Процессы в ОС и1Ч1Х: системные вызовы, иерархия процессов. Системные процессы и процессы пользователя Как определить, что это вирус

В качестве ключевых положений рефлекторной теории П.К. Анохин выделял следующие:

1. исключительность пускового стимула как фактора, детерминирующего действие, которое является его причиной;

2. завершение поведенческого акта рефлекторным действием, ответом;

3. поступательный ход возбуждения по рефлекторной дуге.

Все эти положения отвергаются при рассмотрении поведения с позиций ТФС [Анохин, 1978].

Наличие пускового стимула не является достаточным для возникновения адекватного поведения. Оно возникает: а) после обучения, т.е. при наличии соответствующего материала памяти; б) при наличии соответствующей мотивации и в) в соответствующей обстановке. Эти компоненты рассматривали, конечно, и другие авторы, но лишь как модуляторы или условия, при которых данный стимул вызывает данную, связанную с ним реакцию. П.К. Анохин же отмечал, что при появлении данного стимула и изменении условий животное может достигать результат поведения самыми разными способами, никогда с этим стимулом не связывавшимися. Например, оно может использовать вместо подхода к кормушке подплывание к ней, если вода вдруг становится преградой.

Согласно ТФС, интеграция всех этих компонентов осуществляется в рамках специального системного механизма афферентного синтеза, в процессе которого на основе мотивации, при учёте обстановки и прошлого опыта создаются условия для устранения избыточных степеней свободы – принятия решения о том, что, как и когда сделать, чтобы получить полезный приспособительный результат. Принятие решения завершается формированием акцептора результатов действия, который представляет собой аппарат прогнозирования параметров будущих результатов: этапных и конечного, и их сличения с параметрами результатов, реально полученных при реализации программы действия. При сличении с параметрами полученных этапных результатов выявляется соответствие хода выполнения программы запланированному (подробнее см. [Батуев, 1978; Пашина, Швырков, 1978]) при сравнении с параметрами конечного – соответствие достигнутого соотношения организма и среды тому, для достижения которого была сформирована система. Эти системные механизмы составляют операциональную архитектонику любой функциональной системы (рис. 14.1). Их введение в концептуальную схему – второе важнейшее преимущество и признак, отличающий ТФС от других вариантов системного подхода.

Формирование в ТФС представления о том, что интеграция элементарных физиологических процессов осуществляется в рамках качественно отличных от них специфических системных процессов, имело принципиальное значение для развития психофизиологического подхода к анализу поведения и деятельности, а также системного решения психофизиологической проблемы (см. параграф 5). Разработка представлений о качественной специфичности процессов интеграции явилась открытием нового вида процессов в целостном организме – системных процессов, организующих частные физиологические процессы, но несводимых к последним.

Открытие системных процессов позволило, в отличие от рассмотрения в качестве основы поведения материально-энергетических отношений между локальным воздействием и реакцией, протрактовать поведение как обмен организованностью, или информацией между организмом и средой, осуществляемый в рамках этих информационных процессов. При этом было обосновано положение о том, что системные категории ТФС описывают одновременно и организацию активности элементов организма, и её связь с организацией внешней среды [Швырков, 1995].

В стабильных условиях, например в ситуации лабораторного эксперимента, пусковой стимул реализует готовую предпусковую интеграцию, которую можно охарактеризовать как готовность систем будущего поведения, формирующуюся в процессе выполнения предыдущего. Она направлена в будущее, но стабильность ситуации делает очевидной связь «стимул–ответ». Однако анализ нейронной активности в поведении чётко показывает, что организация последней определяется тем, какой результат достигается в данном поведении, тогда как стимул лишь «запускает», «разрешает» реализацию. В тех случаях, когда один и тот же по физическим параметрам стимул «запускает» разные поведенческие акты (например, пищедобывательный или оборонительный), разными в этих актах оказываются не только характеристики активности нейронов, но даже и сам набор вовлечённых клеток, в том числе и в «специфических» по отношению к стимулу областях мозга (например, в зрительной коре при предъявлении зрительного стимула; см. [Швыркова, 1979; Александров, 1989]).

