Лабораторна робота.

Вивчення процесів, потоків,

дескрипторів та реєстру Windows
Завдання
У цій лабораторній роботі ви вивчатимете процеси, потоки та дескриптори за допомогою засобу
Process Explorer, що входить до складу SysInternals Suite. Також ви змінюватимете параметри реєстру
Windows.
Частина 1. Вивчення процесів
Частина 2. Вивчення потоків та дескрипторів
Частина 3. Вивчення реєстру Windows

Необхідні ресурси
 1. ПК Windows з доступом до Інтернету

Часть 1: Вивчення процесів

У цій частині лабораторної роботи ви вивчатимете процеси. Процеси – це запущені програми або
програми. Ви вивчатимете процеси за допомогою Process Explorer, що входить до складу Windows
Sysinternals Suite. Ви також запускатимете новий процес і спостерігатимете за ним.

Шаг 1: Завантажте Windows SysInternals Suite.

a. Перейдіть за наступним посиланням, щоб завантажити Windows Sysinternals Suite:
https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
b. Після завантаження вийміть файли з папки.
c. Не закривайте веб-браузер, він знадобиться для виконання наступних кроків.

Шаг 2: Вивчіть властивості будь-якого активного процесу.

a. Перейдіть до папки SysinternalsSuite, яка містить вилучені файли.
b. Відкрийте procexp.exe. Прийміть ліцензійну угоду Process Explorer, якщо з'явиться відповідний
запит.

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.1з8 www.netacad.com
Лабораторна робота. Вивчення процесів, потоків, дескрипторів та реєстру Windows

c. Process Explorer відображає список процесів, які зараз виконуються.

d. Щоб знайти процес веб-браузера, перетягніть піктограму Find Window's Process ( ) (Знайти
процес по вікну) у відкрите вікно веб-браузера. У цьому прикладі використовується Microsoft Edge.

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.2з8 www.netacad.com
Лабораторна робота. Вивчення процесів, потоків, дескрипторів та реєстру Windows

e. Процес Microsoft Edge можна завершити із Process Explorer. Клацніть правою кнопкою миші на
вибраному процесі та виберіть Kill Process (Видалити процес).

Що сталося з вікном браузера при видаленні процесу?

Microsoft Edge закрылся, завершился процесс

Шаг 3: Запустіть ще один процес.

a. Відкрийте командний рядок. (Пуск > Пошук Командний рядок > виберіть Командний рядок)

b. Перетягніть піктограму Find Window's Process ( ) (Знайти процес за вікном) у вікні Command
Prompt (Командний рядок) і знайдіть виділений процес у Process Explorer.
c. Процес для вікна Command Prompt (Командний рядок) – cmd.exe. Батьківський процес -
explorer.exe. Процес cmd.exe має дочірній процес conhost.exe.

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.3з8 www.netacad.com
Лабораторна робота. Вивчення процесів, потоків, дескрипторів та реєстру Windows

d. Перейдіть до вікна Command Prompt (Командний рядок). Запустіть ping у командному рядку та
простежте за змінами у процесі cmd.exe.
Що сталося під час виконання ping?
Повысилась нагрузка на CPU
e. Переглядаючи список активних процесів, ви побачите дочірній процес conhost.exe, який може
здатися підозрілим. Щоб перевірити наявність шкідливого вмісту, клацніть правою кнопкою миші
conhost.exe і виберіть Check VirusTotal (Перевірити VirusTotal). Якщо з'явиться запит, натисніть Yes
(Так), щоб прийняти умови використання VirusTotal. Натисніть кнопку OK у відповідь на запит.

f. Розгорніть вікно Process Explorer або прокрутіть праворуч, доки не з'явиться стовпець VirusTotal.
Клацніть посилання у стовпці VirusTotal. Результати шкідливого вмісту conhost.exe відкриваються у
веб-браузері за промовчанням.
g. Клацніть правою кнопкою миші на cmd.exe і виберіть Kill Process (Видалити процес). Що сталося із
дочірнім процесом conhost.exe?
Conhost.exe закрылся вместе с Cmd.exe, но позже открылся без Cmd.exe

Часть 2: Вивчення потоків та дескрипторів

У цій частині лабораторної роботи ви будете вивчати потоки та дескриптори. З процесом пов'язані
один чи кілька потоків. Потік – це одиниця виконання процесу. Дескриптор — це абстрактне посилання
на блоки пам'яті або об'єкти, керовані операційною системою. Для вивчення потоків і дескрипторів ви
використовуватимете засіб Process Explorer (procexp.exe), що входить до складу Windows SysInternals
Suite.

