Файл: Методические указания по выполнению практических работ 2 содержание введение 4 Практическая работа 1 5.pdf

36
Основноеменю (menu bar) программы Process Explorer .
Интерфейс программы (рисунок 1) достаточно прост и удобен. Имеется строка меню (menu bar), панель инструментов (toolbar) и область вывода дан- ных, представленная либо в виде иерархического списка процессов, либо в виде окна, разделенного на две половины. В верхней части - список процессов, в нижней - подробная информация о выбранном процессе - потоки, дескрипторы, открытые файлы, ключи реестра, и т.п., Представление области вывода данных можно изменить в любой момент времени нажатием комбинации CTRL+L или с использованием пункта меню "View" - "Show Lower Pane".
Рисунок 1
В верхней панели (Upper Pane) выводится информация в виде нескольких колонок, состав которых можно изменить с помощью меню "View" - "Set
Columns". По умолчанию, выбраны колонки, наиболее полно раскрывающие возможности программы.
Process- в данной колонке отображается дерево активных процессов и их потомков. Потомок (child) - процесс, созданный другим, родительским
(parent) процессом. Любой процесс может быть и потомком, если он создан в ходе выполнения другого процесса, и родителем, если в ходе его выполнения создан другой процесс. Отображение элементов дерева процессов выполняется в соответствии с порядком их запуска в ходе загрузки операционной системы и регистрации пользователя.
Корнем дерева процессов является уровень System Idle Process - состоя- ние простоя системы. Следующим элементом дерева представлен уровень
System. На самом деле, System - это не отдельно существующий реальный про- цесс, а уровень дерева, предназначенный для отображения активности системы, связанной с обработкой прерываний, работой системных драйверов, диспетчера сеансов Windows (Session Manager) smss.exe, и csrss.exe (Client - Server
Runtime). Элемент Interrupts связан с обработкой аппаратных прерываний, элемент DPCs - с обработкой отложенных вызовов процедур (Deferred

37
Procedure Calls). Механизм обработки аппаратных прерываний в Windows предполагает как бы двухуровневую обработку. При возникновении запроса на прерывание, сначала, получает управление программа-обработчик аппаратного прерывания, выполняющая лишь самые необходимые критические операции, а остальные действия откладываются до тех пор, пока не появится относительно свободное процессорное время. Тогда эти действия будут выполнены в рамках вызова отложенной процедуры. В многопроцессорных системах каждый про- цессор имеет свою отдельную очередь отложенных вызовов. Порядок обработ- ки очереди запросов на прерывание и очереди отложенных процедур определя- ется их приоритетами. Для определения приоритетов используется уровень
запроса на прерывание IRQL - программно-аппаратный механизм, применя- емый для синхронизации выполнения отдельных процессов в операционных системах семейства Windows. Уровни IRQL аппаратных прерываний задаются программированием регистров контроллера прерываний, а уровни IRQL про- граммного кода операционной системы - реализуются программно.
Степень использования ресурсов уровнем System дерева процессов, отображаемого программой Process Explorer, характеризует занятость опера- ционной системы диспетчеризацией и обработкой прерываний. Высокая сте- пень использования процессора для обработки прерываний может указывать на наличие проблем с оборудованием или некорректно работающий драйвер устройства. Обычно, это сопровождается эффектом заметного снижения общей "полезной" производительности системы.
Остальная часть дерева отображает иерархию реально выполняющихся в
Windows процессов. Так, например, приложение служб и контроллеров
SERVICES.EXE обеспечивает создание, удаление, запуск и остановку служб
(сервисов) операционной системы, что и отображается в списке порождаемых им процессов.
PID- отображается идентификатор процесса PID - уникальное десятичное число, присваиваемое каждому процессу при его создании.
CPU- отображается степень использования центрального процессора.
Private Bytes- объем оперативной памяти, выделенной данному процессу и не разделяемой с другими процессами.
Working Set- рабочий набор процесса, представляющий собой суммар- ный объем всех страниц используемой им памяти, в данный момент времени.
Размер этого набора может изменяться, в зависимости от запросов процесса.
Практически все процессы используют разделяемую память.
Description- описание процесса
Company Name- имя компании-разработчика.
Path- путь и имя исполняемого файла.
Verified Signer- признак достоверности цифровой подписи исполняемого файла. Наличие строки "Not verified" говорит о том, что цифровая подпись от- сутствует или ее не удалось проверить. Для проверки цифровой подписи нужен доступ в Интернет.

