Что такое системные процессы. Как выявить вирус, маскирующийся под системный процесс svchost

    системный процесс - Процесс обработки данных, в виде которого функционируют определенные компоненты управляющей программы. [ГОСТ 19781 90] Тематики обеспеч. систем обраб. информ. программное EN system processsystem task …

    Системный процесс - 87. Системный процесс System task System process Процесс обработки данных, в виде которого функционируют определенные компоненты управляющей программы Источник: ГОСТ 19781 90: Обеспечение систем обработки информации программное. Термины и… …

    Процесс запуска Windows NT это процесс инициализации операционных систем Microsoft Windows NT, Windows 2000, Windows XP и Windows Server 2003. В Windows Vista процесс сильно изменён (см. Windows Vista startup process). Содержание 1 Фаза… … Википедия

    процесс системного ввода - Системный процесс, предназначенный для автоматического ввода в систему обработки информации пакета заданий через назначенное этому процессу устройство ввода вывода. Примечание Процесс системного ввода в некоторых системах обработки информации… … Справочник технического переводчика

    процесс системного вывода - Системный процесс, предназначенный для автоматического вывода определенной части результатов выполнения заданий наряду с сообщениями управляющей программы через назначенное этому процессу устройство ввода вывода. [ГОСТ 19781 90] Тематики обеспеч … Справочник технического переводчика

    процесс - 4.25 процесс (process): Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующих входы в выходы. [ИСО 9000:2005] Источник … Словарь-справочник терминов нормативно-технической документации

    Процесс системного ввода - 88. Процесс системного ввода System reader (task) Системный процесс, предназначенный для автоматического ввода в систему обработки информации пакета заданий через назначенное этому процессу устройство ввода вывода. Примечание. Процесс системного… … Словарь-справочник терминов нормативно-технической документации

    Процесс системного вывода - 89. Процесс системного вывода System writer (task) Системный процесс, предназначенный для автоматического вывода определенной части результатов выполнения заданий наряду с сообщениями управляющей программы через назначенное этому процессу… … Словарь-справочник терминов нормативно-технической документации

    Системный подход направление методологии научного познания, в основе которого лежит рассмотрение объекта как системы: целостного комплекса взаимосвязанных элементов (И. В. Блауберг, В. Н. Садовский,… … Википедия

    1) в узком смысле совокупность методологич. средств, используемых для подготовки и обоснования решений по сложным проблемам политич., воен., социального, экономич., науч., тех нйч. характера. 2) В широком смысле термин «С. а.» иногда… … Философская энциклопедия

    Направление методологии специально науч. познания и социальной практики, в основе которого лежит исследование объектов как систем. С. п. способствует адекватной постановке проблем в конкретных науках и выработке эффективной стратегии их… … Философская энциклопедия

Книги

  • Процесс формирования научного знания (онтологический, гносеологический и логический аспекты). Монография , Кондауров В.И.. В монографии дан подробный системный анализ познавательного процесса в единстве его онтологического, гносеологического и логического аспектов. Многоаспектное содержание идеи целостного,…
  • Системный PR , Ротовский А.А.. В данной книге показан PR как, прежде всего, системный, целостный и связанный с общей системой целей маркетинга и менеджмента процесс. Специально внимание было сфокусировано не на новациях…
12597

К ак правило, большинство троянских и шпионских программ стараются скрыть своё присутствие на компьютере для чего прибегают к различного рода хитростям, например, тщательно прячут свои процессы либо маскируются под процессы системные. Потенциальной «жертвой» вируса может стать любой системный процесс, но чаще всего вредоносные программы прикрываются маской процесса svchost .

И на это у них есть свои причины. Дело в том, что svchost запускается в нескольких экземплярах внешне практически ничем неотличимых друг от друга, так что если в Диспетчере задач появится ещё один процесс svchost, а их число может достигать нескольких десятков, особого подозрения со стороны пользователя это не вызовет. Но если они одинаковы, как определить, какой из них является настоящим, а какой волком в овечьей шкуре?