Рис. 14.1. Функционольная система и поведенческий континуум

Операциональная архитектоника функциональной системы по П.К. Анохину (вверху). О системных механизмах, составляющих операциональную архитектонику, см. параграф 2. Стрелки от «доминирующей мотивации» к «памяти» демонстрируют, что характер информации, извлекаемой из памяти, определяется доминирующей мотивацией. Схема также иллюстрирует представление о том, что в акцепторе результатов действия содержатся модели этапных результатов наряду с конечным результатом и что модель последнего представлена не единичной характеристикой, а комплексом параметров.

Поведенческий континуум (внизу). Р n’, Р n+1 – результаты поведенческих актов; p1,2,3, – этапные результаты; Т– трансформационные процессы (см. параграф 2). О наборах систем, обеспечивающих реализацию последовательных актов континуума (каждому набору соответствует свой тип штриховки) и о вовлечении в трансформационные процессы систем, не участвующих в реализации актов, смена которых данными процессами обеспечивается (эти системы обозначены незаштрихованными овалами), см. в параграфе 7

Второе положение рефлекторной теории, которое отвергается ТФС, – оценка действия как завершающего этапа поведенческого акта. С позиций ТФС заключительный этап развёртывания акта – сличение прогнозируемых в акцепторе параметров с параметрами реально полученного результата. Если параметры соответствуют прогнозируемым, то индивид реализует следующий поведенческий акт; если же нет, то в аппарате акцептора возникает рассогласование, ведущее к перестройке программ достижения результата.

Наконец, ТФС отвергает положение о поступательном ходе возбуждения по дуге рефлекса. В соответствии с этим положением, реализацию поведения обеспечивает активация последовательно включающихся в реакцию структур мозга: сначала сенсорных структур, обрабатывающих сенсорную информацию, затем эффекторных структур, которые формируют возбуждение, активирующее железы, мышцы и т.д. Однако многочисленными экспериментами было показано, что при реализации поведенческого акта имеет место не последовательное включение афферентных и эфферентных структур, а синхронная активация нейронов, расположенных в самых разных областях мозга. Паттерн активации нейронов в этих структурах оказывается общим, имеет общемозговой характер. Компоненты этого паттерна – последовательные фазы активации – соответствуют последовательности развёртывания описанных ранее системных механизмов (см. [Швырков, 1978, 1995]). Экспериментальные результаты, подтверждающие данные о синхронности активации нейронов в поведении, продолжают накапливаться и в последнее время , и им придаётся всё большее значение в понимании не только организации дефинитивного поведения, но и обучения.

Таким образом, вовлечение нейронов разных областей мозга в системные процессы происходит синхронно. Эти процессы – общемозговые и не могут быть локализованы в какой-либо области мозга. В различных областях мозга в поведении протекают не локальные афферентные или эфферентные, а одни и те же общемозговые системные процессы организации активности нейронов в систему, которая является не сенсорной или моторной, а функциональной. Активность нейронов этих областей отражает не обработку сенсорной информации или процессы регуляции движений, а вовлечение нейронов в определённые фазы организации (афферентный синтез и принятие решения) и реализации системы. Активность любой структуры одновременно соответствует как определённым свойствам среды, так и характеру двигательной активности.

Единый паттерн активации и синхронность вовлечения нейронов разных областей мозга в общемозговые системные процессы не означают эквипотенциальности (равнозначности) мозговых структур; вклад этих структур в обеспечение поведения зависит от специфики проекции на них индивидуального опыта (см. параграф 8).

Итак системные процессы, предназначение системных процессов выполнение определенных задач на компьютере. У любой программы или службы есть свой процесс, а у некоторых несколько. Например процесс самой программы и процесс проверки обновлений этой программы. Каждый из этих процессов потребляет определенное количество системных ресурсов. Если процесс потребляет больше чем ему может дать компьютер, то последний начинает виснуть иногда намертво. Также процессами может управлять вирус, особенно теми что грузят систему. Посмотреть список запущенных процессов на компьютере вы можете в диспетчере задач вызвав его клавишами Ctrl+Alt+Del . В диспечере задач также можно
посмотреть загрузку центрального процессора и оперативной памяти определенным процессом или приложением.

