Commenti a: Processi di Windows sotto analisi con ProcessExplorer http://www.delfinsblog.it/2008/05/06/processi-di-windows-sotto-analisi-con-processexplorer/ Strategie Web, gestione di progetti, business Sat, 11 Feb 2012 00:34:57 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Di: Pare dei VIZI http://www.delfinsblog.it/2008/05/06/processi-di-windows-sotto-analisi-con-processexplorer/comment-page-1/#comment-125239 Pare dei VIZI Thu, 08 Sep 2011 00:20:18 +0000 http://www.delfinsblog.it/2008/05/06/processi-di-windows-sotto-analisi-con-processexplorer/#comment-125239 COMUNQUE DEVI ESSERE UN PO' ABILE ED AVER STUDIATO ALMENO LE BASI FONDAMENTALI DEI SISTEMI OPERATIVI MICROSOFT PER POTERTI ALMENO RAGGUAGLIARE SULLE RISPOSTE. E' INUTILE UTILIZZARE UN PROGRAMMA DI ANALISI PROCESSI SE NON SI SA' NEANCHE A CHE COSA SERVE.. A QUESTO PUNTO USA LA NORMALE TASK MANGER CHE HAI SUL TUO PC. ARRIVEDERCI COMUNQUE DEVI ESSERE UN PO’ ABILE ED AVER STUDIATO ALMENO LE BASI FONDAMENTALI DEI SISTEMI OPERATIVI MICROSOFT PER POTERTI ALMENO RAGGUAGLIARE SULLE RISPOSTE. E’ INUTILE UTILIZZARE UN PROGRAMMA DI ANALISI PROCESSI SE NON SI SA’ NEANCHE A CHE COSA SERVE.. A QUESTO PUNTO USA LA NORMALE TASK MANGER CHE HAI SUL TUO PC. ARRIVEDERCI

]]> Di: Pare dei VIZI http://www.delfinsblog.it/2008/05/06/processi-di-windows-sotto-analisi-con-processexplorer/comment-page-1/#comment-125238 Pare dei VIZI Thu, 08 Sep 2011 00:18:18 +0000 http://www.delfinsblog.it/2008/05/06/processi-di-windows-sotto-analisi-con-processexplorer/#comment-125238 porca miseri hai scritto un tesyamento e st'idiota manco ti ha risposto porca miseri hai scritto un tesyamento e st’idiota manco ti ha risposto

]]> Di: Tom http://www.delfinsblog.it/2008/05/06/processi-di-windows-sotto-analisi-con-processexplorer/comment-page-1/#comment-124502 Tom Mon, 18 Jul 2011 11:36:14 +0000 http://www.delfinsblog.it/2008/05/06/processi-di-windows-sotto-analisi-con-processexplorer/#comment-124502 Ciao, avrei bisogno, gentilmente, di alcuni chiarimenti: Ci sono alcune voci di Process Explorer che non so come leggere e quindi utilizzare a mio favore per capire se un determinato processo è legittimo o nasconde sorprese ( ad esempio malware o servizi che possono essere disattivati) Cosa intendiamo per elenco degli Handle aperti? oppure se si dice "Thread" del processo cosa si intende? Quali sono le schede più importanti, tra quelle indicate in parentesi, (IMAGE; Performance;Performance Graph;Services; Threads; TCP/IP; Security; Environment; Strings )da prendere in considerazione quando visualizziamo le proprietà di un determinato processo e come utilizzare i relativi dati per capire se un determinato processo è legittimo o può essere causa di un malware? Ad esempio se selezioniamo un processo, tasto destro--- proprietà, abbiamo molte schede, in quella denominata "Image" leggiamo tra le altre voci: Parent cosa indica? Provo a darmi una risposta, vado a senso: mostra la relazione di dipendenza tra un processo gerarchicamente superiore ed il sottoprocesso, nel senso che il sottoprocesso ha bisogno per funzionare che il processo gerarchicamente superiore sia in esecuzione! Giusto? Per cui quando parliamo di relazione di dipendenza tra un processo parent ed un processo figlio, e quindi sottoprocesso, posssiamo affermare che il processo parent ha lanciato in memoria( RAM)/ha richiesto l’accesso al processo figlio/sottoprocesso? ( Esempio Se l'utente avvia Firefox,l'applicazione Firefox crea/lancia firefox.exe e plugin-container.exe,invece per una data istanza di svchost.exe, come facciamo a capire qual’ è l’applicazione che lo ha lanciato? Provo a rispondere: nella scheda Image, leggiamo alla voce "parent" il processo che ha lanciato una determinata istanza di svchost.exe? ( dato che emerge anche visionando l’albero che si trova a sinistra nella schermata principale del programma?).Giusto? Faccio un esempio, ipotizziamo che service.exe "sia un processo parent", (lo vediamo anche nell'albero a sinistra ad un livello sopra svchost.exe), possiamo, dunque, affermare che services.exe è l’applicazione che ha “chiesto” di accedere alla risorsa di sistema ( svchost.exe "figlio/sottoprocesso) che a sua volta caricherà in memoria tutta una serie di DDL contenenti dei servizi o programmi che contengono funzioni utili per il funzionamento del sistema operativo? Giusto? Potresti, gentilmente, spiegarmi questo concetto? Ogni processo è in esecuzione sul sistema con un proprio user (con il quale accede alle risorse del sistema) un PID (numero univoco che identifica il processo), un PPID (il PID del processo padre). User cosa indica? e a cosa ci serve capire l'user del processo ai fini dell'analisi del processo stesso? ( ad esempio se troviamo scritto NT Authority/SYSTEM ( cosa significa?) invece se troviamo indicato il nome Utente “Tom”?, Nell’esempio da te fatto dici: il processo Explorer.exe indica la sessione dell’utente ( che vuol dire?). Tutti i processi legati alla sessione sono derivati dal processo Explorer.exe, ( che vuol dire?) che è la radice dei processi della sessione utente ( che vuol dire?) a cosa servono i bottoni "Verfy"; "Bring to Front" ;Kill process ( questo l'ho capito, serve per terminare un processo) Grazie mille Ciao Tom Ciao,

