касающегося службы MRT.exe. Что это такое, разобрались. Теперь посмотрим, можно ли убрать этот компонент из системы.

Действительно, данный апплет обязательным для Windows не является, поэтому удалить его можно без всяких проблем. Сам процесс сначала завершается в «Диспетчере задач», после чего в разделе установленных обновлений деинсталлируется вышеуказанный пакет обновления, который можно найти в списке установленных апдейтов в разделе программ и компонентов. Также можно обратиться и к «Центру обновления».

Как определить, что это вирус?

К сожалению, несмотря на все усилия специалистов Microsoft по созданию надежного средства выявления угроз, современные вирусы научились маскироваться под сам системный сканер, что вызывает массу проблем.

Определить, что в системе завелся одноименный вирус, можно совершенно элементарно, используя для этого «Диспетчер задач». В нем при ПКМ на названии процесса выбирается пункт показа местоположения отвечающего за него файла и папки.

Файл оригинальной службы расположен по пути c:\Windows\System32\MRT.exe или по тому же пути, но в папке MRT. Если для выявленного процесса указан другой путь, можете не сомневаться, что это именно вирус. Для его нейтрализации, если это возможно, нужно сразу же удалить основную директорию и все ее компоненты, а также использовать портативный сканер для полного удаления угрозы из системы.

И помните о том, что в вопросах защиты полагаться только на этот сканер не имеет никакого смысла. Как уже было сказано, он по принципу работы ориентирован исключительно на поиск угроз в уже зараженных ОС и совершенно не годится для предотвращения их проникновения в систему. Поэтому наличие штатного антивирусного средства с проактивной защитой обязательно.

Список всех выполняемых на компьютере программ можно просмотреть с помощью Диспетчера задач Windows . Для этого необходимо нажать на клавиатуре сочетание клавиш . Вы увидите список процессов, и сразу возникнет вопрос: зачем нужен каждый конкретный процесс в этом списке? Давайте разберемся, что же такое процессы и как можно ими управлять.

Процессы – это все, что происходит в данный момент времени в системе. В Диспетчере задач на вкладке “Процессы” отображаются все запущенные на данный момент программы. Процессы могут быть “порождены” либо пользователем, либо системой. Системные процессы запускаются при загрузке Windows; пользовательские процессы – это программы, запущенные самим пользователем компьютера либо запущенные от его имени. Все системные процессы запускаются от имени LOCAL SERVICE , NETWORK SERVICE или SYSTEM (данная информация доступна в Диспетчере задач в столбце “Имя пользователя”).

Диспетчер задач позволяет только просматривать список процессов и завершать их работу. Для этого выделите имя процесса в списке и нажмите кнопку “Завершить процесс”.Это означает завершение работы программы, которой принадлежит процесс. Однако в Диспетчере задач невозможно просмотреть информацию о том или ином процессе.

Для управления процессами Windows я бы рекомендовал использовать более мощную утилиту, которая называется . Это отличная бесплатная программа, которая к тому же не требует установки. Скачиваем ее , затем запускаем из папки файл и выбираем сверху вкладку “Процессы”.
показывает все процессы в реальном времени, предоставляя исчерпывающую информацию по каждому из них. Щелкнув правой клавишей мыши по интересующему нас процессу и выбрав пункт “Свойства файла”, мы можем узнать производителя программного модуля, версию, атрибуты и другие сведения. Контекстное меню процесса также позволяет перейти в папку с программой, завершить процесс либо найти информацию о нем в интернете.

Как избавиться от вирусов на компьютере с помощью Starter?

Очень часто вирусы и другие вредоносные программы маскируются под различные процессы. Поэтому, если вы заметили что с вашим компьютером что-то не так – запустите проверку антивирусом. Если это не помогло или ваш антивирус вообще отказался запускаться, откройте Диспетчер задач и просмотрите все запущенные процессы.

Особое внимание уделите процессу, если тот запущен от имени пользователя и потребляет слишком много ресурсов (столбцы “ЦП” и “Память”). Если вы нашли в списке явно подозрительный процесс – завершите его и посмотрите, как после этого будет работать ваша система. Если же вы сомневаетесь или не знаете, какой программе принадлежит запущенный процесс – лучше зайдите в Google или Яндекс, введите в поисковой строке название процесса и найдите информацию о нем.

Встроенный в Windows Диспетчер задач конечно позволяет отключать процессы, но, к сожалению, дает очень мало информации по ним, а потому довольно сложно понять является ли процесс вирусным. Программа Starter в этом плане намного полезнее.

Итак, чтобы найти и удалить с компьютера вирусный процесс, делаем следующее :

1. Запускаем программу и переходим во вкладку “Процессы”.
2. Находим процесс, который вызывает у нас подозрения. Щелкаем по нему правой клавишей мыши и выбираем пункт “Свойства файла”. Я для примера выбрал файл svchost.exe . В открывшемся окне смотрим компанию-производителя данного приложения:
Дело в том, что практически любой процесс подписывается его разработчиком . А вот вирусные приложения как правило не подписаны.
В моем случае файл svchost.exe подписан компанией Microsoft Corporation и потому мы можем ему доверять.
3. Если выбранный процесс оказался никем не подписан или подписан какой-то странной компанией, то снова щелкаем правой клавишей по названию этого процесса и выбираем “Искать в Internet” – “Google” (интернет на компьютере при этом должен быть подключен).
4. Если на предложенных гуглом сайтах подтверждают, что данный процесс – вирусный, то необходимо перейти в папку этого процесса (для этого в Starter в контекстном меню выбираем пункт “Проводник в папку процесса”). Затем, предварительно завершив процесс, удаляем здесь файл этого процесса.
Если вы все таки сомневаетесь вирус это или нет (возможно вам не удалось посмотреть информацию о нем в Google в виду отсутствия интернета), то можете просто сменить расширение у данного файла (например, с.exe на.txt) и переместить его в другую папку.

На этом все. Сегодня мы узнали, что такое процессы Windows и с помощью каких утилит ими можно управлять. Кроме того, теперь мы умеем избавляться от вирусов, маскирующихся под различные процессы.