Оказывается, что не так уже и сложно, но перед тем как приступать к их идентификации, позвольте пару слов о самом процессе svchost. Как видно из его полного названия Generic Host Process for Win32 Services , отвечает он за работу служб и сервисов, причём как системных, так и сторонних, использующих динамические библиотеки DLL , которые в свою очередь составляют немалую часть файлов Windows и прикладных программ.

Этот процесс настолько важен, что если файл будет повреждён, Windows не сможет нормально работать. В работающей системе присутствует как минимум четыре экземпляра процесса svchost, но их может быть и значительно больше. Необходимость такого дублирования объясняется количеством обслуживаемых процессом служб и сервисов, а также необходимостью обеспечения стабильности системы.

Итак, как же узнать, является ли svchost настоящим? Первым критерием подлинности файла является его месторасположение. Его законным местом обитания являются следующие папки:

C:/WINDOWS/system32
C:/Windows/SysWOW64
C:/WINDOWSPrefetch
C:WINDOWS/ServicePackFiles/i386
С:/WINDOWS/winsxs/*

П римечание: звёздочка в конце пути С:/WINDOWS/winsxs обозначает, что в папке winsxs может быть ещё один каталог. Как правило, он имеет длинное название из набора символов, например, amd64_3ware.inf.resources_31bf3856ad364e35_6.3.9600.16384_ru-ru_7f622cb60fd30b1c . В виде исключения из правил файл может располагаться в каталоге антишпионской программы Malwarebytes Anti-Malware .

Если же он обнаружится в какой-нибудь другой папке, особенно в корневой Windows или в «Пользователи» , то скорее всего вы имеете дело с маскирующимся вирусом. Проверить расположение файла можно из Диспетчера задач , кликнув по процессу правой кнопкой мыши и выбрав в меню опцию либо с помощью сторонних утилит вроде Process Explorer . Используя сторонние файловые менеджеры, также можно выполнить поиск всех файлов по маске.

Последний способ не столь надёжен, так как подделывающийся под процесс svchost вирус может использовать более хитрый способ маскировки. Так, в имени файла одна из латинских букв может быть заменена кириллической. Внешне такой файл ничем не будет отличаться от настоящего , более того, он может располагаться в том же каталоге, что и «правильный» . Впрочем, проверить его подлинность не составляет особого труда. Достаточно сравнить коды символов имени файла воспользовавшись таблицей символов Юникода . Иногда в название файла svchost добавляется лишняя буква, либо наоборот, пропускается. Невнимательный пользователь может и не заметить разницу между, скажем, и svhost.exe .

Тем не менее, спешить удалять подозрительный svchost сходу не стоит. Для начала неплохо было бы проверить его на мульти антивирусном сервисе вроде VirusTotal и, если подозрительный файл окажется подделкой, хотя одна из антивирусных программ выдаст положительный результат. Вредоносный файл, маскирующийся под svchost удаляем с помощью Dr.Web LiveDisk либо утилиты AVZ . Если будете использовать AVZ , вам также понадобиться специальный скрипт, скачать который можно по ссылке ниже.

Термин «сервис» имеет в среде Windows множество значений. Ниже представлены некоторые из них, имеющие отношение к рассматриваемой теме:

    Сервис АРI - функция или подпрограмма API, которая реализует некоторое действие (сервис) операционной системы, такое как создание файла или работа с графикой (рисование линий или окружностей). Например, функция API Crea t eProcess используется в Windows для создания нового процесса;

    системный сервис - недокументированная функция, которая может вызываться из пользовательского режима. Эти функции часто используются функциями Win32 API для предоставления низкоуровневых сервисов. Например, функция API CreateProcess для реального создания процесса вызывает системный сервис NTCreateProcess ;

    внутренний сервис - функция или подпрограмма, которая может вызываться только из кода, выполняемого в режиме ядра. Эти функции относятся к низкоуровневой части кода Windows: к исполнительной системе Windows NT, к ядру или к слою абстрагирования от аппаратуры (HAL).

