[mxmstrnt]

Цитата belohortvladimir:

Как вернить столбец "Process Name". Просто занова кидая файл программы и запуская его не поможет. »

Настройки хранятся в реестре: HKEY_CURRENT_USER\Software\Sysinternals\Process Explorer. Какой параметр за это отвечает я не знаю. Можно просто удалить эту ветку и заново запустить Process Explorer, тогда все настройки будут по умолчанию.

[sjsdjsoiq]

Доброй ночи, коллеги. Какие особенности процесса должны насторожить при просмотре дерева процессов?

[Казбек]

В первую очередь, и не только при использовании Process Explorer, следует обращать внимание на:

• наличие и достоверность цифровой подписи;
• описания процесса;
• издателя;
• расположение файла или процесса;
• системная служба или процесс редко используют каталог хранения файлов /temp/;
• имя файла соответствует реальному существующему файлу системы, но путь отличается (например svchost.exe, smss.exe, подробнее об этом здесь);
• путь совпадает, но имя немного отличается (например svch0st.exe вместо svchost.exe, подробнее об этом здесь);
• дату создания, дата, чаще всего, должна совпадать с датами остальных системных файлов, особенно должно насторожить вас, если дата создания соответствует предполагаемой дате заражения;
• вкладку String.

При малейшем подозрении используйте проверку на ВирусТотал, в программе реализована эта функция.

[Mersim]

Цитата sjsdjsoiq:

Какие особенности процесса должны насторожить »

С т.з. вирусни - сам факт наличия процесса в PE. Уж свои-то процессы ты должен бы знать наперечет... я так думаю :)

Не надо настораживаться. Надо убивать, а потом уж разбираться - что это было, почему антивирь и ли фаер пропустили... Проги убивай смело, а сервисы - сверяйся с бумажкой хотя бы. Скриншот сделай нормальной системы. В верхней части PE, над Explorer - службы. Поскольку большинство из них рулится через svchost, то лучше контролировать список реально запущенного и параметры запуска через pserv2 (не 3!).
.

[sjsdjsoiq]

Mersim,
Простите, но я ничего не понял из вашего сообщения. Можно более внятно? Особенно вот это :

Цитата Mersim:

сам факт наличия процесса в PE »

[Mersim]

Внятно. Куда уж внятнее?

Ты ведь за зловредов переживаешь - "Process Explorer как инструсент для отслеживания вирусов", так? Так. И задаешь вопрос - "Какие особенности процесса должны насторожить". Так, спрашивается, чего дергаться по поводу легитимных процессов, которые ты знаешь в лицо? Нечего.

Что ты думаешь, svchost тебе начнет усиленно подмигивать, когда через него трояны в сеть ломанутся? А ты видел, сколько их у тебя этих svchost запущено? Будешь у каждого дочерние процессы изучать во вклакдке сервисы? Вот для этого я тебе и присоветовал pserv2...

А незнакомый процесс надо прежде всего убить. Ну, взглянув предварительно на путь запуска. Убить, а потом уж разбираться. А PE и pserv2 лишь помогут тебе обнаружить его глазами среди прочих православных. Не более...

Все это и означает, что достаточно просто факта наличия постороннего процесса, чтобы предпринять конкретные действия, а именно - убить. Не надо искать особенности. На этом этапе, имеется ввиду.

Что тут непонятного? Железная, примитивная, рациональная логика, основанная на свойственном любому нормальному человеку инстинкте самосохранения.
.

[sjsdjsoiq]

Что значат Private Bytes и Working Set в этой программе? И какая разница между этими параметрами?

[Казбек]

sjsdjsoiq,
Private Bytes - объем оперативной памяти, выделенной данному процессу и не разделяемой с другими процессами.

Working Set - рабочий набор процесса, представляющий собой суммарный объем всех страниц используемой им памяти, в данный момент времени. Размер этого набора может изменяться, в зависимости от запросов процесса. Практически все процессы используют разделяемую память.