Системный процесс в Xp
P.S. ( squirL )не всегда получается называть тему по русски , и это не является во многих случиях правильным :(
У меня стоит Outhost fireWall.Довольно часто выскакивает сообщение о том что либо system кудато лезет либо лезут к нему.Собственно чем конкретно занимается данный процесс и зачем к нему лезут по разным портам, также как и он сам.Какие порты ему лучше запретить, а какие оставить ? :-?
Что-то тут не то имхо! Не замечал такого от аутпоста. Можно по подробней про этот system? Например имя образа - system, или system.exe; количество потоков, имя пользователя, приоритет и т.д.
System - это даже не процесс в обычном понимании этого слова (как исполняемый код отображенный в память). В нормальной винде - без вирей и прочей гадости, такого файла изначально нет. От этого имени (не путать с именем пользователя) действую бОльшая часть потоков системы работающих в режиме ядра. Например ntoskrnl.exe(собственно ядро) - несколько потоков, драйвера портов вв/выв, ну и конечно потоки обеспечивающие сетевой интерфейс.
Файерволл контроллирует не тот уровень, на котором работают эти потоки. Он находится уровнем выше. Возможно у вас сидит руткит, приписавший себя к имени этого процесса, но действующий не так, как нормальные потоки. Это, я бы сказал, очень плачевно: руткиты - живучая вещь.
ЗЫ Возможно я в чем-то ошибаюсь, тогда прошу меня исправить.
Возможно у вас сидит руткит, приписавший себя к имени этого процесса, но нействующий не так, как нормальные потоки.
Гы. Твои познания, конечно, впечатляют, только у Outpost есть драйвера, выполняющиеся с системыми привилегиями. Их можно увидеть, если показать скрытые устройтсва в Диспетчере устройств.
А бодяга с system у меня тоже иногда происходит. Особенно до переустановки системы так было. До сих пор не понял, в чем дело. Сейчас как-то не обращаю внимания, т. к. консоль Аутпоста по большей части не загружена, и подобные попытки гасятся без запросов. А вообще, обычный пользователь может запретить System-у вообще что-либо делать с сетью. Правда, при этом накрывается VPN. А поскольку я иногда пользуюсь VPN-ом, приходится терпеть.
только у Outpost есть драйвера, выполняющиеся с системыми привилегиями.
И?... Непонял мысли. Я что-то не вижу, где в моих словах противоречие с твоими. Можно подробности для слабоодаренных среди недоразвитых?
Насколько я знаю, такие дрова есть у каждого уважающего себя антивиря или файерволла.
ЗЫ Я не выделываюсь - мне действительно интересно.
Совсем недавно; вдруг в списке процессов firewallа появилась надпись System(без всяких .exe).Скорее всего это произошло по тому, что я задал некоторое правило для этого процесса.А задал я его, тогда когда выскочила табличка "System запрашивает входящее соединение..."(в режиме обучения).Правда дело здесь еще в том,что то правило которое я создал для этого процесса небыло в закладке System(которая появилаяь).Так какие процессы могут запускаться от System, и каким из них нужена
сеть(У меня есть ftp-серв, и p2p-сеть).Что нужно записать в этой закладке для нормальной безопасности,какие порты открыть, какие закрыть.(к System лезут по довольно большому колличеству портов)
p.s. что такое "руткиты"
Так какие процессы могут запускаться от System
Процессы - это не потоки. У них будет свое имя, даже если запустятся от sysem. А вот потоки - работают под именем system. Какие это могут быть потоки? Теоритически - любые: насколько хорошо постараестя программист, или лопухнешся ты, устанавливая что-то непонятное себе на комп.
и каким из них нужена
сеть(У меня есть ftp-серв, и p2p-сеть).
ftp - 21 порт, p2p - смотри в настройках клиента (или справке), там должно быть. Я p2p не пользуюсь, поэтому не знаю, что за порт исползуется. http - 80, e-mail - 25 и 110. Возможны и другие вариации, но это значительно реже.
