logo
Задания на 2 модуль

Завдання 2. Підозрілі процеси.

Одним з основних проявів шкідливих програм є наявність у списку запущених процесів підозрілих програм. Досліджуючи цей список, і особливо, порівнюючи його з переліком процесів, які були запущені на комп'ютері відразу після установки системи, тобто до початку роботи, можна зробити досить достовірні висновки про інфікування. Це часто допомагає при виявленні шкідливих програм, що мають як тільки приховані або непрямі прояви.

Однак необхідно чітко розуміти й уміти відрізняти легальні процеси (наприклад, системні або запущені програми) від підозрілих. У цьому завданні необхідно ознайомитися з основним методом дослідження запущених процесів, а саме одержати навички роботи з Диспетчером завдань Windows, і вивчити стандартний їхній набір.

Диспетчер завдань Windows – це стандартна утиліта, що входить у будь-яку версію Microsoft Windows. З її допомогою можна в режимі реального часу відслідковувати додатки, що виконуються, і запущені процеси, оцінювати завантаженість системних ресурсів комп'ютера й використання мережі.

  1. Перейдіть до Диспетчера завдань Windows, нажавши одночасно клавіші Ctrl+Alt+Delete.

Вікно, що відкрилося, містить чотири закладки, що відповідають чотирьом видам активності, які відслідковує Диспетчер: додатки, процеси, швидкодія і мережа.

  1. Перейдіть на вкладку Процеси й уважно вивчите представлений у вікні список процесів. Якщо на комп'ютері не запущені ніякі програми користувача, він повинен містити тільки службові процеси операційної системи.

Увага! Дані процеси необхідні системі для стабільної роботи.

У даній роботі ми розглядаємо ОС Microsoft Windows XP, в Microsoft Windows Vista, кількість процесів, необхідних для стабільної роботи ОС набагато більше.

  1. Для кожного процесу виводяться його параметри: ім'я образа (може не збігатися з ім'ям файлу, що запускається), ім'я користувача, від імені якого був запущений процес, завантаження цим процесом процесора й обсяг займаної їм оперативної пам'яті.

  2. Оскільки в цей момент не повинна бути запущена жодна програма користувача, процесор повинен бути вільний. Отже, "Бездіяльність системи" повинна виявитися внизу списку з досить більшим відсотком "використання" процесора. На рис. 7.1 це 95 %.

Рис. 7.1. Перелік процесів, які виконуються в системі

У ряді випадків може знадобитися вручну завершити якийсь процес. Це можна зробити за допомогою кнопки Завершити процес.

  1. Випишіть всі запущений процеси на аркуш паперу або в текстовий файл і перейдіть до закладки Додатки. Оскільки в цей момент не запущений жодний додаток, список запущених додатків порожній.

  2. Не закриваючи вікна Диспетчера завдань Windows, відкрийте програму Paint. Для цього скористайтеся системним меню Пуск / Програми / Стандартні / Paint.

  3. Дочекайтесь завантаження Paint.

  4. Не закриваючи додаток Paint, поверніться до вікна Диспетчера завдань Windows і простежте за змінами на закладці Додатки.

  5. Список запущених додатків повинен містити рядок, який відповідає Paint. Оскільки вона зараз працює, це ж записано в рядку Стан.

Іноді трапляється так, що програма викликає помилку – тоді в її стані буде написано "Не відповідає". Якщо будь-який раніше безперебійно працюючий додаток починає часто без видимих причин переходити в стан "Не відповідає", це може бути непрямою ознакою зараження. Тоді перше, що можна зробити – це скористатися кнопкою Зняти завдання й почати пошуки причин. Якщо програма не завершила роботу, перейдіть на вкладку Процеси, знайдіть у списку процесів потрібний Вам процес і скористайтеся кнопкою Завершити процес.

  1. Перейдіть до закладки Процеси.

  2. Порівняєте список запущених зараз процесів з переліком, складеним на кроці 3 цього завдання. Знайдіть відмінність.

  3. Переконаєтеся, що програмі Paint відповідає процес mspaint.exe. Для цього знайдіть його в списку запущених процесів, не закриваючи й не звертаючи вікно Диспетчера завдань Windows, поверніться у вікні Paint і закрийте його.

  4. Простежите, що зі списку запущених процесів пропав mspaint.exe. Поверніться до закладки Додатки й переконаєтеся, що він знову порожній.

  5. Перейдіть до закладки Швидкодія. Уважно вивчите розташовані тут графіки. Будь-які сплески на них повинні за часом відповідати якимсь діям, наприклад запуску вимогливої до ресурсів програми. Якщо нічого схожого свідомо не проводилось, це може бути причиною для більше детального дослідження комп'ютера.

  6. Закрийте вікно Диспетчера задач Windows.