2018-02-13
234
Есть некоторые образцы, которые можно всегда ожидать видеть в Procexp на нормальной системе Windows. Некоторые процессы и родительские/дочерние отношения будут всегда появляться, так же как некоторые псевдопроцессы что использование Просекспа, чтобы отличить категории действия режима ядра.
Системные процессы первые три строки в Структурном виде Процесса являются Системой Неактивный Процесс, Система, и Прерывания. Система Неактивный Процесс и Прерывания не реальные процессы операционной системы, и Системный процесс, не выполняет код пользовательского режима.
Система Неактивный Процесс (вызванный только "Неактивный" некоторыми утилитами) имеет один "поток" на ЦП и используется, чтобы учесть время простоя ЦП, когда Windows не выполняет кода программы. Поскольку это не реальный процесс, у этого нет PID — нет никакого PID 0 в Windows. Однако, потому что Диспетчер задач показывает искусственной Системе Неактивный Процесс и выводит на экран 0 в его столбце PID,
Procexp следует примеру и присваивает его PID 0.
|
|
|
Системный процесс размещает только системные потоки режима ядра, которые только когда-либо работают (как Вы могли бы ожидать) в режиме ядра. Эти потоки обычно выполняют код операционной системы от Ntoskrnl.exe и код драйвера устройства.
Псевдопроцесс Прерываний представляет время режима ядра, проведенное, обслуживая прерывания и отложенные вызовы процедуры (DPC). Procexp представляет Прерывания как дочерний процесс Системы, потому что ее время проводится полностью в режиме ядра. Windows не заряжает время, представленное этим псевдопроцессом Системному процессу, ни любому другому процессу. Диспетчер задач неправильно включает прерывание и время DPC в его числах для Системы Неактивный Процесс.
Система с тяжелым действием прерывания, будет поэтому казаться, будет неактивна согласно Диспетчеру задач. Если у Вас есть высокое прерывание или загрузка DPC, Вы могли бы хотеть исследовать причину при использовании Xperf, чтобы проследить прерывания и DPCs или Kernrate, чтобы контролировать использование ЦП режима ядра. Для получения дополнительной информации о прерываниях и DPC, см. Windows Internals.
Запуститесь и Процессы Входа в систему От Windows времени запускается, пока первый пользователь не входит в систему, есть четко определенная последовательность процессов. К тому времени, когда Вы входите в систему и в состоянии видеть дерево процесса в Procexp, некоторые из этих процессов вышли, таким образом, пользовательская оболочка (обычно Explorer.exe) появляется на левом краю окна без родительского процесса. Для намного большей информации о последовательностях запуска и входа в систему см. Windows Internals.
|
|
|
Последовательность запуска, измененная между Windows XP и Windows Vista. На Windows XP, как показано в рисунке 3-4, Системный процесс запускается Smss.exe (сеансовый администратор), который запускается Csrss.exe (подсистема Windows) и Winlogon.exe. Winlogon запускается Services.exe (процесс Диспетчера управления службами), Lsass.exe (подсистема Властей Локальной защиты), и два процесса, не замеченные в числе: LogonUI.exe, который вывел на экран экран входа в систему на не домен системы, к которым присоединяются, и Userinit.exe, какой Windows, запущенный после того, как, пользователь входил в систему. Userinit.exe запущенный Explorer.exe (пользовательское приложение оболочки) и затем выходивший. Большинство пользовательских приложений - прямые или косвенные потомки Explorer.exe. Процессы службы - почти всегда потомки Services.exe. Отметьте, что на Windows XP, Services.exe размещает некоторые службы самостоятельно и таким образом получает розовое выделение.
Рис. 3-4. Обработайте дерево на Windows XP.
На Windows Vista и более новый, потому что интерактивный пользователь больше не входит в систему в том же самом терминальном сеансе служб, который службы выполняют в (сеанс 0), последовательность запуска и входа в систему была refactored, с видимыми различиями в дереве процесса Procexp, показанном в рисунке 3-5.
Рис. 3-5. Обработайте дерево на Windows 7.