Ну а как это все разрешить/запретить - разбирайся сам. Голова не только для того, что бы в нее есть.
p.s. что такое "руткиты"
Ну-у-у... Да вы лентяй молодой человек. Лень поискать в интернете слово руткит, или лучше "rootkit для windows"?
Блин, давно я не общался с аутпостом, нифига толком не помню как там что настраивается и каким макаром правила создаются.
Ну и зря,хорошая вещь.
Процессы - это не потоки.
Процесс это совокупность потоков
ftp - 21 порт, p2p - смотри в настройках клиента (или справке), там должно быть. Я p2p не пользуюсь, поэтому не знаю, что за порт исползуется. http - 80, e-mail - 25 и 110. Возможны и другие вариации, но это значительно реже.
Ну а как это все разрешить/запретить - разбирайся сам. Голова не только для того, что бы в нее есть.
Вообще я не это спрашивал.А немного другое(Это я и сам знаю)
Ну-у-у... Да вы лентяй молодой человек. Лень поискать в интернете слово руткит, или лучше "rootkit для windows"?
Ну-у-у... не сказал бы, просто почемуто в тот момент мне не пришла в голову эта идея(позно было и спать хотелось)
з.ы. Ваш комп ломали с помощью rootkit ?
Ну и зря,хорошая вещь.
Ни кто и не говорил, что плохая. У каждого свои вкусы. У меня пакет Symantec - Norton Internet Securty и антивирь.
Процесс это совокупность потоков
Да я верю, что ты это знаешь, только почему тогда путаешь?
Вообще я не это спрашивал.А немного другое(Это я и сам знаю)
Тут, мне опять становится интересно - что же имелось ввиду?
з.ы. Ваш комп ломали с помощью rootkit ?
Цитата из одной статьи на эту тему: «Ты видишь суслика? Нет. И я не вижу. А все-таки он есть!» - из ДМБ. Если и ломали, то я этого не заметил :)
Хотя, маловероятно - жестко настроенные и постоянно обновляемые файерволл и антивирь; винда пропатченная по последнему слову мелкомягких; из инета мало чего качаю, да и то только с сайтов производителей. Но вероятность, всегда есть.
Процесс это совокупность потоков
ну-ну... ребята, не мешайте теплое с мягким :)
учим матчасть. Процесс (слышите? это именно процесс) System служит носителем (родителем)потоков, работающих только в режиме ядра, — системных потоков режима ядра (kernel-mode system threads).
кто там из его детишек ломится в сеть - ща поставлю Outpost, о результатах сообщу.
з.ы.Какая служба заведует отображением пользователя в ctrl+alt+del, у меня там никого нет.
[Quote]
Кошмар!!! Система работает на автопилоте! Это видимо от того, что кто-то что-то сделал, а потом забыл как это у него получилось. Внимательно изучаем следующее: Панель управления -> Учетные записи пользователей -> Изменить способ входа в систему. Читаем справку. В ХР она очень объемная и доходчиво написанная. В частности по этому вопросу.
Прочитав данный help я не нашел нужной информации (либо чегото не поныл) о том кто и как заведуем отображением того пользователя который вошел в систему.Кстате, в графе имя пользователя, в диспечере задач, также не отображается и то,что запушено например от System.Там вообще ничего нет
:{
[/Quote]
з.ы.Что значит работает на автопилоте
Опять же отвлекаясь от темы
Для людей увлекающихся разработкой ОС.Что делает система когда процесс(1) с более высоким приоритетом запрашивает процесс(2) с более низким.Получается, что когда (1) будет ждать пока дойдет очередь до (2).А если (2) с очень низким,а (1)му нужно выполнить например функцию (2) и немедленно,что делает в таких случаях винда.?
Процесс (слышите? это именно процесс) System служит носителем (родителем)потоков, работающих только в режиме ядра, — системных потоков режима ядра (kernel-mode system threads).
До этого я сам дошел (в ходе обсуждения), кстати, я ни где не говорил, что System - это поток.
Но тем не менее, для меня на данный момент остается загадкой происхождение этого имени.
