Задание 1,1 Запустить ОС Win NT/ Запустить Task Manager. Изучить процессы, выполняемые в системе и их параметры. Опишите каждый из процессов, которые функционируют на вашем компьютере. Запустить Paint и изучить изменения(количество памяти, выделяемой этому процессу)

Диспетчер задач  — утилита для вывода на экран списка запущенных процессов и потребляемых ими ресурсов, Также есть возможность некоторой манипуляции процессами.

Windows Task Manager в Windows NT можно вызвать, одновременно нажав клавиши Ctrl+Shift+Esc. В Windows NT и в Windows XP существует более известная комбинация клавиш — Ctrl+Alt+Del. Диспетчер задач можно также запустить в командной строке, введя имя его исполняемого файла (taskmgr.exe) или выбрав соответствующий пункт в контекстном меню панели задач.

Taskmgr.exe

Процесс диспетчера задач

Wuauclt.exe

это процесс автоматического обновления операционной системы windows.

Ctfmon.exe

это процесс Windows, который контролирует “Альтернативный пользовательский ввод” (Alternative User Input), а также  “Языковую панель” (это переключатель раскладок клавиатуры, с помощью которого возможно изменять языки ввода). Также этот процесс отвечает за такие дополнительные возможности как распознавание речи и рукописного текста (особенно актуально для планшетов),  а также за использование экранной клавиатуры.

Wscntfy.exe

Центр Обеспечения Безопасности Windows. Выводит иконку в системной панели, показывающую статус Обновления, Антивирусной защиты и Брандмауэра.

Spoolsv.exe

отвечает за обработку процессов печати на локальном компьютере. В случае завершения процесса spoolsv.exe, локальный пользователь не сможет распечатывать задания на локальном принтере.

Обеспечивает создание очереди на печать, временно сохраняя документы и факсы в памяти.

Explorer.exe

Пользовательская среда, содержащая такие компоненты, как Панель задач, Рабочий стол и тому подобное

Alg.exe

Application Layer Gateway – открывает порты и изменяет данные об ip адресах и портах. Например для FTP протокола открывает динамический порт для передачи данных.

Svchost.exe

Этот всеобъемлющий процесс служит хостингом для других процессов, запускаемых с помощью DLL. Поэтому иногда работают одновременно несколько Svhost. С помощью команды > можно вывести на экран все процессы, использующие Svchost.

Lsass.exe

Lsass.exe - системный процесс Windows. Это локальный сервер проверки подлинности, порождающий процесс, ответственный за проверку пользователей в службе Winlogon. Процесс проверки производится такими библиотеками, как Msgina.dll, используемая по умолчанию. В случае успеха процесс Lsass порождает маркер доступа пользователя, который затем используется для запуска начальной пользовательской оболочки. Процессы, запускаемые пользователем, наследуют этот маркер.

Services.exe

в Microsoft Windows, сервер, реализующий технологию удалённого вызова процедур (remote procedure call — RPC). Обеспечивает создание, удаление, запуск и остановку сервисов ОС. Стартует при загрузке системы, обеспечивает работу службы Журнал событий, а также позволяет манипуляцию процессами удаленной машины. Функции данного сервера представляют интерфейс для выполнения следующих задач:

* Монтирование базы данных установленных сервисов

* Запуск сервисов при загрузке операционной системы, либо по требованию

* Получение количественной и качественной информации об установленных сервисах и системных драйверах

* Пересылка управляющих запросов запущенным сервисам

* Блокировка и разблокировка базы данных сервисов

Winlogon.exe

процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля

Csrss.exe

сокращение от Client/Server Run-time SubSystem (клиент/серверная подсистема)

Процесс отвечает за окна консоли, за создание и удаление потоков, а также частично за работу 16-битной среды MS-DOS. Он относиться к подсистеме Win32 пользовательского режима (WIN32.SYS же относиться к ядру Kernel) и должен всегда выполняться.

Smss.exe

Диспетчер сеансов запускает высокоуровневые подсистемы и сервисы. Процесс отвечает за различные действия, например запуск Winlogon и Win32 процессов, а также за операции с системными переменными. Когда Smss определяет, что Winlogon или Csrss закрыты, он автоматически выключает систему.

System

Выполняет все потоки ядра Kernel.