Процессы операционной системы

winlogon.exe — Является системным процессом, этот процесс нельзя завершить, он отвечает за вход и выход пользователя в систему. Файл отвечающий за этот процесс находится в папке C:\\Windows\\System32. Некоторые вирусы могут клонировать этот процесс, если вы видите файл winlogon.exe в каком нибудь другом месте, проведите сканирование системы в безопасном режиме .

sms.exe — Этот системный процесс отвечает за запуск пользовательского сеанса, а также за процессы winlogon и win32. В случае если некоторые из процессов завершаются аварийно, smss.exe дает команду системе прекратить отвечать на посылаемые запросы. Некоторые из вирусов могут использовать процесс sms.exe для скрытия своего нахождения в системе, например W32.Dalbug.Worm , Win32. Brontok, Win32.Landis, Adware.DreamAd Win32 Sober.

explorer.exe — Процесс отвечающий за проводник, то есть за все что связано с рабочим столом меню пуск и пользовательскими папками. Этот процесс нельзя завершать в противном случае пропадет рабочий стол и вы не сможете никуда зайти. Если такое случилось, запустить процесс можно запустив программу выполнить, клавишами Win+R , далее набрав в окне команду explorer.exe. Аналогичные действия можно произвести вызвав диспетчер задач клавишами Ctrl+Alt+Del Вкладка файл / новая задача /выполнить. Процесс explorer.exe может конфликтовать с некоторыми файлами и программами. При появлении проблем если процесс вылетает или грузит систему рекомендуется проверить систему на вирусы , а также выявить методом тыка (завершая сторонние процессы не имеющие отношения к системе), с каким процессом конфликтует проводник. Таким процессом может оказаться одна из недавно установленных программ.

alg.exe — Системный процесс отвечающий службу операционной системы Windows а именно а именно за и функциональность брандмауэра windows, эту службу могут использовать также некоторые межсетевые экраны. Завершать процесс alg.exe не рекомендуется, с завершением этого процесса пропадет доступ в интернет. Некоторые вирусы могут скрываться за этим процессом, такие как сетевой червь Worm.Fagot, W32.Petch, и им подобные.

spoolsv.exe — Процесс отвечающий за службу spooler, которая в свою очередь отвечает за управление заданиями на печать, а также передачу факсимильных сообщений. Есть некоторые вирусы которые благополучно маскируются под видом этого процесса. Вот некоторые примеры этих процессов: spool.exe, spools.exe, spoolsrv.exe, spoolmgr.exe, spool16.exe, spool32.exe , spooll32.exe. При обнаружении таких процессов у себя в системе, немедленно их завершайте и сканируйте систему в безопасном режиме.

svchost.exe — Является системным процессом, этот процесс предназначен для служб которые запускаются из динамически загружаемых библиотек (DLL). Одновременно может быть запущено несколько процессов svchost.exe, не пугайтесь, в зависимости от того какие службы запущены. Системная папка файла svchost находится в директории C:\\Windows\\System32 , при обнаружении этого файла в другой директории может скрываться вирус или сетевой червь. Наиболее известные вирусы маскирующиеся под процесс svchost, это W32.Welchia.Worm, W32/Jeefo и W32.Assarm@mm.

ctfmon.exe — Процесс который управляет технологией альтернативного ввода данных. Этот процесс запускает языковую панель при старте системы. Процесс работает даже если закрыты все программы, его предназначение поддержка клавиатуры, перевод, а также распознавание речи и рукописных символов. Этот процесс используют вирусы Trojan.Satiloler , Spyware.UltraKeylogger, W32.Snow.A для своего сокрытия в системе. Директория расположения процесса C:\\Windows\\System32, при обнаружении его в другой директории есть вероятность заражения системы.

csrss.exe — Процесс клиент серверной -подсистемы. Процесс отвечает за работу консольных приложений и является менеджером потоков в windows. Завершить этот процесс невозможно так как завершение этого процесса ведет к аварийной перезагрузке компьютера. Есть вирусы которые используют имя данного процесса для сокрытия присутствия в системе. Оригинальный файл процесса хранится в папке System32. На серверных машинах количество этих процессов может доходить до нескольких десятков.