Системный процесс запускает экземпляр Smss.exe, который остается работать до системного завершения работы. Это Smss.exe запускает два новых экземпляра Smss.exe, один в сеансе 0 и один в сеансе 1, которые создают процессы в их соответствующих сеансах. Оба из этих экземпляров заканчивают тем, что вышли прежде, чем пользователь входит в систему, таким образом, у начальной буквы Smss.exe всегда, кажется, не есть дочерние процессы. Экземпляр Smss.exe в сеансе 0 запускает экземпляр Csrss.exe в сеансе 0 и Wininit.exe. Wininit.exe запускается Services.exe, Lsass.exe, и Lsm.exe (Локальная Служба сеансового администратора). В сеансе 1, Smss.exe запускает новый экземпляр Csrss.exe и Winlogon.exe. Winlogon начинает LogonUI.exe запрашивать интерактивного пользователя учетные данные, и затем Userinit. exe (который запускает Проводник) после того, как пользователь аутентифицировал. И LogonUI и Userinit обычно выходят прежде, чем оболочка инициализирует, и пользователь может запустить Procexp. Как на Windows XP, большинство служб - потомки Services.exe; но в отличие от этого на Windows XP, Services.exe больше не размещает служб самостоятельно.
Чтобы просмотреть полный запуск обрабатывают дерево для вас непосредственно, обращаются к "Начальной загрузке, Регистрирующей" раздел в Главе 4, "Монитор Процесса."
Пользовательские процессы Там - некоторые типичные образцы, о которых Вы могли бы задаться вопросом в дисплее Procexp. Например, Вы могли бы видеть "собственные процессы", которые являются дочерними элементами процессов службы, а не потомками Проводника. Наиболее распространенные примеры - компоненты DCOM из процесса. Приложение вызывает компонент, что COM определяет потребности, которые будут размещены в отдельном процессе. Даже при том, что новый процесс мог бы работать как интерактивный пользователь, новый процесс запускается процессом, размещающим службу DcomLaunch, а не непосредственно клиентским процессом. Точно так же на Windows Vista и более новый, Настольный Администратор полноэкранного режима (Dwm.exe) запускается как настольный пользователь Настольной службой сеансового администратора Администратора полноэкранного режима (UxSms).
Другой частый образец - использование объектов задания. Некоторые компоненты DCOM, особенно инструментарий управления Windows (WMI) процессы хостинга, выполненные с ограничениями на объем памяти, который они могут выделить, число дочерних процессов, которые они могут запустить (если любой), или максимальное количество времени ЦП они могут заряжаться. Что-либо запускалось через Вторичную службу Входа в систему (например, с RunAs) добавляется к заданию так, чтобы процесс и любые дочерние элементы, которые это запускает, могли быть прослежены как модуль и завершены, если они все еще работают, когда пользователь выходит из системы. Наконец, Ассистент Совместимости Программы (PCA) на Windows Vista и более новых унаследованных приложениях дорожек так, чтобы это могло предложить совместимость, фиксирует пользователю, если PCA обнаруживает потенциальную проблему совместимости, для которой у этого могло бы быть решение после того, как последний процесс на задании вышел.
|
|
|
Действия процесса.
Можно выполнить много действий на процессе, щелкая правой кнопкой по этому, или выбирая это и выбирая любую из следующих опций из меню Process:
■ Подменю If окна процессу принадлежит видимое окно на рабочем столе, подменю окна, позволяет Вам приносить это к переднему плану, или восстановлению, минимизировать, максимизировать, или закрывать это. Подменю окна отключается, если процессу не принадлежат видимые окна.
■ Сродство набора На системах мульти-ЦП, можно установить сродство процессора к процессу так, чтобы его потоки работали только на ЦП или ЦП, которые Вы определяете. (См. рисунок 3-6.) Это может быть полезно, если у Вас есть безудержный процесс ЦП-hogging, которому нужно позволить продолжить работать, но возвращен к исходному состоянию так, чтобы можно было диагностировать его. Можно использовать Сродство Набора
ограничить процесс одноядерным временно и свободный другие ЦП так, чтобы система была все еще применима. (Если определенный процесс должен всегда ограничиваться единственному ЦП, и невозможно изменить его исходный код, использовать контейнер совместимости приложения SingleProcAffinity, или как последнее прибежище, изменить заголовок PE файла, чтобы определить сродство.)