Системные процессы

Системные процессы - это особые процессы, обслуживающие операционную систему. В ОС Windows постоянно задействованы следующие системные процессы (все они, кроме процесса system, выполняются в пользовательском режиме):

    процесс idle , который состоит из одного потока, управляющего временем простоя процессора;

    процесс system - специальный процесс, выполняющийся только в режиме ядра. Его потоки называются системными потоками (system threads);

    процесс Session Manager (диспетчер сеансов) - SMSS.EXE;

    подсистема Win32 - CSRSS.EXE;

    процесс регистрации в системе - WinLogon (WINLOGON.EXE).

Можно убедиться в том, что эти системные процессы действительно выполняются в системе, посмотрев на вкладку Processes (Процессы) программы Task Manager (Диспетчер задач).

Рассмотрим некоторые из этих системных процессов.

Процесс Session Manager

Процесс Session Manager (SMSS.EXE) - один из первых процессов, создаваемых операционной системой в процессе загрузки. Он выполняет важные функции инициализации, такие как создание переменных окружения системы; задание имен устройств MS DOS, например, LPT1 и СОМ1; загрузка той части подсистемы Win32, которая относится к режиму ядра; запуск процесса регистрации в системе WinLogon.

Процесс WinLogon

Этот системный процесс управляет входом пользователей в систему и выходом из нее. Вызывается специальной комбинацией клавиш Windows Ctrl+Alt+Delete. WinLogon отвечает за загрузку оболочки Windows (обычно это Windows Explorer).

Процесс system

Процесс system состоит из системных потоков (system threads), являющихся потоками режима ядра. Windows и многие драйверы устройств создают потоки прoцecca system для различных целей. Например, диспетчер памяти формирует системные потоки для решения задач управления виртуальной памятью, диспетчер кэша использует системные потоки для управления кэш-памятью, а драйвер гибкого диска - для контроля над гибкими дисками.

Подсистема Win32

Подсистема Win32 - основной предмет нашего рассмотрения. Она является разновидностью подсистемы среды. Другие подсистемы среды Windows (не показаны на рисунке) включают POSIX и OS/2. POSIX является сокращением термина «переносимая операционная система на базе UNIX» (portable operating system based on UNIX) и реализует ограниченную поддержку операционной системы UNIX.

Назначение подсистемы среды - служить интерфейсом между пользовательскими приложениями и соответствующей частью исполнительной системы Windows. Каждая подсистема имеет свои функциональные возможности на базе единой исполнительной системы Windows. Любой выполняемый файл неразрывно связан с одной из этих подсистем. Подсистема Win32 содержит Win32 API в виде набора DLL, таких, как KERNEL32.DLL, GDI32.DLL и USER32.DLL.

В Windows NT Microsoft перенесла часть подсистемы Win32 из пользовательского режима в режим ядра. В частности, драйвер устройства режима ядра WIN32K.SYS, который управляет отображением окон, выводом на экран, вводом данных с клавиатуры или при помощи мыши и передачей сообщений. Он включает также библиотеку интерфейсов графических устройств (Graphical Device Interface library – GDL.DLL), используемую для создания графических объектов и текста.

Программы для Windows 7 или любой другой версии, включая собственные инструменты системы на все случаи жизни, сегодня настолько разнообразны, что пользователи зачастую не знают, для чего они предназначены. Особое непонимание связано с системными процессами, которые могут работать в фоновом режиме. Одной из таких служб является процесс с отвечающим за него исполняемым файлом MRT.exe. Что это за инструмент системы, многие пользователи даже понятия не имеют. Именно поэтому далее предлагается разобраться, что это такое и для чего он нужен.

MRT.exe: что это за служба?

