2018-02-13
458
Чтобы изменить выбор столбца, который появляется в представлении Дескриптора, нажмите Ctrl + H, чтобы открыть представление Дескриптора, и затем щелкнуть правой кнопкой по заголовку столбца в более низкой области и выбрать Избранные Столбцы. Это выводит на экран вкладку Handle Избранного диалогового окна Столбцов, как показано в рисунке 3-24.
Рис. 3-24. Вкладка Handle Избранного диалогового окна Столбцов.
Эти атрибуты остаются постоянными столько, сколько дескриптор открыт:
■ Ввести. Тип securable возражает, что дескриптор предоставляет доступ к, такой как Рабочий стол, Каталог, Файл, Ключ, и Поток.
■ Имя. Имя связалось с объектом. Для большинства объектных типов имя - объектное имя пространства имен, такое как \Device\Afd. Для файловой системы и объектов реестра, имена диска и дружественные корневые ключи заменяют внутренние имена как \Device\HarddiskVolume1
(C:) и \REGISTRY\MACHINE\Software\Classes (HKCR). Для дескрипторов процесса, имени процесса и PID используется; дескрипторы потока добавляют ID потока (TID) к этому. Маркерные дескрипторы используют принципал и ID сеанса входа в систему. Неназванные дескрипторы не показывают по умолчанию.
|
|
|
■ Значение дескриптора. Значение дескриптора в шестнадцатеричном, который процесс передает к API, чтобы получить доступ к базовому объекту. Это значение - смещение байта в таблицу дескриптора процесса.
■ Маска доступа. Битовая маска в шестнадцатеричном, который идентифицирует то, что полномочия процесс предоставляют через дескриптор. Каждый бит, который устанавливается, предоставляет разрешение, определенное для объектного типа. Например, "читайте", разрешение для регистрационного ключа - 0x00020019; для файла это обычно 0x00120089. Разрешение полного контроля для регистрационного ключа - 0x000F003F, в то время как для файла это обычно 0x001F01FF. (Для получения дополнительной информации, поисковый MSDN для "Прав доступа и темы" Масок Доступа.)
■ Флаги Доли файла. Для объектов файла, режим совместного использования, который был установлен, когда дескриптор был открыт. Флаги могут включать R, W, или D, указывая, что другие вызывающие стороны (включая другие потоки в пределах того же самого процесса) могут открыть тот же самый файл для того, чтобы считать, писать, или удалить, соответственно. Если никакие флаги не устанавливаются, объект файловой системы открывается для монопольного использования через этот дескриптор.
■ Объектный Адрес. Адрес памяти в памяти ядра структуры данных, представляющей объект. Эта информация может использоваться с отладчиком ядра, чтобы вывести на экран больше информации об объекте.
|
|
|
Если Шоу, Неназванные Дескрипторы И Отображения выбираются в меню View, представление Дескриптора также, перечисляет объекты, которым не связывали имя с ними. (Отметьте, что некоторые типы объектов являются всегда неназванными, и другие иногда, но не всегда неназванные.) Неназванные объекты обычно создаются процессом для его собственного использования. Они могут также быть наследованы и использоваться дочерними процессами, пока у дочернего процесса есть способ идентифицировать, который наследовал значение дескриптора, которое он должен использовать. Дескрипторы могут также быть дублированы от одного процесса до другого, при условии, что у процесса, выполняющего дублирование дескриптора, есть необходимый доступ к целевому процессу.
Примечание. Procexp использует значительно больше ресурса ЦП, когда Выставочная опция Unnamed Handles And Mappings выбирается.
Когда представление Дескриптора открыто, меню Handle появляется в строке меню, предлагая опции Properties и Close Handle. Близкий Дескриптор вынуждает дескриптор быть закрытым. Это обычно опасно. Поскольку процесс, которому принадлежит дескриптор, не знает, что его дескриптор был закрыт, используя эту функцию может привести к повреждению данных или разрушить приложение; закрытие дескриптора в Системном процессе или критическом процессе пользовательского режима, таком как Csrss может привести к системному катастрофическому отказу.
Двойной щелчок по дескриптору или выбор Свойств от изображений меню Дескриптора диалоговое окно Свойств для выбранного дескриптора. Заголовок вкладки Details, показанной в рисунке 3-25, выводит на экран внутреннее имя объекта, в то время как Поле имени в диалоговом окне показывает более удобный для пользователя эквивалент. В числе \Device\HarddiskVolume2\Windows\System32 и C:\Windows\System32 эквивалентны. Диалоговое окно также включает более подробное описание объектного типа с одним словом. Групповой блок References указывает, сколько открытых дескрипторов и ссылок все еще существует для объекта. Поскольку каждый дескриптор включает ссылку на объект, подсчет ссылок никогда не меньше чем количество дескриптора. Различие между двумя числами - число прямых ссылок на объектную структуру изнутри режима ядра, а не косвенно через дескриптор. Объект может быть закрыт только, когда его подсчет ссылок опускается до нуля — то есть, когда он был закрыт так много раз, как он был открыт. Квота заряжает шоу, сколько пронумерованного страницы и пула неподкачиваемой памяти заряжается к квоте процесса, когда это создает объект.