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.4з8 www.netacad.com
Лабораторна робота. Вивчення процесів, потоків, дескрипторів та реєстру Windows

Шаг 1: Дослідження потоків.

a. Відкрийте командний рядок.
b. У вікні Process Explorer клацніть правою кнопкою миші conhost.exe і виберіть Properties...
(Властивості...). Перейдіть на вкладку Threads (Потоки), щоб переглянути активні потоки процесу
conhost.exe.

c. Перегляньте відомості про потік. Яка інформація доступна у вікні Properties (Властивості)?
Во вкладке Свойства можно узнать такие данные, как: Идентификатор потока, Время
начала, Разрешения и какой стоит Приоритет для данного процесса

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.5з8 www.netacad.com
Лабораторна робота. Вивчення процесів, потоків, дескрипторів та реєстру Windows

Шаг 2: Вивчення дескрипторів.

У Process Explorer клацніть View (Перегляд) > Show Lower Pane (Показати нижню панель) > Handles
(Дескриптори), щоб побачити дескриптори, пов'язані з процесом conhost.exe.

Вивчіть властивості цих дескрипторів. Які об'єкти вказують ці дескриптори?

Файлы, Ключи, Директории и Рабочий стол

Часть 3: Вивчення реєстру Windows

Реєстр Windows — це ієрархічна база даних, де зберігається більшість параметрів конфігурації
операційної системи та робочого столу. У цій частині лабораторної роботи ви зробите таке.
a. Щоб отримати доступ до реєстру Windows, виберіть Start (Пуск) > Search (Пошук), знайдіть regedit
та виберіть Registry Editor (Редактор реєстру). Натисніть кнопку Yes (Так) у відповідь на запитання,
чи дозволити програмі вносити зміни.
Редактор реєстру має п'ять гілок. Ці гілки знаходяться на верхньому рівні реєстру.
o HKEY_CLASSES_ROOT - фактично є підрозділом Classes розділу HKEY_LOCAL_MACHINE\
Software\. У ньому зберігається інформація, що використовується зареєстрованими
програмами, наприклад, прив'язка до розширень файлів, а також дані програмних
ідентифікаторів (ProgID), ідентифікаторів класів (CLSID) та ідентифікаторів інтерфейсів (IID).
o Розділ HKEY_CURRENT_USER містить параметри та налаштування для користувачів, які зараз
увійшли до системи.
o У розділі HKEY_LOCAL_MACHINE зберігається інформація про конфігурацію, яка відповідає
локальному комп'ютеру.
o Розділ HKEY_USERS містить параметри та налаштування для всіх користувачів локального
комп'ютера. Розділ HKEY_CURRENT_USER є підрозділом HKEY_USERS.

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.6з8 www.netacad.com
Лабораторна робота. Вивчення процесів, потоків, дескрипторів та реєстру Windows

o Розділ HKEY_CURRENT_CONFIG зберігає інформацію про обладнання, яке використовується

під час початкового завантаження локального комп'ютера.

b. На попередньому кроці ви ухвалювали ліцензійну угоду для Process Explorer. Перейдіть до розділу
реєстру EulaAccepted Process Explorer.
Виберіть HKEY_CURRENT_USER > Software > Sysinternals > Process Explorer. Прокрутіть вниз, щоб
знайти параметр EulaAccepted. В даний час для параметра EulaAccepted встановлено значення
0x00000001(1).

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.7з8 www.netacad.com
Лабораторна робота. Вивчення процесів, потоків, дескрипторів та реєстру Windows

c. Двічі клацніть параметр реєстру EulaAccepted. На даний момент параметр має значення 1.
Значення 1 означає, що ліцензійна угода була прийнята користувачем.

d. Змініть значення 1 на значення 0 у полі Value (Значення). Значення 0 вказує на те, що EULA не
було прийнято. Щоб продовжити, натисніть OK.
Яке значення для цього розділу реєстру відображається у стовпці даних?

e. Відкрийте Process Explorer. Перейдіть до папки, куди було завантажено пакет SysInternals.
Відкрийте папку SysInternalsSuite, а потім відкрийте procexp.exe.
Що ви бачите під час відкриття Process Explorer?

Процесс дублируется

Cisco та/або її дочірні компанії. Всі права захищені.

Конфіденційна інформація компанії Cisco Стор.8з8 www.netacad.com