С обычными процессами дела обстоят по другому, все четко и понятно: есть исполняемый файл - его образ загружается в ОЗУ, соответственно имеем имя процесса равное имени файла (обычно). Далее - начинается выполнение процесса с запуска его потока (или потоков). Потоки уже имеют имена с обозначенными точками входа, понятно, что их родителем является загруженный в ОЗУ процесс. Верно мыслю?
С System - имеем имя процесса, при этом не имеем исполняемого файла, имеем пару десятков потоков точки входа в которые находятся в самых разных библиотеках и ядре (ntoskrnl.exe), которое при этом вроде как даже и не в ОЗУ (чушь выходит)!
Вопросы: откуда берется собственно имя System, откуда проецируется в ОЗУ его образ и как он может быть родителем потоков из ntoskrnl.exe (это же не библиотека!).
System - это "псевдоним" ядра? :)
Главный вопрос: где про это можно почитать (конкретно про System)? Желательно на русском. Что-то я не могу найти хоть что-нибудь дельное на эту тему. Даже у мелкомягких.
Немного отклоняюсь от темы,но иначе мне не посмотреть какие потоки запущены от System.
При чем здесь это? Имя пользователя - это вторая колонка (по умолчанию) на вкладке "Процессы" диспетчера задач. Если у тебя и ее нет, то выбери в диспетчере Вид->Выбрать столбцы, и понавыбирай чего твоей душе угодно.
Но, раз уж на то пошло:
Прочитав данный help я не нашел нужной информации (либо чегото не поныл) о том кто и как заведуем отображением того пользователя который вошел в систему.
Плохо читал. Теперь подробнее: "Панель управления -> Учетные записи пользователей -> Изменить способ входа в систему" Выбираешь галки "Использовать страницу приветствия" и "Использовать быстрое переключение пользователей". В диспетчере задач появляется вкладка "Пользователи".
Кстате, в графе имя пользователя, в диспечере задач, также не отображается и то,что запушено например от System.
:{
Это естественно :) Диспетчер задач такого и не умеет. Читал, то что написал squirL? Видимо нет.
Качай procexp - он маленький, та версия что у меня, занимает 184 kb.
Там вообще ничего нет
???
Опять же отвлекаясь от темы
Что делает система когда процесс(1) с более высоким приоритетом запрашивает процесс(2) с более низким.Получается, что когда (1) будет ждать пока дойдет очередь до (2).А если (2) с очень низким,а (1)му нужно выполнить например функцию (2) и немедленно,что делает в таких случаях винда.?
Самому интересно. Надо посмотреть.
про почитать.
я выкладывал вроде ссылку на бумажное издание Windows 2000 Inside by Russinovich & Solomonю. так вот я встречал в инете эту книгу в PDF. только она метров 30 весит. если можете - качайте.
Originally posted by pacific_7
Но, раз уж на то пошло:
Плохо читал. Теперь подробнее: "Панель управления -> Учетные записи пользователей -> Изменить способ входа в систему" Выбираешь галки "Использовать страницу приветствия" и "Использовать быстрое переключение пользователей". В диспетчере задач появляется вкладка "Пользователи".
Мне не нужно быстрое пнреключение пользователей.Во первых это лишняя служба,во вторых у меня один пользователь.(Или этаже служба заведует отображением пользователей ?)
Originally posted by pacific_7
Это естественно :) Диспетчер задач такого и не умеет. Читал, то что написал squirL? Видимо нет.
Качай procexp - он маленький, та версия что у меня, занимает 184 kb.
Как это не умеет в графе имя пользователя он пишет либо System,либо твое имя пользователя.Или я чегото не понимаю
Originally posted by pacific_7
???
см. picture
Мне не нужно быстрое пнреключение пользователей....(Или этаже служба заведует отображением пользователей ?)
Попал точно в цель! И она у тебя запущена т.к. в диспетчере отображается вкладка "пользователи". Ты ведь сам ее не выключал?
Как это не умеет в графе имя пользователя он пишет либо System,либо твое имя пользователя.Или я чегото не понимаю
Ты бы раньше скриншоты выложил!