Lsass.exe — Это процесс проверки подлинности локальный сервер, он инициирует процесс, отвечающий за проверку пользователей в службе Winlogon. Невозможно завершить этот процесс посредством диспетчера задач . Проверка подленности производится библиотекой Msgina.dll, которая используется по умолчанию. В случае успешной проверки процесс Lsass создает маркер доступа для пользователя, этот маркер используется во время запуска начальной пользовательской оболочки. Процессы, которые запускает пользователь,получают в наследие этот маркер.

wuauclt.exe — Процесс который отвечает за проверку наличий обновления установленной операционной системы са сайте Microsoft. Завершение процесса wuauclt.exe никак не влияет на работоспособность Windows. Обратите внимание на что расположение файла инициирующего процесс wuauclt.exe находится в директории C:\\Windows\\System32. Если файл процесса находится в директории отличной от указанной, просканируйте компьютер на наличие вирусов. Чтобы предотвратить появление процесса wuauclt.exe в диспечере задач, попробуйте отключить автоматическую проверку обновлений операционной системы.

hkcmd.exe - Процесс графических карт Intel (Intel Hotkey Command Module). Этот процесс предназначен для обеспечения управления при помощи горячих клавиш, настройками видео карты. Завершение процесса никак не влияет на работоспособность системы. Так же вы его можете отключить в панели настроек видеокарты. Некоторые вирусные программы такие как: W32/Pahatia-A, W32/Sdbot-DGR маскируются под этот процесс для сокрытия своего нахождения в системе. При выявлении процесса hkcmd.exe в директории отличной от C:\\Windows\\System32 , немедленно просканируйте компьютер новейшим антивирусным ПО в безопасном режиме.

Программы для Windows 7 или любой другой версии, включая собственные инструменты системы на все случаи жизни, сегодня настолько разнообразны, что пользователи зачастую не знают, для чего они предназначены. Особое непонимание связано с системными процессами, которые могут работать в фоновом режиме. Одной из таких служб является процесс с отвечающим за него исполняемым файлом MRT.exe. Что это за инструмент системы, многие пользователи даже понятия не имеют. Именно поэтому далее предлагается разобраться, что это такое и для чего он нужен.

MRT.exe: что это за служба?

Название исполняемого файла является аббревиатурой, обозначающей встроенный защитный инструмент системы под названием Microsoft Removal Tool. Исходя из этого, нетрудно сделать вывод о том, что это некое подобие антивирусного сканера, которое призвано обеспечить защиту системы от разного рода угроз.

Однако не все так просто. Самая главная проблема этой службы связана только с тем, что она неспособна определять угрозы на входе и защищать систему в реальном времени, а применяется исключительно для сканирования, обнаружения и удаления вирусов или в уже зараженной ОС. Это основная задача сканера MRT.exe. Что это с точки зрения общей безопасности? Тут можно провести самую простую аналогию с портативными вроде Kaspersky Virus Removal Tool или еще с чем-то подобным. Только вот функциональность данного апплета вызывает достаточно большие сомнения.

Как использовать этот инструмент?

Что касается выполнения штатной проверки, достаточно просто запустить программу в виде EXE-файла или изначально загрузить пакет KB890830 с официального сайта корпорации Microsoft.

После старта приложение предложит несколько вариантов сканирования: быстрое, полное и выборочное. После выбора одного из вариантов стартует проверка. Если какие-либо угрозы или подозрительные элементы будут найдены, программа при выдаче результата оповестит пользователя об их наличии и местоположении зараженных или вирусных объектов.

Вопросы отключения и удаления процесса

Но это только часть вопроса, касающегося службы MRT.exe. Что это такое, разобрались. Теперь посмотрим, можно ли убрать этот компонент из системы.

Действительно, данный апплет обязательным для Windows не является, поэтому удалить его можно без всяких проблем. Сам процесс сначала завершается в «Диспетчере задач», после чего в разделе установленных обновлений деинсталлируется вышеуказанный пакет обновления, который можно найти в списке установленных апдейтов в разделе программ и компонентов. Также можно обратиться и к «Центру обновления».

Как определить, что это вирус?

К сожалению, несмотря на все усилия специалистов Microsoft по созданию надежного средства выявления угроз, современные вирусы научились маскироваться под сам системный сканер, что вызывает массу проблем.

Определить, что в системе завелся одноименный вирус, можно совершенно элементарно, используя для этого «Диспетчер задач». В нем при ПКМ на названии процесса выбирается пункт показа местоположения отвечающего за него файла и папки.