38
Process Explorer позволяет отображать практически любую, какую только возможно, информацию о процессах. Число колонок в верхней половине можно довести до нескольких десятков, однако, пользоваться таким представлением крайне неудобно. Обычно при работе с программой используется минималь- ный, установленный по умолчанию, или немного измененный набор, а для по- лучения детальной информации о процессе можно выполнить двойной щелчок на строке с его данными или через контекстное меню, вызываемое правой кнопкой мыши - пункт Properties.
Иерархический характер дерева процессов способствует визуальному восприятию родительски-дочерних отношений каждого активного процесса.
Нижняя панель дает информацию обо всех DLL, загруженных выделенным в верхней панели процессом, открытых им файлах, папках, разделах и ключах реестра. При выборе уровня System дерева процессов в нижней панели можно получить информацию обо всех загруженных драйверах системы, их описание, версию, путь исполняемого файла, адрес в оперативной памяти, размер, Кроме того, можно проверить цифровую подпись, а также просмотреть строковые значения в самом исполняемом файле или в оперативной памяти.
Задание 2.
Изучите примеры практического применения программы
Process Explorer .
Возможности программы Process Explorer во многом зависят от прав пользователя, в среде которого она выполняется. Чем выше права пользователя, тем больше у него возможностей по доступу к информации о процессах и управлению ими. Для стандартного использования программы, обычно, доста- точно прав локального администратора. В ОС Windows Vista / Windows 7 нуж- но использовать "Запуск от имени администратора". Однако, для полного до- ступа к управлению системными службами, получения дампов памяти, при- остановке сервисов или их уничтожения, этого недостаточно и требуется, что- бы программа выполнялась с правами локальной системной учетной записи
(Local System или NT AUTHORITY\SYSTEM, NT AUTHORITY\Система), под которой работает большинство системных служб Windows.
Запустить какой-либо процесс под локальной системной учетной записью можно несколькими способами. Поскольку Process Explorer является продуктом
Sysinternals, желательно, и способ его запуска с максимальными правами вы- брать с использованием другой утилиты от Sysinternals - PSExec.exe.
Примерный перечень действий:
Предполагается, что программы Sysinternals (Process Explorer и PSExec) сохранены в папке C:\SYSINTERNALS . Запустить интерпретатор командной строки cmd.exe . Для пользователей Windows Vista /Windows7 используйте контекстное меню "Запуск от имени администратора". Перейдите в каталог с программами
CD
C:\SYSINTERNALSpsexec
-i
-s
C:\SYSINTERNALS\procexp.exe Или без перехода в каталог программ:
C:\SYSINTERNALS\psexec -i –s C:\SYSINTERNALS\procexp.exe

39
Процедуру запуска Process Explorer с указанными правами можно офор- мить в виде командного файла. Для запуска от имени администратора можно использовать стандартную утилиту Windows runas.exe
При первом запуске PSExec запросит подтверждение лицензионного со- глашения. Ключ -i разрешает взаимодействие с рабочим столом, без него про- грамма будет невидимой для пользователя. Ключ -s означает выполнение про- граммы C:\SYSINTERNALS\procexp.exe с правами локальной системной учет- ной записи.
Указание полного пути исполняемого файла
C:\SYSINTERNALS\procexp.exe обязательно, поскольку PSExec инсталлирует собственную службу и именно она выполняет запуск приложения, указанного в командной строке. Для большинства случаев, текущим каталогом служб будет не ваш каталог с программами, а \Windows\system32 . Если скопировать
PSExec.exe и procexp.exe в него, то полные пути можно не указывать.
Признаком того, что Process Explorer выполняется c правами локальной системной учетной записи, является текст с именем пользователя NT
AUTHORITY\SYSTEM в заголовке окна программы.
Задание 3.
Использование Process Explorer для поиска причин замедления работы системы.
Process Explorer удобно использовать для создания комфортной работы интерактивных приложений на фоне выполнения длительных ресурсоемких за- дач. Например, когда выполняется архивирование больших файлов с использо- ванием алгоритма, требующего высокой степени использования центрального процессора. Работа пользователя за рабочим столом может сопровождаться за- медлением реакции приложений и общим "подтормаживанием" системы.
Process Explorer позволяет легко обнаружить процесс, максимально использу- ющий ресурсы CPU и, например, понизить его приоритет с уровня Normal (8) до уровня Below Normal (6) или Idle (4). В результате, работа за рабочим столом пользователя с использованием интерактивных задач, работающих с приорите- том 8 станет заметно приятней.
Несколько сложнее выглядит ситуация, когда замедление видимого быст- родействия системы не связано с выполнением ресурсоемких приложений, и сопровождается кратковременными "подвисаниями", рывками при перемеще- нии окон или даже указателя мышки.