Мы оба не понимаем :) Я имел ввиду, не имена, от которых запущены процессы, а имена потоков в этих процессах, вернее точки входа в них. Ты все же зря игнорируешь совет squirL. Качай procexp, при чем немедленно! Внимательно изучай его возможности, ну и далее, по вышеприведенной инструкции.
У тебя ADSL?
см. picture
[color=blue]squirL[/color] вы ЭТО видели?!! Я такого еще ни где не наблюдал. Либо, я чего-то очень глубоко не знаю - как можно самому случайно так систему закурочить, либо у Mt_ все же что-то недоброе работает, либо молодой человек хочет жестоко приколоться.
про почитать.
я выкладывал вроде ссылку на бумажное издание Windows 2000 Inside by Russinovich & Solomonю. так вот я встречал в инете эту книгу в PDF. только она метров 30 весит. если можете - качайте.
Спасибо. Кто ж знал, что это есть в этой книжке. Попробуем качнуть на днях.
А ответ на первый вопрос?
Попал точно в цель! И она у тебя запущена т.к. в диспетчере отображается вкладка "пользователи". Ты ведь сам ее не выключал?
Как раз именно это я и сделал.:). А эта служба много жрет системнвх ресурсов.
Ты бы раньше скриншоты выложил!
Мы оба не понимаем :) Я имел ввиду, не имена, от которых запущены процессы, а имена потоков в этих процессах, вернее точки входа в них. Ты все же зря игнорируешь совет squirL. Качай procexp, при чем немедленно! Внимательно изучай его возможности, ну и далее, по вышеприведенной инструкции.
У тебя ADSL?
Я и не игнорировал его.Я скачал procexp по первому же совету.Хорошая прожка.Спасибо
Ну ACSL, а что ? :)
[color=blue]squirL[/color] вы ЭТО видели?!! Я такого еще ни где не наблюдал. Либо, я чего-то очень глубоко не знаю - как можно самому случайно так систему закурочить, либо у Mt_ все же что-то недоброе работает, либо молодой человек хочет жестоко приколоться.
Можно по подробнее.Я что-то не въехал.Что у меня не так ?
скриншоты почему то не просатриваются. коллега, вы бы их прикрепили прямо на страницу, в каком нибудь убогом формате :) моя рабочая "лошадка" обладает оч. скромными возможностями.
службу переключения пользователей - ффтопку :) не нужна.
Originally posted by squirL
А что нужно чтобы показывалось имя пользователя и т.д. см. picture
скриншоты почему то не просатриваются. коллега, вы бы их прикрепили прямо на страницу, в каком нибудь убогом формате :) моя рабочая "лошадка" обладает оч. скромными возможностями.
Чегото не понял.Вы не можите посмотреть *.jpg(Если нечем,то вот acdsee.30.rar , если нет winrara тогда WinRar 3.20.rar ) или я чегото не понял ?
Originally posted by squirL
А что нужно чтобы показывалось имя пользователя и т.д. см. picture
Чегото не понял.Вы не можите посмотреть *.jpg(Если нечем,то вот acdsee.30.rar , если нет winrara тогда WinRar 3.20.rar ) или я чегото не понял ?
да все это было... сглюкало что-то. посмотрел уже :) действительно странно. пока в растерянности
службу переключения пользователей - ффтопку не нужна.
Естессно - ффтопку :) При чем, в одну из первых очередей. Просто без нее нет вкладки "Пользователи" - на время, эксперимента ради, можно запустить.
Причем пишет что в область этого заблокированного процесса...
Какого заблокированного процесса? Что то я не понял - можно пояснее.
Возможно procexp создает системную ловушку, т.е. загружает в память dll, которая проецируется в память всех потоков в системе. Видимо именно библиотека воспринимается как "запись".
Ну ACSL, а что ?
Завидно ;). А если серьезно, то есть spyware имеющий те же имена файлов, что и ПО для ADSL. Вот и решил узнать - действительно ли в списке процессов то, что должно быть.
Можно по подробнее.Я что-то не въехал.Что у меня не так ?
