Professional Documents
Culture Documents
3.2.11 Lab - 3.2.11 Lab - Exploring Processes, Threads, Handles, and Windows Registry
3.2.11 Lab - 3.2.11 Lab - Exploring Processes, Threads, Handles, and Windows Registry
Необхідні ресурси
1. ПК Windows з доступом до Інтернету
d. Щоб знайти процес веб-браузера, перетягніть піктограму Find Window's Process ( ) (Знайти
процес по вікну) у відкрите вікно веб-браузера. У цьому прикладі використовується Microsoft Edge.
e. Процес Microsoft Edge можна завершити із Process Explorer. Клацніть правою кнопкою миші на
вибраному процесі та виберіть Kill Process (Видалити процес).
b. Перетягніть піктограму Find Window's Process ( ) (Знайти процес за вікном) у вікні Command
Prompt (Командний рядок) і знайдіть виділений процес у Process Explorer.
c. Процес для вікна Command Prompt (Командний рядок) – cmd.exe. Батьківський процес -
explorer.exe. Процес cmd.exe має дочірній процес conhost.exe.
d. Перейдіть до вікна Command Prompt (Командний рядок). Запустіть ping у командному рядку та
простежте за змінами у процесі cmd.exe.
Що сталося під час виконання ping?
Повысилась нагрузка на CPU
e. Переглядаючи список активних процесів, ви побачите дочірній процес conhost.exe, який може
здатися підозрілим. Щоб перевірити наявність шкідливого вмісту, клацніть правою кнопкою миші
conhost.exe і виберіть Check VirusTotal (Перевірити VirusTotal). Якщо з'явиться запит, натисніть Yes
(Так), щоб прийняти умови використання VirusTotal. Натисніть кнопку OK у відповідь на запит.
f. Розгорніть вікно Process Explorer або прокрутіть праворуч, доки не з'явиться стовпець VirusTotal.
Клацніть посилання у стовпці VirusTotal. Результати шкідливого вмісту conhost.exe відкриваються у
веб-браузері за промовчанням.
g. Клацніть правою кнопкою миші на cmd.exe і виберіть Kill Process (Видалити процес). Що сталося із
дочірнім процесом conhost.exe?
Conhost.exe закрылся вместе с Cmd.exe, но позже открылся без Cmd.exe
c. Перегляньте відомості про потік. Яка інформація доступна у вікні Properties (Властивості)?
Во вкладке Свойства можно узнать такие данные, как: Идентификатор потока, Время
начала, Разрешения и какой стоит Приоритет для данного процесса
b. На попередньому кроці ви ухвалювали ліцензійну угоду для Process Explorer. Перейдіть до розділу
реєстру EulaAccepted Process Explorer.
Виберіть HKEY_CURRENT_USER > Software > Sysinternals > Process Explorer. Прокрутіть вниз, щоб
знайти параметр EulaAccepted. В даний час для параметра EulaAccepted встановлено значення
0x00000001(1).
c. Двічі клацніть параметр реєстру EulaAccepted. На даний момент параметр має значення 1.
Значення 1 означає, що ліцензійна угода була прийнята користувачем.
d. Змініть значення 1 на значення 0 у полі Value (Значення). Значення 0 вказує на те, що EULA не
було прийнято. Щоб продовжити, натисніть OK.
Яке значення для цього розділу реєстру відображається у стовпці даних?
e. Відкрийте Process Explorer. Перейдіть до папки, куди було завантажено пакет SysInternals.
Відкрийте папку SysInternalsSuite, а потім відкрийте procexp.exe.
Що ви бачите під час відкриття Process Explorer?
Процесс дублируется