avrei bisogno, gentilmente, di alcuni chiarimenti:

Ci sono alcune voci di Process Explorer che non so come leggere e quindi utilizzare a mio favore per capire se un determinato processo è legittimo o nasconde sorprese ( ad esempio malware o servizi che possono essere disattivati)

Cosa intendiamo per elenco degli Handle aperti?
oppure se si dice “Thread” del processo cosa si intende?

Quali sono le schede più importanti, tra quelle indicate in parentesi, (IMAGE; Performance;Performance Graph;Services; Threads; TCP/IP; Security; Environment; Strings )da prendere in considerazione quando visualizziamo le proprietà di un determinato processo e come utilizzare i relativi dati per capire se un determinato processo è legittimo o può essere causa di un malware?

Ad esempio se selezioniamo un processo, tasto destro— proprietà, abbiamo molte schede, in quella denominata “Image” leggiamo tra le altre voci:

Parent
cosa indica?
Provo a darmi una risposta, vado a senso: mostra la relazione di dipendenza tra un processo gerarchicamente superiore ed il sottoprocesso, nel senso che il sottoprocesso ha bisogno per funzionare che il processo gerarchicamente superiore sia in esecuzione! Giusto?
Per cui quando parliamo di relazione di dipendenza tra un processo parent ed un processo figlio, e quindi sottoprocesso, posssiamo affermare che il processo parent ha lanciato in memoria( RAM)/ha richiesto l’accesso al processo figlio/sottoprocesso?

( Esempio Se l’utente avvia Firefox,l’applicazione Firefox crea/lancia firefox.exe e plugin-container.exe,invece per una data istanza di svchost.exe, come facciamo a capire qual’ è l’applicazione che lo ha lanciato?

Provo a rispondere: nella scheda Image, leggiamo alla voce “parent” il processo che ha lanciato una determinata istanza di svchost.exe? ( dato che emerge anche visionando l’albero che si trova a sinistra nella schermata principale del programma?).Giusto?

Faccio un esempio, ipotizziamo che service.exe “sia un processo parent”, (lo vediamo anche nell’albero a sinistra ad un livello sopra svchost.exe), possiamo, dunque, affermare che services.exe è l’applicazione che ha “chiesto” di accedere alla risorsa di sistema ( svchost.exe “figlio/sottoprocesso) che a sua volta caricherà in memoria tutta una serie di DDL contenenti dei servizi o programmi che contengono funzioni utili per il funzionamento del sistema operativo? Giusto?

Potresti, gentilmente, spiegarmi questo concetto?
Ogni processo è in esecuzione sul sistema con un proprio user (con il quale accede alle risorse del sistema) un PID (numero univoco che identifica il processo), un PPID (il PID del processo padre).
User cosa indica? e a cosa ci serve capire l’user del processo ai fini dell’analisi del processo stesso? ( ad esempio se troviamo scritto NT Authority/SYSTEM ( cosa significa?) invece se troviamo indicato il nome Utente “Tom”?,

Nell’esempio da te fatto dici: il processo Explorer.exe indica la sessione dell’utente ( che vuol dire?). Tutti i processi legati alla sessione sono derivati dal processo Explorer.exe, ( che vuol dire?) che è la radice dei processi della sessione utente ( che vuol dire?)

a cosa servono i bottoni “Verfy”; “Bring to Front” ;Kill process ( questo l’ho capito, serve per terminare un processo)
Grazie mille

Ciao

Tom

]]>