Рис. 3-25. Диалоговое окно Свойств Дескриптора.
Вкладка Security диалогового окна Свойств Дескриптора показывает стандартному редактору безопасности диалоговое окно, выводящее на экран дескриптор безопасности базового объекта, на который ссылается дескриптор. Отметьте, что в некоторых случаях, особенно с неназванными объектами, диалоговое окно предупредит относительно потенциальной угрозы безопасности, потому что полномочия не были присвоены для объекта. Для неназванных объектов это обычно не важно, потому что нехватка имени означает, что единственный путь к другому процессу, чтобы получить доступ к объекту через существующий дескриптор.
Детали процесса.
С его настраиваемыми наборами столбца список процесса главного окна Procexp может показать огромное количество информации обо всех процессах на системе. Чтобы просмотреть даже более подробную информацию об определенном процессе, дважды щелкните по этому в главном окне Procexp, чтобы вывести на экран его диалоговое окно Свойств. Procexp категоризирует данные во многие вкладки: Изображение, Производительность, График Производительности, Потоки, TCP/IP, Безопасность, Среда, и Строки. Это добавляет вкладку Disk And Network, работая с административными правами. Дополнительные вкладки добавляются для процессов, которые являются службами, связываются с заданием, или используют Платформу СЕТИ.
|
|
|
Диалоговое окно Свойств является немодальным, означая, что Вы не должны закрыть его, чтобы взаимодействовать с главным окном; фактически, у Вас могут быть многократные диалоговые окна Свойств, открытые одновременно. Диалоговые окна могут также быть изменены или максимизированы.
Большая часть информации, показанной в диалоговом окне Свойств Процесса, требует или полного доступа к процессу или возможности идентифицировать весь путь к исполнимому файлу изображения. Если выполнено без административных прав, Procexp будет в состоянии показать подробную информацию только для процессов, работающих в соответствии с той же самой учетной записью как Procexp. Кроме вкладки Disk And Network, которая всегда требует административных прав, немного исключений не будут вызваны в этом разделе.
Вкладка изображения.
Вкладка Image, показанная в рисунке 3-26, выводит на экран информацию о процессе, который главным образом остается статичным для времени жизни процесса, включая информацию, собранную от значка исполнимого файла изображения и ресурсов версии, всего пути к файлу изображения, командная строка, которая использовалась, чтобы запустить процесс, учетную запись пользователя, под которой работает процесс, когда это запускалось, включается ли DEP, включается ли ASLR (Windows Vista и более новый), и на x64 версиях Windows, выполняет ли процесс 32-разрядный или 64-разрядный код. Два поля, которые могут измениться, если Вы открываете новое диалоговое окно Свойств для процесса, являются текущим каталогом и родительским процессом. Если родительский процесс все еще работал, когда запущенный Procexp, поле сообщает о названии картинки и PID; если это вышло, полевые отчеты <Несуществующий Процесс> и PID.
Вкладка FIGURE 3-26 The Image диалогового окна Свойств процесса.
|
|
|
Второе поле на вкладке Image служит полем Verified Signer, показывая название компании от ресурса версии или подчиненное имя от проверенного сертификата подписания. Если проверка подписи не была предпринята, можно нажать кнопку Verify, чтобы выполнить ту проверку. См. "раздел" Подписи Изображения Проверки в этой главе для получения дополнительной информации.
Если процессу принадлежит видимое окно на текущем рабочем столе, щелкая по Переносить на передний план кнопке приносит это к переднему плану. Если процессу принадлежит больше чем одно высокоуровневое окно, Перенесите на передний план, приносит одно самое близкое к вершине z-порядка к переднему плану.
Нажатие кнопки Kill Process насильственно завершает процесс. По умолчанию Procexp запросит Вас подтверждение прежде, чем завершить процесс. Можно отключить ту подсказку, снимая флажок Confirm Kill в меню опций.
Можно добавить комментарий для процесса в поле Comment. Комментарии видимы в списке процесса, если Вы выводите на экран столбец Comment или, если Вам не выбирали столбец Comment в подсказке для процесса. Комментарии применяются ко всем процессам с тем же самым путем и помнятся для будущего выполнения Procexp. Отметьте, что административные права обязаны идентифицировать исполнимый канал передачи изображения для процессов, работающих в других учетных записях. Если канал передачи изображения не может быть идентифицирован, имя процесса используется вместо этого. Это означает, например, что комментарий, на который поступают svchost.exe, процесс, выполняя Procexp с административными правами мог бы быть связан с "C:\Windows\System32\svchost.exe", в то время как комментарий, на который поступают тот же самый процесс, когда выполнение без административных прав будет связано с "svchost.exe", и комментарий, связанный со всем путем, не будет выведен на экран. Procexp сохраняет комментарии под тем же самым регистрационным ключом как его другие настройки конфигурации (Проводник HKCU\Software\Sysinternals\Process).