Файл оригинальной службы расположен по пути c:\Windows\System32\MRT.exe или по тому же пути, но в папке MRT. Если для выявленного процесса указан другой путь, можете не сомневаться, что это именно вирус. Для его нейтрализации, если это возможно, нужно сразу же удалить основную директорию и все ее компоненты, а также использовать портативный сканер для полного удаления угрозы из системы.

И помните о том, что в вопросах защиты полагаться только на этот сканер не имеет никакого смысла. Как уже было сказано, он по принципу работы ориентирован исключительно на поиск угроз в уже зараженных ОС и совершенно не годится для предотвращения их проникновения в систему. Поэтому наличие штатного антивирусного средства с проактивной защитой обязательно.

12597

К ак правило, большинство троянских и шпионских программ стараются скрыть своё присутствие на компьютере для чего прибегают к различного рода хитростям, например, тщательно прячут свои процессы либо маскируются под процессы системные. Потенциальной «жертвой» вируса может стать любой системный процесс, но чаще всего вредоносные программы прикрываются маской процесса svchost .

И на это у них есть свои причины. Дело в том, что svchost запускается в нескольких экземплярах внешне практически ничем неотличимых друг от друга, так что если в Диспетчере задач появится ещё один процесс svchost, а их число может достигать нескольких десятков, особого подозрения со стороны пользователя это не вызовет. Но если они одинаковы, как определить, какой из них является настоящим, а какой волком в овечьей шкуре?

Оказывается, что не так уже и сложно, но перед тем как приступать к их идентификации, позвольте пару слов о самом процессе svchost. Как видно из его полного названия Generic Host Process for Win32 Services , отвечает он за работу служб и сервисов, причём как системных, так и сторонних, использующих динамические библиотеки DLL , которые в свою очередь составляют немалую часть файлов Windows и прикладных программ.

Этот процесс настолько важен, что если файл будет повреждён, Windows не сможет нормально работать. В работающей системе присутствует как минимум четыре экземпляра процесса svchost, но их может быть и значительно больше. Необходимость такого дублирования объясняется количеством обслуживаемых процессом служб и сервисов, а также необходимостью обеспечения стабильности системы.

Итак, как же узнать, является ли svchost настоящим? Первым критерием подлинности файла является его месторасположение. Его законным местом обитания являются следующие папки:

C:/WINDOWS/system32
C:/Windows/SysWOW64
C:/WINDOWSPrefetch
C:WINDOWS/ServicePackFiles/i386
С:/WINDOWS/winsxs/*

П римечание: звёздочка в конце пути С:/WINDOWS/winsxs обозначает, что в папке winsxs может быть ещё один каталог. Как правило, он имеет длинное название из набора символов, например, amd64_3ware.inf.resources_31bf3856ad364e35_6.3.9600.16384_ru-ru_7f622cb60fd30b1c . В виде исключения из правил файл может располагаться в каталоге антишпионской программы Malwarebytes Anti-Malware .

Если же он обнаружится в какой-нибудь другой папке, особенно в корневой Windows или в «Пользователи» , то скорее всего вы имеете дело с маскирующимся вирусом. Проверить расположение файла можно из Диспетчера задач , кликнув по процессу правой кнопкой мыши и выбрав в меню опцию либо с помощью сторонних утилит вроде Process Explorer . Используя сторонние файловые менеджеры, также можно выполнить поиск всех файлов по маске.

Последний способ не столь надёжен, так как подделывающийся под процесс svchost вирус может использовать более хитрый способ маскировки. Так, в имени файла одна из латинских букв может быть заменена кириллической. Внешне такой файл ничем не будет отличаться от настоящего , более того, он может располагаться в том же каталоге, что и «правильный» . Впрочем, проверить его подлинность не составляет особого труда. Достаточно сравнить коды символов имени файла воспользовавшись таблицей символов Юникода . Иногда в название файла svchost добавляется лишняя буква, либо наоборот, пропускается. Невнимательный пользователь может и не заметить разницу между, скажем, и svhost.exe .

Тем не менее, спешить удалять подозрительный svchost сходу не стоит. Для начала неплохо было бы проверить его на мульти антивирусном сервисе вроде VirusTotal и, если подозрительный файл окажется подделкой, хотя одна из антивирусных программ выдаст положительный результат. Вредоносный файл, маскирующийся под svchost удаляем с помощью Dr.Web LiveDisk либо утилиты AVZ . Если будете использовать AVZ , вам также понадобиться специальный скрипт, скачать который можно по ссылке ниже.