При запуске Paint в Диспетчере задач появляется соответствующий процесс

Mspaint.exe , визначально под. него выделяется примерно 5 мб, при выполнении каких либо действий потребляемая пам'ять увеличивается на 1-2 мб

Задание 1.2 Запустить командную строку. Вызвать команду TASKKLIST /? И изучить список допустимых параметров. Вызвать отображение списка всех процессов, которые исполняет в текущий момент локальный и удаленный компьютеры. Вывести все процессы, отвечающие следующим критериям: использование памяти, имя службы, название окна, имя dll. Вывести данные в разных форматах (“TABLE”,”LIST”,”CSV”)

Команда отображает список приложений и связанные с ними задачи/процессы, которые исполняются в текущий момент на локальном или удаленном компьютере. Формат вызова команды tasklist следующий:

TASKLIST [/S <система> [/U <имя пользователя> [/P [<пароль>]]]]

[/M [<модуль>] | /SVC | /V] [/FI <фильтр>] [/FO <формат>] [/NH]

Список параметров:

/S <система> Подключаемый удаленный компьютер.

/U [<домен>\]<пользователь> Пользовательский контекст, в котором должна выполняться эта команда.

/P [<пароль>] Пароль для этого пользовательского контекста. Запрашивает ввод пароля, если он не задан.

/M [<модуль>] Отображение всех задач, которые загрузили модули DLL, отвечающие указанному критерию. Если имя модуля не указано, отображаются все модули загруженные каждой задачей.

/SVC Отображение служб для каждого процесса.

/V Указывает, что должна отображаться подробная информация.

/FI <фильтр> Отображение списка задач, которые отвечают указанному в фильтре критерию.

/FO <формат> Описание формата выходного файла. Допустимые значения: "TABLE", "LIST", "CSV".

/NH Отключение отображения заголовка "Column Header" в выходных данных. Допустимо для форматов "TABLE" и "CSV".

Фильтры:

STATUS RUNNING | NOT RESPONDING

Imagename Имя образа

PID Значение PID

SESSION Номер сессии

SESSIONNAME Имя сессии

CPUTIME Время CPU в формате

hh:mm:ss.

hh - часы,

mm - минуты, ss - секунды

MEMUSAGE Использование памяти в KБ

USERNAME Имя пользователя в формате [<домен>\<пользователь>]

SERVICES Имя службы

WINDOWTITLE Название окна

MODULES Имя DLL

Допустимые операторы : Eq(==), ne(!=), gt(>), lt(<), ge(>=), le(<=)

Отображение списка процессов, использующих памяти больше 5000 кб:

Отображение списка процессов, использующих модули различных dll :

Отображение списка процессов с заданной службой в формате csv:

Процессы, запущенные ранее 40 минут:

Задание 1,3: Запустить командную строку. Вызвать команду TASKKILL /? И изучить список допустимых параметров. Воспроизвести операцию завершения процессов посредством различных комбинаций и поддерживаемых параметров.

Taskkill позволяет завершить один или несколько процессов. Процесс может быть завершен по имени образа или по идентификатору процесса. (Завершение удаленных процессов всегда будет принудительно)

Формат вызова команды следующий:

TASKKILL [/S <система> [/U <пользователь> [/P [<пароль>]]]]

{ [/FI <фильтр>] [/PID <процесс> | /IM <образ>] } [/F] [/T]

Список параметров:

/S /U /P /FI аналогичны tasklist

/F Принудительное завершение процесса

/PID <процесс> Идентификатор процесса, который требуется завершить.

/IM <образ> Имя образа процесса, который требуется завершить. Для указания всех процессов можно использовать символ шаблона '*'.

/T Завершение указанного процесса и всех его дочерних процессов.

Фильтры:

STATUS RUNNING | NOT RESPONDING

Imagename Имя образа

PID SESSION CPUTIME MEMUSAGE USERNAME

MODULES SERVICES - аналогично tasklist

WINDOWTITLE eq, ne Заголовок окна

Различные способы завершить процесс:

Задание 1,4 Запустить командную строку. Вызвать команду start /? и изучить список допустимых параметров.

Команда start выполняет запуск указанной программы или команды в отдельном окне. Формат вызова следующий:

START ["заголовок"] [/D путь] [/I] [/MIN] [/MAX] [/SEPARATE | /SHARED]

[/LOW | /NORMAL | /HIGH | /REALTIME| /ABOVENORMAL | /BELOWNORMAL]

[/AFFINITY <маска соответствия>] [/WAIT] [/B]

[команда/программа] [параметры]

"заголовок" Заголовок окна.

путь Рабочий каталог.

B Запуск приложения без создания нового окна с отключением обработки сочетания клавиш ^C. Если приложение не обрабатывает сочетание клавиш ^C самостоятельно, единственным способом его прерывания является использование сочетания клавиш ^Break.