Название исполняемого файла является аббревиатурой, обозначающей встроенный защитный инструмент системы под названием Microsoft Removal Tool. Исходя из этого, нетрудно сделать вывод о том, что это некое подобие антивирусного сканера, которое призвано обеспечить защиту системы от разного рода угроз.

Однако не все так просто. Самая главная проблема этой службы связана только с тем, что она неспособна определять угрозы на входе и защищать систему в реальном времени, а применяется исключительно для сканирования, обнаружения и удаления вирусов или в уже зараженной ОС. Это основная задача сканера MRT.exe. Что это с точки зрения общей безопасности? Тут можно провести самую простую аналогию с портативными вроде Kaspersky Virus Removal Tool или еще с чем-то подобным. Только вот функциональность данного апплета вызывает достаточно большие сомнения.

Как использовать этот инструмент?

Что касается выполнения штатной проверки, достаточно просто запустить программу в виде EXE-файла или изначально загрузить пакет KB890830 с официального сайта корпорации Microsoft.

После старта приложение предложит несколько вариантов сканирования: быстрое, полное и выборочное. После выбора одного из вариантов стартует проверка. Если какие-либо угрозы или подозрительные элементы будут найдены, программа при выдаче результата оповестит пользователя об их наличии и местоположении зараженных или вирусных объектов.

Вопросы отключения и удаления процесса

Но это только часть вопроса, касающегося службы MRT.exe. Что это такое, разобрались. Теперь посмотрим, можно ли убрать этот компонент из системы.

Действительно, данный апплет обязательным для Windows не является, поэтому удалить его можно без всяких проблем. Сам процесс сначала завершается в «Диспетчере задач», после чего в разделе установленных обновлений деинсталлируется вышеуказанный пакет обновления, который можно найти в списке установленных апдейтов в разделе программ и компонентов. Также можно обратиться и к «Центру обновления».

Как определить, что это вирус?

К сожалению, несмотря на все усилия специалистов Microsoft по созданию надежного средства выявления угроз, современные вирусы научились маскироваться под сам системный сканер, что вызывает массу проблем.

Определить, что в системе завелся одноименный вирус, можно совершенно элементарно, используя для этого «Диспетчер задач». В нем при ПКМ на названии процесса выбирается пункт показа местоположения отвечающего за него файла и папки.

Файл оригинальной службы расположен по пути c:\Windows\System32\MRT.exe или по тому же пути, но в папке MRT. Если для выявленного процесса указан другой путь, можете не сомневаться, что это именно вирус. Для его нейтрализации, если это возможно, нужно сразу же удалить основную директорию и все ее компоненты, а также использовать портативный сканер для полного удаления угрозы из системы.

И помните о том, что в вопросах защиты полагаться только на этот сканер не имеет никакого смысла. Как уже было сказано, он по принципу работы ориентирован исключительно на поиск угроз в уже зараженных ОС и совершенно не годится для предотвращения их проникновения в систему. Поэтому наличие штатного антивирусного средства с проактивной защитой обязательно.

Системные процессы

Системные процессы являются частью ядра и всегда расположены в оперативной памяти. Системные процессы не имеют соответствующих им программ в виде исполняемых файлов и запускаются особым образом при инициализации ядра системы. Выполняемые инструкции и данные этих процессов находятся в ядре системы, таким образом они могут вызывать функции и обращаться к данным, недоступным для остальных процессов. Системными процессами являются: shed (диспетчер свопинга), vhand (диспетчер страничного замещения), bdfflush (диспетчер буферного кэша) и kmadaemon (диспетчер памяти ядра). К системным процессам следует отнести ink, являющийся прародителем всех остальных процессов в UNIX. Хотя init не является частью ядра, и его запуск происходит из исполняемого файла (/etc/init ), его работа жизненно важна для функционирования всей системы в целом.