40
На представленной картинке в колонке CPU видно, что режим ожидания
(простоя) процессора составляет 47.88%, обработка прерываний - 49.34%, оставшиеся 2.78% делятся между системными службами и задачами пользова- теля. Такая высокая степень задействования процессора обработкой прерыва- ний - это явно ненормально и говорит либо о проблемах с периферийным обо- рудованием, либо о некорректно работающем драйвере устройства. В правиль- но работающей системе на обработку прерываний отводится 1-5% в зависимо- сти от интенсивности работы. Причиной же ситуации, соответствующей сним- ку экрана, являлось работа контроллера жесткого диска в режиме программи- руемого ввода-вывода PIO, а не в режиме прямого доступа в память (DMA).
Задание 4.
Использование Process Explorer для поиска вредоносных про- грамм.
Process Explorer позволяет довольно просто обнаружить симптомы нали- чия вредоносных программ по некоторым, нехарактерным для стандартного программного обеспечения, признакам - процесс выделен фиолетовым цветом, т.е. имеет упакованный загрузочный модуль. Обычно, упаковка образов ис- пользуется для затруднения исследования приложения с помощью дизассем- блеров. Это не бесспорный признак вредоносного программного обеспечения, но факт, который должен вызвать более пристальное внимание к процессу.
Для дальнейшего анализа процесса можно воспользоваться кнопкой панели ин- струментов Properties или вызовом свойств процесса с использованием кон- текстного меню.

41
Дополнительные признаки, которые могут принадлежать вредоносной программе:
- отсутствует имя производителя.
- отсутствует цифровая подпись. Большинство производителей про- граммного обеспечения имеют сертификаты с цифровой подписью для своих программ. Для проверки подписи можно нажать кнопку Verify. Необходим до- ступ в Интернет.
- отсутствуют поля описания загрузочного образа Version и Time - в каче- стве пути исполняемого файла используется папка для хранения временных файлов (TEMP)
- имя исполняемого файла соответствует имени реально существующего файла
Windows, но путь отличается от
\WINDOWS или
\WINDOWS\SYSTEM32 Обычно характерно для вирусов, использующих для исполняемого файла имена наиболее часто встречающихся программных моду- лей - svchost.exe, smss.exe, csrss.exe, winlogon.exe и т.п.
- путь исполняемого файла совпадает
\WINDOWS или
\WINDOWS\SYSTEM32 , но имя немного отличается от распространенных имен системных файлов - swchoct.exe вместо svchost.exe и т.п.
- исполняемый файл находится в
\WINDOWS или
\WINDOWS\SYSTEM32, но дата его создания значительно отличается от даты создания остальных системных файлов и приблизительно соответствует пред- полагаемой дате заражения.
- в некоторых случаях дополнительную информацию можно извлечь с использованием вкладки String, позволяющей просмотреть значение строковых констант, используемых данным процессом.

