Комп`ютерні процеси, що працюють у фоновому режимі

Автор: Дон Паркер (Don Parker)

Відео: Автоматичне обмеження роботи програм у фоновому режимі

Ви коли-небудь чули вислів: «У тихому болоті чорти водяться»? Це також може бути застосовано і до комп`ютерів. У той час, коли здається, що комп`ютер простоює, величезна кількість процесів може працювати у фоновому режимі.

Комп`ютер ніколи не буває в стані спокою, в цьому сенсі цього слова. У ньому завжди щось відбувається. Нам може здаватися, що він дрімає, але зазвичай він завжди щось робить. Завдяки використанню таких інструментів, як RegmonNt, FilemonNt, і TdiMonNT ми можемо дізнатися, що робить наш комп`ютер. Є такі прекрасні безкоштовні інструменти, які були написані програмістами компанії Sysinternals. компанія Sysinternals недавно була куплена компанією Microsoft. Я смію зауважити, що це одна з найкращих покупок Microsoft за останній час. Мати у своїй команді таких людей, як Марк Руссинович (Mark Russinovich) і Дейв Соломон (Dave Solomon), може бути дуже корисно.

Відео: Відключення програм, що працюють в Windows у фоновому режимі

Чому так важливо знати, що відбувається на вашому комп`ютері в фоновому режимі? Отже, перше, що швидко приходить на розум, це важливо для вас бути знайомим з процесами, які запущені на використовуваних версіях Microsoft. Якщо кінцевий користувач повідомляє про помилку на своєму комп`ютері, то, можливо, цей той самий інструмент, який ви запустите для виявлення проблеми. З іншого боку, особисто для мене і тих з вас, хто займається комп`ютерною безпекою, це представляє іншу область інтересів. Нам також необхідно знати, які процеси запущені на комп`ютері, але більший інтерес представляє виявлення ворожих процесів, які можуть робити зовсім не те, що здається на перший погляд.

Робота з хакерських програмним забезпеченням в корпоративній мережі-це набагато більше розвивається галузь, ніж здається. Кожен день системні адміністратори і мережі, які вони контролюють, стають мішенню хакерського програмного забезпечення. Проблема полягає в тому, що часто буває дуже складно розібратися, як працює це хакерської програмне забезпечення. Дуже часто в даний час хакерської програмне забезпечення добре маскується за допомогою використання загальних пакетів, таких як PEX. Це означає, що вам доведеться відновити структурну схему частини хакерського програмного забезпечення, якщо ви не зможете розпакувати його. Тому залишаються лише виконати хакерський програмне забезпечення, для того щоб дізнатися, що воно робить. У цьому самому випадку нам на допомогу прийдуть вище згадані інструменти від компанії Sysinternals. Вам необхідно відстежувати зміни реєстру, файлової системи і інших елементів після того, як ви захочете використовувати хакерської програмне забезпечення. Пам`ятаючи все це, давайте поглянемо на ці три інструменти

RegmonNt

З назви цього інструмента можна здогадатися, що він використовується в якості додатку для моніторингу реєстру. Він використовується для відстеження всіх програм, які намагаються отримати доступ до реєстру, і його параметрам. Нарешті, ця програма точно повідомить вам, яка частина реєстру була прочитана або змінена, і що найголовніше, ця програма покаже вам всю активність в реальному часі. Якщо ви думаєте, що вам не погано б мати такий інструмент, то ви абсолютно праві! Давайте подивимося на малюнок нижче, на якому зображений RegmonNt в дії