Из книги Прикладные свободные программы и системы в школе автора Отставнов Максим

1.6 Процессы Наряду с файлом, понятие процесса является важнейшим в концепции открытых операционных систем.Процесс - это обладающая уникальным идентификатором единица исполняемого кода в памяти.Подавая простую команду из оболочки, оператор дает ОС указание запустить

Из книги Свободные программы и системы в школе автора Отставнов Максим

1.6 Процессы Наряду с файлом, понятие процесса является важнейшим в концепции открытых операционных систем.Процесс – это обладающая уникальным идентификатором единица исполняемого кода35 в памяти.Подавая простую команду из оболочки, оператор дает ОС указание запустить

Из книги Архитектура операционной системы UNIX автора Бах Морис Дж

2.2.2 Процессы

Из книги ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ ВСТРОЕННЫХ СИСТЕМ. Общие требования к разработке и документированию автора Госстандарт России

12.3.3.4 Фиктивные процессы Когда ядро выполняет переключение контекста в однопроцессорной системе, оно функционирует в контексте процесса, уступающего управление (см. главу 6). Если в системе нет процессов, готовых к запуску, ядро переходит в состояние простоя в контексте

Из книги Журнал "Компьютерра" №710 автора Журнал «Компьютерра»

Из книги Энциклопедия разработчика модулей ядра Linux автора Померанц Ори

Из книги Linux-сервер своими руками автора Колисниченко Денис Николаевич

Из книги Основы AS/400 автора Солтис Фрэнк

5 Процессы 5.1. Системные вызовы fork() и ехес() Процесс в Linux (как и в UNIX) - это программа, которая выполняется в отдельном виртуальном адресном пространстве. Когда пользователь регистрируется в системе, под него автоматически создается процесс, в котором выполняется оболочка

Из книги QNX/UNIX [Анатомия параллелизма] автора Цилюрик Олег Иванович

Процессы в MI Процесс в MI - это системный объект, называемый пространством управления процессом. Обратите внимание, что эквивалентного объекта OS/400 нет. (Мы еще поговорим об этом в разделах, посвященных управлению работами). Задача процесса в MI - связать воедино ресурсы,

Из книги Введение в QNX/Neutrino 2. Руководство по программированию приложений реального времени в QNX Realtime Platform автора Кёртен Роб

Процессы Создание параллельных процессов настолько полно описано в литературе по UNIX, что здесь мы приведем лишь минимально необходимый беглый обзор, останавливаясь только на отличительных особенностях ОС QNX.Всякое рассмотрение предполагает наличие системы понятий.

Из книги Linux глазами хакера автора Флёнов Михаил Евгеньевич

Периодические процессы Так как же обеспечивается «периодическая» работа системы диагностики? Можно вообразить себе некоторый процесс, выполняемый процессором нашего автомобиля и делающий нечто подобное следующему:// Процесс диагностикиint main(void) // Игнорируем

Из книги Операционная система UNIX автора Робачевский Андрей М.

3.4. Процессы Для того чтобы эффективно управлять своим компьютером, вы должны досконально изучить свой сервер и работающие на нем процессы. Взломав ваш сервер, злоумышленник постарается запустить на нем какую-либо программу, которая незаметно будет выдавать хакеру права

Из книги UNIX - универсальная среда программирования автора Пайк Роб

Процессы Процессы в операционной системе UNIX играют ключевую роль. От оптимальной настройки подсистемы управления процессами и числа одновременно выполняющихся процессов зависит загрузка ресурсов процессора, что в свою очередь имеет непосредственное влияние на

Из книги автора

Программы и процессы Обычно программой называют совокупность файлов, будь то набор исходных текстов, объектных файлов или собственно выполняемый файл. Для того чтобы программа могла быть запущена на выполнение, операционная система сначала должна создать окружение или

Из книги автора

Процессы В главе 1 уже упоминались процессы. Однако знакомство ограничивалось пользовательским, или командным интерфейсом операционной системы. В этом разделе попробуем взглянуть на них с точки зрения программиста.Процессы являются основным двигателем операционной