42
Оценка практической работы преподавателем:
Наименование объек- тов контроля и оцен- ки
Основные показатели оцен- ки результата
Оценка
У2. Умение выпол- нять конфигурирова- ние аппаратных устройств;
Выполнение операций с
Process Explorer: просмотр информации о процессах; изменение приоритета про- цесса; действия с зависшим приложением.
Правильное объяснение информации о процессе -
1 6алл;
Правильное изменение приоритета процесса- 1 6алл;
Правильное действие с зависшим приложением -
1 балл.
Итого – 3 балла
За правильное выполнение практической работы выставляется положительная оценка – 3 балла.
За не правильное выполнение практической работы выставляется отрицатель- ная оценка – 0 баллов.
Практическая работа 10.Работа с файлом подкачки
Тема:
Управление виртуальной памятью
Цель:
Научиться: выполнять операции с файлом подкачки: настройка, отклю- чение или определение его размера;
Оборудование:
Программное
обеспечение:
Персональный компьютер
Операционная система Windows 7
Учебно-методическая литература
Основные источники: Партыка, Т.Д. Операционные системы, среды и оболочки [Текст] / : Учебное пособие Т.Д. Партыка, И.И. Попов – М.: ФОРУМ:
ИНФРА-М, 2010.
Электронные ресурсы: Все об операционных системах, сборник статей: режим доступа: http://topnetwork.ru
Время, отведенное на выполнение работы: 2 часа
Общие теоретические сведения
Файл подкачки – это своеобразное дополнение к оперативной памяти
(которая занимается временным хранением данных для быстрой доставки их на обработку процессору) Вашего компьютера. Даже не столько дополнение, сколько её уширение или, можно сказать, продолжение. Дело в том, что когда не хватает оперативной памяти системе некуда деваться, а виснуть, ясное дело, никому не хочется (и компьютер тому не исключение), а посему используется

43 этакая дополнительная память – файл подкачки. Казалось бы, зачем тогда опе- ративная память, если можно пользоваться жестким диском? Дело в том, что скорость работы жесткого диска, а именно чтения\загрузки туда данных и по- иска их там, значительно ниже нежели скорость оперативной памяти, а посему файл подкачки может использоваться только как помощь, но не может является заменой оперативной памяти в силу меньшей пропускной способности.
Сам по себе принцип файла подкачки направлен на разгрузку оператив- ной памяти т.е., если одновременно запустить много программ сильно загру- жающих RAM (оперативную память), то так или иначе, часть этих программ будет неактивна (свернуты или попросту не использующиеся в данный момент) и, как следствие, их данные будут выгружаться в менее быструю область, т.е. в файл подкачки, а данные активных в данный момент программ (скажем теку- щей игры) будут находится непосредственно в оперативной памяти. Когда же
Вы обратитесь к неактивной программе (т.е., например, развернете её) – данные из файла подкачки перейдут непосредственно в оперативную память дабы ускорить работу. В общих чертах всё это выглядит примерно так.
При острой нехватке в системе памяти файл подкачки используется напрямую и в него выгружаются и данные активных программ. В случае же от- сутствия\слишком маленького файла подкачки (само собой, при учете нехватки оперативной памяти) в системе может начаться куча проблем от жалоб послед- ней на отсутствие памяти и до сбоев программ\самой системы.
Ход работы
Задание.
Отключение файла подкачки
Теоретически файл подкачки совершенно не нужен, если полностью хва- тает памяти оперативной. В версиях Windows, предшествующих Vista и 7, 1-2 гигабайт оперативки было, что называется, за глаза. Для семерки нужно немно- го побольше, соответственно – 4-5 гигабайт, чтобы вообще об этом не задумы- ваться. В любом случае, вы это можете протестировать.
Если отключить файл подкачки, конечно, при условии, что у вас доста- точно много оперативки, то система должна немного ускориться. Обращение к оперативной памяти занимает значительно меньше времени, чем к разделу вин- честера. Сейчас пошагово отключим файл подкачки в Windows 7, а заодно и разберем остальные действия по оптимизации виртуальной памяти. Нажимаем правой кнопкой на значок «Компьютер», который находится на рабочем столе или в меню «Пуск». Выбираем пункт «Свойства» (рисунок 1).

44
Рисунок 1
Здесь слева выбираем «Дополнительные параметры системы». Появляется окно «Свойства системы» (рисунок 2).
Рисунок 2
Теперь нужно во вкладе «Дополнительно» выбрать кнопку «Параметры».
Здесь тоже открываем пункт «Дополнительно»(рисунок 3).