З малюнка вище ми бачимо, що всі зміни, які робить Apache, реєструються в строгому порядку Regmon. Я спробую прокоментувати те, що ми тут бачимо. Першим йде номер запису, у колонці під назвою #. Далі йде дата і час аж до мілісекунд, яка береться з вашого внутрішнього годинника. Далі ми бачимо додаток, яке робить зміна в реєстрі. У нашому випадку це служба Apache Monitor service, за назвою якої йде номер процесу рівний 948. Далі йде колонка під назвою "Request (запит)", яке повідомляє, яке дія відбувається з реєстром, а також шлях "Path" у вашому реєстрі, по якому відбуваються зміни. Далі йде колонка "Result (результат)", яка повідомляє успішно чи ні пройшла спроба зміни або звернення до реєстру. Нарешті, йде колонка "Other інше", яка надає додаткову інформацію про те, що було зроблено. Основна складність при використанні цього інструменту полягає в тому, щоб чітко розібратися з вмістом цієї таблиці. Вам може знадобитися відфільтрувати вміст, який вам не потрібно, що ви можете зробити, вибрати меню "Options (настройки)", а в ньому вибравши пункт "Filter / Highlight (відфільтрувати / підсвітити)". Цю можливість краще вивчити на практиці. Ми можемо побачити, що цей інструмент чудово допоможе для відстеження змін в реєстрі, які може внести хакерської програмне забезпечення.

FilemonNt

Filemon працює багато в чому аналогічно інструменту Regmon з однією лише відмінністю, що Filemon відстежує зміни в файлової системи, і робить це в режимі реального часу як і Regmon. Малюнок нижче здатний замінити тисячу слів, тому давайте поглянемо на Filemon в дії.

Я знову коротко розповім про призначення стовпців справа наліво. Першим йде порядковий номер, за яким йде дата і час події без мілісекунд в цей раз. Але ви можете підключити цю можливість, якщо хочете, за допомогою меню. Далі в колонці "Process (процес)" слід назва процесу і його номер. Далі в колонці "Request (запит)" ми можемо дізнатися, яку дію над файлової системою має місце: OPEN (відкриття), CLOSE (закриття) і т.д. Далі йде колонка "Path (шлях)", в якій міститься відносний шлях, по якому розташовується додаток, що вносить зміну в файлову систему. Далі йде колонка "Result (результат)", яка повідомляє нам про стан операції, і як можна побачити вище, всі операції завершилися успішно "SUCCESS". Нарешті, є колонка "Other", в якій міститься додаткова інформація, що стосується дії над файлової системою. Також, як я говорив про Regmon вище, дуже ймовірно, що ви захочете мати такий інструмент для моніторингу змін, які можуть внести хакерської програмне забезпечення, завдяки динамічному аналізу

TdiMonNt

Цей інструмент дозволить вам відслідковувати, що відбуватиметься з протоколами TCP і UDP, які використовуються для передачі інформації, тому що обидва цих протоколу є транспортними протоколами. Тому цей інструмент може бути використаний системними адміністраторами для усунення мережевих проблем. На цьому моменті давайте подивимося на TdiMon в дії

Відео: Як включити відключити фоновий режим на андроїд

Ви вже знає принципи відображення інформації, які використовуються інструментами Sysinternals під назвою Regmon і Filemon, а TdiMon робить це так само. Особливий інтерес для нас представляє поле "Process (процес)". Воно точно повідомляє вам програму, яка створила сокет, а також список його транспортних протоколів в стовпці "Local (локальні)". Призначення інших полів очевидно саме по собі, тому що ми вже пояснювали їх вище. Для чого вам використовувати цей інструмент? Як я згадував, якщо ви працюєте системним адміністратором, то він допоможе вам відстежити проблеми з мережею. Якщо ви працюєте фахівцем з комп`ютерної безпеки, то він дозволить вам вивчити хакерської програмне забезпечення, з`ясувати, що він робить, за яким сокету воно спілкується з віддаленим сервером в інтернет.

резюме

Всі інструменти, про які розповідалося в цій статті, повинні бути присутніми у вашому арсеналі, щоб далі вдосконалювати ваші знання про комп`ютери. Вони можуть використовуватися для потреб системного адміністрування, а також для забезпечення безпеки комп`ютера. Вони відносно прості у використанні, і після п`яти або десяти хвилин роботи з ними ви зможете зрозуміти їх можливості. Я щиро підтримують ваше прагнення до вивчення та використання цих інструментів. Як завжди, чекаю ваших відгуків, і сподіваюся, що ця стаття була корисна для вас.

джерело: winsecurity.ru