Термин «сервис» имеет в среде Windows множество значений. Ниже представлены некоторые из них, имеющие отношение к рассматриваемой теме:

Сервис АРI - функция или подпрограмма API, которая реализует некоторое действие (сервис) операционной системы, такое как создание файла или работа с графикой (рисование линий или окружностей). Например, функция API Crea t eProcess используется в Windows для создания нового процесса;

системный сервис - недокументированная функция, которая может вызываться из пользовательского режима. Эти функции часто используются функциями Win32 API для предоставления низкоуровневых сервисов. Например, функция API CreateProcess для реального создания процесса вызывает системный сервис NTCreateProcess ;

внутренний сервис - функция или подпрограмма, которая может вызываться только из кода, выполняемого в режиме ядра. Эти функции относятся к низкоуровневой части кода Windows: к исполнительной системе Windows NT, к ядру или к слою абстрагирования от аппаратуры (HAL).

Системные процессы

Системные процессы - это особые процессы, обслуживающие операционную систему. В ОС Windows постоянно задействованы следующие системные процессы (все они, кроме процесса system, выполняются в пользовательском режиме):

процесс idle , который состоит из одного потока, управляющего временем простоя процессора;

процесс system - специальный процесс, выполняющийся только в режиме ядра. Его потоки называются системными потоками (system threads);

процесс Session Manager (диспетчер сеансов) - SMSS.EXE;

подсистема Win32 - CSRSS.EXE;

процесс регистрации в системе - WinLogon (WINLOGON.EXE).

Можно убедиться в том, что эти системные процессы действительно выполняются в системе, посмотрев на вкладку Processes (Процессы) программы Task Manager (Диспетчер задач).

Рассмотрим некоторые из этих системных процессов.

Процесс Session Manager

Процесс Session Manager (SMSS.EXE) - один из первых процессов, создаваемых операционной системой в процессе загрузки. Он выполняет важные функции инициализации, такие как создание переменных окружения системы; задание имен устройств MS DOS, например, LPT1 и СОМ1; загрузка той части подсистемы Win32, которая относится к режиму ядра; запуск процесса регистрации в системе WinLogon.

Процесс WinLogon

Этот системный процесс управляет входом пользователей в систему и выходом из нее. Вызывается специальной комбинацией клавиш Windows Ctrl+Alt+Delete. WinLogon отвечает за загрузку оболочки Windows (обычно это Windows Explorer).

Процесс system

Процесс system состоит из системных потоков (system threads), являющихся потоками режима ядра. Windows и многие драйверы устройств создают потоки прoцecca system для различных целей. Например, диспетчер памяти формирует системные потоки для решения задач управления виртуальной памятью, диспетчер кэша использует системные потоки для управления кэш-памятью, а драйвер гибкого диска - для контроля над гибкими дисками.

Подсистема Win32

Подсистема Win32 - основной предмет нашего рассмотрения. Она является разновидностью подсистемы среды. Другие подсистемы среды Windows (не показаны на рисунке) включают POSIX и OS/2. POSIX является сокращением термина «переносимая операционная система на базе UNIX» (portable operating system based on UNIX) и реализует ограниченную поддержку операционной системы UNIX.

Назначение подсистемы среды - служить интерфейсом между пользовательскими приложениями и соответствующей частью исполнительной системы Windows. Каждая подсистема имеет свои функциональные возможности на базе единой исполнительной системы Windows. Любой выполняемый файл неразрывно связан с одной из этих подсистем. Подсистема Win32 содержит Win32 API в виде набора DLL, таких, как KERNEL32.DLL, GDI32.DLL и USER32.DLL.

В Windows NT Microsoft перенесла часть подсистемы Win32 из пользовательского режима в режим ядра. В частности, драйвер устройства режима ядра WIN32K.SYS, который управляет отображением окон, выводом на экран, вводом данных с клавиатуры или при помощи мыши и передачей сообщений. Он включает также библиотеку интерфейсов графических устройств (Graphical Device Interface library – GDL.DLL), используемую для создания графических объектов и текста.