double arrow

Вкладка Изображения процесса.


Вкладка Process Image (показанный в рисунке 3-7) содержит атрибуты процесса, которые, по большей части, устанавливаются при процессе, запускают и не переключают жизнь процесса. Они включают Имя Процесса и столбцы PID, которые всегда выводятся на экран и не могут быть невыбранными. Другие столбцы, которые можно выбрать из этой вкладки, следующие:

■                Имя пользователя. Учетная запись пользователя, в которой процесс работает в формате DOMAIN\USER.

■                Описание. Извлеченный из ресурса версии исполнимого изображения. Если этот столбец не включается, информация появляется в подсказке имени процесса.

■                Название компании. Извлеченный из ресурса версии исполнимого изображения. Если этот столбец не включается, информация появляется в подсказке имени процесса.

■                Проверенное Подписывающее лицо. Указывает, было ли исполнимое изображение проверено как в цифровой форме подписано сертификатом что цепочки к корневым полномочиям, которым доверяет компьютер. См., что "Подписи Изображения Проверки" разделяют позже в этой главе для получения дополнительной информации.




■                Версия. Версия файла извлекается из ресурса версии исполнимого изображения.

■                Канал передачи изображения. Путь к исполнимому изображению. Отметьте, что, когда этот столбец включается, подсказка имени процесса больше не показывает весь путь.

■                Тип изображения (64 по сравнению с 32-разрядным). На 64-разрядных версиях Windows это поле указывает, выполняет ли программа собственный 64-разрядный код или 32-разрядный код, работающий в WOW64 (Windows On Windows64). На 32-разрядных версиях Windows отключается этот флажок.

 

■                Заголовок окна. Если процессу принадлежат какие-либо видимые окна, показывает текст строки заголовка высокоуровневого окна, подобного вкладке Applications Диспетчера задач. Этот атрибут является динамичным и изменяется, когда заголовок окна приложения изменяется.

■                Состояние окна. Если процессу принадлежат какие-либо видимые окна, указывает, отвечает ли он своевременно на сообщения окна (Выполнение или Не Ответ). Это подобно столбцу Status на вкладке Task Manager Applications. Этот атрибут является также динамичным.

■                Сеанс. Идентифицирует терминальный сеанс служб, в котором работает процесс. Службы и большинство системы кодируют выполнения в сеансе 0. Пользовательские сеансы на Windows XP и Windows Server 2003 могут быть в любом сеансе; пользовательские сеансы на Windows Vista и более новый всегда находятся в сеансе 1 или выше.

■                Командная строка. Командная строка, которая использовалась, чтобы запустить процесс.



■                Комментарий. Определяемый пользователем комментарий, который может быть введен во вкладку Image диалогового окна Свойств процесса. См. "раздел" Деталей Процесса для получения дополнительной информации.

■                Состояние DEP. Указывает, включается ли Предотвращение Выполнения Данных (DEP) для процесса. DEP - средство защиты, которое смягчает буферное переполнение и другие атаки, отвергая выполнение кода из памяти, которое было отмечено "нет - выполняются", такие как стек и "куча". Текст столбца может быть пробелом (DEP не включал), (включенный) DEP, (постоянный) DEP (DEP, включенный в пределах исполнимой программы, и не может быть отключен), или <n/a>, если Procexp не может определить состояние DEP процесса.

■                Уровень целостности. На Windows Vista и более новый, указывает на уровень целостности (IL) процесса. Службы, выполненные на Системном уровне, поднятых процессах при Высоких, нормальных пользовательских процессах в Носителе, и процессах низких прав, таких как Internet Explorer Защищенного режима в Низко.

■                Виртуализированный На. Windows Vista и более новый, указывает, включается ли виртуализация файла и реестра UAC. Виртуализация файла и реестра - application=compatibility технология, которая прерывает попытки Носителя наследства процессы IL, чтобы записать в ­защищенные области и прозрачно перенаправляет их к областям, принадлежавшим пользователю.



■                ASLR, Включенный На. Windows Vista и более новый, указывает, включается ли Рандомизация Расположения Адресного пространства (ASLR) для процесса. ASLR - средство защиты защиты подробно, которое может смягчить удаленные атаки, которые предполагают, что функциональные точки входа в предсказуемых адресах памяти.

Procexp требует административных прав получить доступ к большей части предыдущей информации от процессов неслужбы, работающих в различном контексте защиты. Исключения - заголовок окна и состояние для окон на том же самом рабочем столе как Procexp и User Name, работая на Windows XP. Поскольку дисплей атрибута Комментария зависит от канала передачи изображения, что выводится на экран, может влияться тем, вводился ли комментарий, когда Procexp работал с теми же самыми правами как ток.

 







Сейчас читают про: