Програми, сервіси, процеси в windows xp

Для багатьох користувачів Windows XP живе своїм власним життям, і їх мало цікавить, які приховані процеси в ній запущені. А між тим, чи є сенс в фонової програми або сервісі, якщо ви його не використовуєте? Навіщо витрачати на нього процесорний час і пам'ять? Чи не варто поцікавитися, чи не запущений на вашому ПК новий троян або spyware? Як взагалі розібратися, що це вантажить систему на 100%?

Стандартний засіб для контролю за запущеними програмами - Task Manager (Диспетчер завдань Windows) - гарний тільки тим, що завжди під рукою, і його легко запустити комбінацією клавіш CTRL-ALT-DEL, що часом є єдиним варіантом, якщо, наприклад, намертво повисла оболонка системи. Але інформації він дає самий мінімум - і в вікні Applications (Додатки), що відповідає за призначені для користувача програми, і в Processes (Процеси), що відображає в тому числі і приховані сервіси, по кожному процесу можна дізнатися тільки ім'я виконуваного файлу, в якому контексті він запущений (тобто з якими правами - користувача, системи і так далі), скільки споживає пам'яті і ресурсів процесора. Якщо ж ви захочете, наприклад, зрозуміти, що ж це таке - lsass.exe, то допомоги від нього не чекайте. Ще більш складний варіант - відрізнити lsass.exe - системний процес Local Security Authority Subsystem Service - від ховається під таким же ім'ям, але в іншій папці, вірусу Email-Worm.Win32.Mydoom.l - навіть не розглядається.

Тому для того, щоб отримати максимум інформації про запущених програмах і отримати при цьому повний контроль над ними, доведеться подбати про сторонніх диспетчерів завдань.

Найпросунутішої програмою для контролю за процесами на сьогодні є TaskInfo [1]. Вона видає масу інформації по кожній програмі, але нас цікавить в першу чергу те, що відображається на вкладці General в правій нижній частині її вікна при виділенні якогось процесу. А відображаються там такі полезнейшие речі, як:

команда, якій запущений процес часто найголовнішу роль грає не стільки виконуваний файл, скільки аргумент командного рядка; шлях до виконуваного файлу так можна виявляти віруси, хто вдає легітимними програмами; процес, який запустив цю програму також важливо для виявлення «лівого» софта, наприклад, процеси, запущені Internet Explorer, повинні залучати підвищену увагу.

Ще одна зручна функція програми - команда Google Process в контекстному меню процесу. «Отгугленний» з її допомогою незрозумілий процес перестане бути для вас секретом, оскільки саме так запускається Інтернет-пошук за назвою обраного файлу.

Трохи простіше програма WinTasks Pro [2]. але, можливо, через це вона здасться багатьом зручніше - в одному рядку відображається і назва програми, і шлях до її файлу на диску, і дані про використання пам'яті і процесора. А трохи нижче - довідка по кожному процесу, причому програма вже знає практично все системні програми, що йде з драйверами супутній софт і навіть багато популярних прикладні програми. І вона не просто дає вам назву, але, найголовніше, розтлумачує - для чого кожен процес служить. Опис короткий, але для того, щоб зрозуміти, чи потрібна вам ця програма чи ні, його достатньо. Наприклад, в нашій тестовій системі з 46 запущених процесів програма не розпізнає тільки 6, зокрема архіватор PowerArchiver і утиліти, що йдуть з драйвером SoundMAX. А ось PuntoSwitcher програма знає, як знає вона і софт від Widcomm і ATI. По кожній відомій програмі WinTasks дає рекомендацію - наскільки безпечно її закрити, наприклад, по утиліті cli.exe, вона чесно пише, що поставив її в систему драйвер ATI Catalyst, що служить вона для доступу через іконку в системному треї до налаштувань драйвера, що її відключення проводиться за бажанням користувача і шкоди не несе.

Чимало у програми та інших супутніх функцій - починаючи від перевірки в інтернеті оновлень обраного файлу і закінчуючи управлінням автозавантаженням. Але якщо пошук оновлень - це дійсно цікаво, то інші функції конкуруючі програми виконують краще - той же TaskInfo дає більше інформації, а SysInternals Autoruns [3] більш просунутий по частині управління завантаженням програм і драйверів. Є, правда, ще одна фіча - блокування додатків, які ви підозрюєте в деструктивній діяльності - це корисно в тому випадку, якщо ви намагаєтеся закрити якогось шпигуна, а він сам собою знову запускається.

Онлайн-довідники по процесам

Жодна програма, звичайно, не зможе вмістити в себе всю інформацію по всім зустрічається в природі процесам. Але крім Google її може надати і спеціалізована онлайн-енциклопедія, наприклад, така як ProcessLibrary.com [4]. На цьому сайті ви можете ввести в стандартне вікно пошуку ім'я виявленої в автозавантаженні незрозумілою програми (або знайти в розбитому за алфавітом каталозі) і отримати по ній все, що необхідно для вирішення її подальшої долі (є інформація навіть за деякими dll-бібліотек):

Далі йдуть додаткові дані по процесу: чи є він вірусом, spyware, adware або трояном; скільки використовує пам'яті, чи є системним процесом, чи є прикладною програмою, чи працює у фоновому режимі, використовує чи мережу і інтернет.

Інформація більш ніж вичерпна, особливо якщо врахувати наявність форуму, присвяченого виключно цієї проблеми - тут можна обговорити найнесподіваніші її аспекти. І заглядайте на першу сторінку сайту - там виведений вельми пізнавальний Топ-5 по процесам, інформацію про яких найчастіше запитують, по найбільш небезпечним вірусам (імена їх файлів часто дуже схожі на назви системних компонентів: scvhost.exe, lsas.exe), по новим загрозам.

Але обмежуватися одним єдиним сайтом в разі незрозумілих програм не варто. Загляньте ще, наприклад, на process.networktechs.com/lsass.exe.php [5] - на нашу lsass.exe тут наводиться інформація навіть у більш доступній формі. Також дається рекомендація, як поступати з процесом - ні в якому разі не закривати в менеджері завдань, а також вказується, що з таким же ім'ям, але в інших директоріях (не в windows \ system32) можуть бути віруси.

Не дуже велику базу даних можна знайти на сайті www.neuber.com/taskmanager/process/ [6] - але вона цінна тим, що по найбільш популярним процесам наводяться численні (по кілька десятків думок) висловлювання інших користувачів: небезпечний він чи ні, що буде, якщо його відключити. По кожному системному процесу наводиться директорія, де він за замовчуванням повинен знаходитися - якщо процес запущений з іншого місця, то це, швидше за все, вірус. Наводяться і конкретні назви вірусів, що мають таке ж ім'я файлу, як і запитуваний процес.

типові процеси

Подивимося тепер, які ж процеси зустрічаються на комп'ютерах рядових користувачів. Для прикладу візьмемо свіжовстановленому Windows XP SP2, в якій були інстальовані всі необхідні драйвери і Microsoft Office. Диспетчер завдань на цій, майже чистою системі показує наявність в пам'яті 28 процесів, розберемося, що ж це таке і для чого потрібно:

Про сервісах треба говорити окремо, оскільки в Task Manager велика їх частина ніяк не відтворена. Запустіть оснащення «Панель управління» → «Адміністрування →« Служби »і клацніть два рази на заголовку« Стан »- в результаті у верхній частині вікна виявляться ті, які працюють у вашій системі. У нашому випадку їх виявилося аж 48. Але далеко не всі з них дійсно необхідні, а деякі навіть шкідливі. Наприклад, який сенс тримати запущеним сервіс «Віддалений реєстр»? Щоб якийсь хороший чоловік з вашої локалки прописав в розділі RUN вашого реєстру свій улюблений кейлоггер?

Сама оснащення «Служби» вже надає користувачеві мінімальний опис майже всіх служб - деякі висновки по потрібності того чи іншого сервісу можна зробити вже по ним, але краще, звичайно, знову звернутися до зовнішніх джерел, наприклад, програми Advanced Service Control Centre XP [ 7].

Запустіть її та натисніть кнопку «Перевірити поточний стан» - у частині служб з'являться прапорці. Це ті, які відключені. Щоб зручніше було працювати, краще вибрати режим, при якому відображаються тільки активні служби. Тепер вибирайте першу за рахунком службу без прапорця - Автоматичне оновлення (за замовчуванням вона працює), тисніть праву кнопку миші → «Допомога по службі». Запуститься вбудована довідка, з якої ми дізнаємося:

Розжовано, як бачите, практично все, дублювати настільки докладні описи тут немає ніякого сенсу - навіть для активних за замовчуванням служб вони займуть занадто багато місця.

Єдине, варто сказати про те, що значить «Автоматично». У Windows XP різним за важливістю службам за замовчуванням задані різні способи запуску.

Автоматично Якщо необхідно, щоб служба запускалася на старті системи Вручну служба стартує тільки якщо її запускає користувач або якась програма, якої вона необхідна Відключено служби не стартує, поки користувач не перемкне її в режим Вручну або автоматично.

Advanced Service Control Centre XP, таким чином, знає стан кожної служби за замовчуванням, в результаті ви отримуєте практично повну гарантію, що ніякі експерименти не виведуть систему з ладу - при невеликому старанні ви завжди повернетеся в default-положення. Запам'ятовувати, що ви вимикали, не потрібно.

У вікні зі списком служб Advanced Service Control Centre XP поки тільки зупиняє служби, не змінюючи режим їхнього запуску, в результаті ваші налаштування зберігаються тільки до перезавантаження ПК, тому після того, як ви протестуєте працездатність свого вибору, слід повернутися до стандартного засобу і виставити обрані режими запуску вже там (або скористатися непоганий утилітою ServConf [8]).

Але є й інший спосіб - кілька типових шаблонів налаштувань вже вбудовані в програму:

У вбудованій довідці наводяться докладні описи кожної - кому вони більше підходять і які служби в них відключені. Найоптимальніша і безглючная, наприклад, - «Для всіх», а «сама урізана» теоретично повинна давати максимальну продуктивність при мінімальному функціонал (великого ефекту, до речі, не чекайте). Ці шаблони вже впливають на настройки сервісів, і вони зберігаються після перезавантаження ПК (власне, для вступу їх в силу перезавантаження необхідна), по крайней мере, до застосування наступного шаблону.

Врахуйте тільки, Advanced Service Control Centre XP працює виключно зі службами зі складу Windows XP - то, що ставлять сторонні програми і драйвери, вона не бачить! Тому повернутися в стандартну оснащення «Служби» все ж таки доведеться - там відображається вже все. Але, як правило, якщо ви побачите там сервіси сторонніх проівзодітеля, то відключати їх не варто - вони потрібні тим програмам, які потрібні вам, і які ви ж самі і поставили. Хоча, і тут не без винятків - той же ATI HotKey Poller цілком можна відключити.

як відключати

Після того як ви розібралися, що у вашій системі запускається і для чого, і виявили непотрібні для себе процеси, їх слід відключити - просте закриття процесу в менеджері завдань призведе лише до тимчасової його дезактивації - при наступному старті ОС він знову опиниться в пам'яті. Та й не дуже це коректно - вбивати процес прямо в пам'яті. Наприклад, після примусового закриття ctfmon.exe розкладка в Word не виконується перемикання аж до перезавантаження ПК, незважаючи на запущений Punto.

Відключати непотрібні процеси і сервіси найпростіше в стандартному msconfig.exe, трохи більше контролю над сервісами дає оснащення «Служби». Тут їх можна не тільки відключати, але і встановлювати більш безпечний для стабільності системи режим запуску «Вручну», при якому сервіс може бути автоматично запущений, якщо раптом знадобиться якійсь програмі (але не всі вміють стартувати сервіси). І, нарешті, максимум можливостей дає програма Autoruns [3] - вона показує взагалі всі можливі способи автозавантаження програм, сервісів, драйверів і бібліотек, кожну з яких включити-вимкнути можна одним рухом мишки, знявши або поставивши відповідний прапорець.

посилання
  1. www.iarsn.com/taskinfo.html
  2. www.liutilities.com/products/wintaskspro
  3. www.sysinternals.com
  4. www.processlibrary.com
  5. process.networktechs.com/lsass.exe.php
  6. www.neuber.com/taskmanager/process/
  7. soft.oszone.net/program/656/Advanced_Service_Control_Center_XP
  8. logic.linux8.com