Да вот все то-же. Практически полное отсутствие имен пользователей в списке процессов и полное отсутствие пользователей на вкладке "пользователи". Такого быть не должно - во всяком случае просто так, вдруг. Система сама так глючить не может принципиально.
Ты помнишь, какие службы ты отключал? Если отключал конечно. Может чего лишнего выключил? Хотя я даже не подозреваю, что это за служба может быть. Совершенно непонятно, почему в "имя пользователя" отображается только один пользователь - по идее, либо все, либо никого.
Будем думать.
squirL - большое спасибо за ссылку в разделе книг. Я вчера так и не нашел электронной версии.
Естессно - ффтопку :) При чем, в одну из первых очередей. Просто без нее нет вкладки "Пользователи" - на время, эксперимента ради, можно запустить.
Без нее как видно есть вкладка пользователи.Запускал не помогает.
Какого заблокированного процесса? Что то я не понял - можно пояснее.
FireWall блокирует сетевой доступ для тех процессов в которых произошли изменения, т.е. к ним чегото дописали.
Возможно procexp создает системную ловушку, т.е. загружает в память dll, которая проецируется в память всех потоков в системе. Видимо именно библиотека воспринимается как "запись".
Возможно.А что это за dll.И что за системная ловушка.Зачем она нужна.
Завидно ;). А если серьезно, то есть spyware имеющий те же имена файлов, что и ПО для ADSL. Вот и решил узнать - действительно ли в списке процессов то, что должно быть.
UNLIM :D
А насчет этого.Попробую переустановить с полным удалением старого вдруг и вправде что-то есть.(з.ы. Никто не всречался с вирусом, внезапно начинает играть музыка.Маленький кусочек много раз.И не как не вырубить.После перезагрузки все пропало и больше не появлялось.Norton ни чего не находил когда играла музыка.)
Да вот все то-же. Практически полное отсутствие имен пользователей в списке процессов и полное отсутствие пользователей на вкладке "пользователи". Такого быть не должно - во всяком случае просто так, вдруг. Система сама так глючить не может принципиально.
Ты помнишь, какие службы ты отключал? Если отключал конечно. Может чего лишнего выключил? Хотя я даже не подозреваю, что это за служба может быть.
Про службы конечно помню, вот см. picture
Совершенно непонятно, почему в "имя пользователя" отображается только один пользователь - по идее, либо все, либо никого.
Будем думать.
Чего-то не понял.Что значит что там отображается либо все, либо ничего.Во вкладке "имя пользователя" отображается только те пользователи, которые вошли в систему.У меня там никого.
Без нее как видно есть вкладка пользователи.Запускал не помогает.
У меня нет. На нормальной системе такого быть не должно.
Возможно.А что это за dll.И что за системная ловушка.Зачем она нужна.
Если подробно, то долго объяснять. В общем - что бы можно было получить доступ из одного приложения к данным другого.
Подробно - см. в Джеффри Рихтер, "Создание эффективных WIN32-приложений
с учетом специфики 64-разрядной версии Windows"
Чего-то не понял.Что значит что там отображается либо все, либо ничего.Во вкладке "имя пользователя" отображается только те пользователи, которые вошли в систему.У меня там никого.
"имя пользователя" - это не вкладка, а столбец в диспетчере задач, на вкладке процессы.
ИМХО: кто-то пытается заморочить другим голову. :D
У меня нет. На нормальной системе такого быть не должно.
Тогда что у меня ?
"имя пользователя" - это не вкладка, а столбец в диспетчере задач, на вкладке процессы.
Спасибо, я знаю.
ИМХО: кто-то пытается заморочить другим голову. :D
Скорее кто-то плохо объясняет :D , с вытекающими последствиями.
Тогда что у меня ?
Элементарно: ненормальная система! :D
Какой SP?
Усё, флуд попер, поря закругляться:
Скорее кто-то плохо объясняет :D , с вытекающими последствиями.
А тут особо и не стремятся объяснять - для этого книжки есть и, возможно, преподаватели. Это форум, тут делятся мнением и дают советы.