Рис. 3-6. Диалоговое окно для того, чтобы установить сродство процессора на системе с двумя процессорами.
|
|
|
■ Приоритет набора. Представление или набор приоритет планирования основы для процесса.
■ Уничтожьте Процесс. Можно насильственно завершить, процесс выбором Уничтожают Процесс или нажимая кнопку Kill Process на панели инструментов. По умолчанию Procexp запрашивает Вас подтверждение прежде, чем завершить процесс. Можно отключить ту подсказку очисткой, Подтверждают, Уничтожают в меню опций.
■ Уничтожьте Дерево Процесса. Когда Procexp находится в режиме сортировки дерева процесса, этот пункт меню доступен и позволяет Вам насильственно завершать процесс и всех его потомков. Если опция Confirm Kill будет включена, то Вы будете запрошены подтверждение сначала.
■ Перезапуск. Когда Вы выбираете этот элемент, Procexp завершает выделенный процесс (после дополнительного подтверждения) и запускает то же самое изображение, используя те же самые параметры командной строки. Отметьте, что новый экземпляр мог бы быть не в состоянии работать правильно, если бы исходный процесс зависел от других рабочих характеристик, таких как контекст защиты, переменные окружения, или наследовал объектные дескрипторы.
■ Приостановить. Если Вы хотите, чтобы процесс стал временно неактивным так, чтобы системный ресурс — такой как сеть, ЦП, или диск — стал доступным для других процессов, можно приостановить потоки процесса. Чтобы возобновить приостановленный процесс, выберите элемент Резюме из контекстного меню процесса.
Подсказка Приостанавливает, может быть полезным, имея дело с "системным вредоносным программным обеспечением" приятеля, в котором два или больше процесса наблюдают за завершением друг друга с незавершенным, перезапускающим его приятеля, если это умирает. Чтобы победить такое вредоносное программное обеспечение, приостановите процессы сначала и затем завершите их.
Предупреждение Насильственно завершения процесса не дает процессу возможность закрыться
вниз чисто и может вызвать потерю данных или системную нестабильность. Кроме того, Procexp не делает
обеспечьте дополнительные предупреждения, если Вы пытаетесь завершить критический по отношению к системе процесс такой как Csrss.exe.
Завершение критического по отношению к системе процесса приводит к непосредственному катастрофическому отказу "синего" экрана Windows.
■ Запуск Зависит. Если Ходок Зависимости (Depends.exe) утилита находится, Procexp запускает ее с путем к исполнимому изображению выбранного процесса как параметр командной строки. Depends.exe выставочные зависимости от DLL. Это имело обыкновение поставлять с различными продуктами Microsoft, и это теперь распределяется через www.DependencyWalker.com.
■ Отладка. Этот пункт меню доступен, только если отладчик регистрируется в HKEY_LOCAL_ MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug. Выбор Отладки запускает зарегистрированный отладчик с-p, сопровождаемым PID выбранного процесса как параметры командной строки. Отметьте, что закрытие отладчика, не отсоединяясь сначала завершит debugee также. Если регистрация отладчика изменяется, в то время как Procexp работает, Procexp должен быть перезапущен, чтобы поднять изменение.
■ Создайте подменю Dump. Опции в этом подменю, которому позволяют Вы получить минидамп или полный дамп памяти выбранного процесса к расположению файла Вашего выбора. Получение дампа не завершает процесс.
■ Свойства. Этот пункт меню выводит на экран диалоговое окно Свойств для выбранного процесса, который выводит на экран богатство информации о процессе. Это описывается подробно в "Деталях Процесса", разделяют позже в этой главе.
■ Поиск Онлайн. Procexp запустит поиск выбранного исполнимого имени, используя Ваш браузер по умолчанию и поисковую систему. Эта опция может быть полезной, исследуя вредоносное программное обеспечение или идентифицируя источник нераспознанного процесса.
