Monday, April 9, 2018

ລາຍລະອຽດ ແລະ ລັກສະນະການເຮັດວຽກຂອງ process ທົ່ວໄປໃນ Windows

Image does not exist: https://cdn.ghacks.net/wp-content/uploads/2014/08/anvir-task-manager-free.jpg
Windows ຈະມີ process ພື້ນຖານຢູ່ຫຼາຍຕົວນຳກັນ ມື້ນີ້ເຮົາຈະມາເບິ່ງວ່າ Process ທີ່ວ່າມີຫຍັງ ແລ້ວເຮັດຫນ້າທີ່ຫຍັງ
1. Session Manager Subsystem/SMSS.EXE
SMSS ເປັນ component ໜຶ່ງຂອງ Windows NT ເປັນຕົ້ນມາ ມີຫນ້າທີ່ໃນການສ້າງຄ່າ environment variable, DOS Device Mapping, ສ້າງ page ທີ່ເປັນ Virtual Memory, Run Winlogon.exe
ເປັນຕົວທີ່ຖືກຣັນຂະນະທີ່ OS ກຳລັງຈະເຮັດວຽກ ແລະ ເປັນ process ແຮກທີ່ຖືກຣັນໃນຮູບແບບທີ່ເປັນ user-mode ມີ Parent process ເປັນ System ແລະ ຈະຖືກຣັນດ້ວຍ user “NT AUTHORITY/SYSTEM” ສະເໝີ ແລະ path ທີ່ຣັນຄື %systemroot%/system32
2. Windows Logon Process/WINLOGON.EXE
Winlogon ເປັນ component ໜຶ່ງຂອງ Windows NT ຫນ້າທີ່ຄືການ load user profile ແລະ ເບິ່ງແຍງການ logon ຂອງ user
ຕົວ Winlogon ນັ້ນບໍ່ມີ Parent Process ແລະ ຖືກຣັນດ້ວຍ user “NT AUTHORITY/SYSTEM” ສະເໝີ ແລະ path ທີ່ຣັນຄື Windows/System32 ຫາກມີການໃຊ້ງານພວກ card/biometric authen ກໍຈະມີ process ລູກຄືພວກ device ເຫຼົ່ານັ້ນ
ຫາກ user ທຳການ logon ສຳເລັດ ຕົວ Winlogon ກໍຈະໄປຣັນ Userinit.exe ອີກທີ ໂດຍ Userinint.exe ກໍຈະໄປໂຫຼດ logon user script ຕໍ່ network ແລະ ຈະເລີ່ມການເຮັດວຽກງານ Explorer.exe ຕໍ່ອີກທີໜື່ງ
3. Explorer.exe / Windows Explorer
ຕົວ Explorer.exe ນັ້ນຈະຄອຍຖ້າເບິ່ງແຍງ Process ຕ່າງໆຂອງ User ໂດຍ Explorer.exe ນັ້ນບໍ່ມີ Parent Process ເພາະເມື່ອ userinit.exe run Explorer.exe ສຳເລັດກໍຈະປິດຕົວເອງໄປ ແລະ ມີ path ເປັນ %Systemroot%/Explorer.exe
4. CSRSS.EXE / Client-Server Run
CSRSS.EXE ເປັນ component ໜຶ່ງຂອງ Windows NT ຫນ້າທີ່ຄືຈັດການກ່ຽວກັບ Win32 console
ຕົວ Process ຈະຖືກຣັນດ້ວຍ “NT AUTHORITY/SYSTEM” ສະເໝີ ແລະ Process ຈະຢູ່ທີ່ /%SystemRoot%/system32/csrss.exe
5. WININIT.EXE / Windows Initialisation Process
ຕົວ process Wininit.exe ເປັນ 1 ໃນ startup process ໂດຍມັນຈະທຳການຣັນ Services.exe, LSASS.exe, Lsm.exe ແລະ ຈະເປັນ Process ລູກຂອງ SMSS.exe (ແຕ່ບພໍເບິ່ງປົກກະຕິຈະບໍ່ມີ Parent Process ເພາະ SMSS.exe ຈະປິດໄປຫຼັງຈາກ boot ທຸກຢ່າງສຳເລັດ)
ຕົວ Process ຈະຖືກຣັນດ້ວຍ “NT AUTHORITY/SYSTEM” ສະເໝີ ແລະ Process ຈະຢູ່ທີ່ /%SystemRoot%/system32/wininit.exe
6. SERVICES.EXE — Service Control Manager
Services.exe ຈະເປັນຕົວທີ່ໃຊ້ໃນການຈັດການ service ຕ່າງໆພາຍໃນ Windows
ຕົວ Process ຈະຖືກຣັນດ້ວຍ “NT AUTHORITY/SYSTEM” ສະເໝີ ແລະ Process ຈະຢູ່ທີ່ /%SystemRoot%/system32/services.exe ແລະ ມີ Parent Process ເປັນ wininit.exe
ຈະມີ process ລູກຄື svchost.exe ຫລວງຫລາຍ
7. SVCHOST.EXE / Service Hosting Process
svchost.exe ນັ້ນເປັນ Process ຂອງການຣັນ Windows services ທັງຫຼາຍໃນ Windows NT ໂດຍ svchost ຈຳເປັນຕ້ອງການໃຊ້ງານ shared service process ໂດຍ shared service process ຄືຈຳນວນ service ທີ່ມີການໃຊ້ງານ process ຮ່ວມກັນເພື່ອລົດການໃຊ້ງານ resource ທີ່ບໍ່ຈຳເປັນ ການທີ່ເອົາ service ຫຼາຍໆ service ມາລວມເຂົ້ານຳກັນແລ້ວຣັນດ້ວຍ process ດຽວ ນັ້ນເຮັດໃຫ້ການຫາວ່າມີ service ຫຍັງດ້ວຍນັ້ນເຮັດໄດ້ຍາກລຳບາກຂຶ້ນ
ຕົວ svchost ນັ້ນຖືກຣັນໄດ້ດ້ວຍຫຼາຍ user ບໍ່ວ່າຈະເປັນ NT AUTHORITY/SYSTEM, LOCAL SERVICE, ຫລື NETWORK SERVICE ແລະ svchost ຈະເປັນ process ລູກຂອງ services.exe ສະເໝີ ໂດຍລັກສະນະ command line ຂອງ svchost ຈະເປັນ

