2018-02-13
226
Вкладка Process Image (показанный в рисунке 3-7) содержит атрибуты процесса, которые, по большей части, устанавливаются при процессе, запускают и не переключают жизнь процесса. Они включают Имя Процесса и столбцы PID, которые всегда выводятся на экран и не могут быть невыбранными. Другие столбцы, которые можно выбрать из этой вкладки, следующие:
■ Имя пользователя. Учетная запись пользователя, в которой процесс работает в формате DOMAIN\USER.
■ Описание. Извлеченный из ресурса версии исполнимого изображения. Если этот столбец не включается, информация появляется в подсказке имени процесса.
■ Название компании. Извлеченный из ресурса версии исполнимого изображения. Если этот столбец не включается, информация появляется в подсказке имени процесса.
■ Проверенное Подписывающее лицо. Указывает, было ли исполнимое изображение проверено как в цифровой форме подписано сертификатом что цепочки к корневым полномочиям, которым доверяет компьютер. См., что "Подписи Изображения Проверки" разделяют позже в этой главе для получения дополнительной информации.
|
|
|
■ Версия. Версия файла извлекается из ресурса версии исполнимого изображения.
■ Канал передачи изображения. Путь к исполнимому изображению. Отметьте, что, когда этот столбец включается, подсказка имени процесса больше не показывает весь путь.
■ Тип изображения (64 по сравнению с 32-разрядным). На 64-разрядных версиях Windows это поле указывает, выполняет ли программа собственный 64-разрядный код или 32-разрядный код, работающий в WOW64 (Windows On Windows64). На 32-разрядных версиях Windows отключается этот флажок.
■ Заголовок окна. Если процессу принадлежат какие-либо видимые окна, показывает текст строки заголовка высокоуровневого окна, подобного вкладке Applications Диспетчера задач. Этот атрибут является динамичным и изменяется, когда заголовок окна приложения изменяется.
■ Состояние окна. Если процессу принадлежат какие-либо видимые окна, указывает, отвечает ли он своевременно на сообщения окна (Выполнение или Не Ответ). Это подобно столбцу Status на вкладке Task Manager Applications. Этот атрибут является также динамичным.
■ Сеанс. Идентифицирует терминальный сеанс служб, в котором работает процесс. Службы и большинство системы кодируют выполнения в сеансе 0. Пользовательские сеансы на Windows XP и Windows Server 2003 могут быть в любом сеансе; пользовательские сеансы на Windows Vista и более новый всегда находятся в сеансе 1 или выше.
|
|
|
■ Командная строка. Командная строка, которая использовалась, чтобы запустить процесс.
■ Комментарий. Определяемый пользователем комментарий, который может быть введен во вкладку Image диалогового окна Свойств процесса. См. "раздел" Деталей Процесса для получения дополнительной информации.
■ Состояние DEP. Указывает, включается ли Предотвращение Выполнения Данных (DEP) для процесса. DEP - средство защиты, которое смягчает буферное переполнение и другие атаки, отвергая выполнение кода из памяти, которое было отмечено "нет - выполняются", такие как стек и "куча". Текст столбца может быть пробелом (DEP не включал), (включенный) DEP, (постоянный) DEP (DEP, включенный в пределах исполнимой программы, и не может быть отключен), или <n/a>, если Procexp не может определить состояние DEP процесса.
■ Уровень целостности. На Windows Vista и более новый, указывает на уровень целостности (IL) процесса. Службы, выполненные на Системном уровне, поднятых процессах при Высоких, нормальных пользовательских процессах в Носителе, и процессах низких прав, таких как Internet Explorer Защищенного режима в Низко.
■ Виртуализированный На. Windows Vista и более новый, указывает, включается ли виртуализация файла и реестра UAC. Виртуализация файла и реестра - application=compatibility технология, которая прерывает попытки Носителя наследства процессы IL, чтобы записать в защищенные области и прозрачно перенаправляет их к областям, принадлежавшим пользователю.
■ ASLR, Включенный На. Windows Vista и более новый, указывает, включается ли Рандомизация Расположения Адресного пространства (ASLR) для процесса. ASLR - средство защиты защиты подробно, которое может смягчить удаленные атаки, которые предполагают, что функциональные точки входа в предсказуемых адресах памяти.
Procexp требует административных прав получить доступ к большей части предыдущей информации от процессов неслужбы, работающих в различном контексте защиты. Исключения - заголовок окна и состояние для окон на том же самом рабочем столе как Procexp и User Name, работая на Windows XP. Поскольку дисплей атрибута Комментария зависит от канала передачи изображения, что выводится на экран, может влияться тем, вводился ли комментарий, когда Procexp работал с теми же самыми правами как ток.