svchost.exe -k [name]

ຊຶ່ງ [name] ທີ່ວ່າຈະເປັນໄປຕາມທີ່ມີໃນ Software/Microsoft/Windows NT/CurrentVersion/Svchost
Image does not exist: https://www.techsuii.com/wp-content/uploads/2018/04/1gKO4bgYTIG2T0nlnRLXg0Q.png
ແລະ path ທີ່ຣັນຄື %SystemRoot%/System32/svchost.exe ຫາກບໍ່ເປັນໄປຕາມລັກສະນະນີ້ ສະແດງວ່າ malicious process ແນ່ນອນ
8. LSASS.EXE / Local Security Authority
LSASS ເປັນ process ສຳຄັນໃນການກວດສອບການ authentication ໃນ Windows NT ,ບັງຄັບໃຊ້ security policy ໃນ Windows , ການຈັດການ token ແລະ ການປ່ຽນ password ຢ່າງທີ່ເຫັນວ່າ LSASS ນັ້ນເປັນ process ທີ່ສຳຄັນຫລາຍ
ຕົວ process ຖືກຣັນໂດຍ NT AUTHORITY/SYSTEM ຣັນຈາກ path %SystemRoot%/System32/lsass.exe , ມີ Parent Process ເປັນ WININIT.EXE ແລະ ຕົວ LSASS.exe ນັ້ນຈະມີພຽງຕົວດຽວເທົ່ານັ້ນ
9. LSM.EXE / Load Session Manager Service
ຕົວຄວບຄຸມ session ຂອງ user ທົ່ວໄປ ຕົວ LSM.exe ຈະຖືກຣັນໂດຍ NT AUTHORITY/SYSTEM ແລະ ມີ path ຄື %systemroot%/System32/lsm.exe ມີ Parent Process ຄື Wininit.exe

ຈາກ: techsuii.com
[tag]Windows Process, Process, Windows[/tag]

ເພງ ศาลาคนเมา »
« ວິທີກວດລະຫັດ Wifi ແບບງ່າຍໆ

Subscribe

  • RSS Atom

ອອນລາຍ: 1 | ມື້ນີ້: 13 | ວານນີ້: 25 | ທິດນີ້: 93 | ເດືອນນີ້: 872 | ປີນີ້: 11832 | ລວມ: 78935