Диспетчер процессов

Диспетчер процессов

Previous pageReturn to chapter overviewNext page

Для поиска шпионского ПО и троянских программ вручную в программу AVZ встроен собственный диспетчер процессов.

Вызов диспетчера производится из меню "Сервис \ Диспетчер процессов".

 

Диспетчер процессов позволяет:

отображать список запущенных процессов (список процессов строится различными способами, для Windows NT предусмотрено построение списка процессов штатными средствами, при помощи Native API, при помощи подсистемы поиска скрытых процессов);

отображать список библиотек для каждого из процессов;

 

Для всех объектов диспетчер процессов может вычислять контрольные суммы MD5 и собирает дополнительную информацию. .

 

Другой особенностью диспетчера процессов AVZ является возможность использования в его работе системы противодействия RootKit. В результате диспетчер процессов AVZ, как правило, в состоянии обнаружить и остановить процессы, маскируемые RootKit. Кроме того, если в систему установлен драйвер AVZ PM, до собранная им информация используется диспетчером процессов, что в частности позволяет удалять маскирующиеся процессы из KernelMode.

 

Закладка "Процессы"

Закладка "Процессы" содержит список процессов (верхняя таблица) и информацию о текущем процессе (на закладках  под таблицей процессов). Таблица процессов обновляется при нажатии кнопки "Обновить".

Кнопка "Удалить процесс" позволяет завершить работу текущего процесса.

Кнопка "Копировать в карантин" позволяет отправить копию исполняемого файла текущего процесса в папку "Карантин". Данная кнопка доступна только в случае, если файл не опознан по базе безопасных

 

Кнопка "Копировать в карантин все процессы, не опознанные как безопасные" позволяет отправить копию исполняемых файлов всех процессов, не опознанных по базе безопасных в папку "Карантин".

 

 

Кнопка "Сохранить протокол".

Производит формирование HTML протокола, который сохраняется на диск в указанное пользователем место (для сохранения протокола выводится диалог сохранения файла стандартного вида). После сохранения протокола выдается предложение открыть его (открытие производится применяемым по умолчанию браузером).

 

Закладка "Параметры"

На закладке "Параметры" размещены настройки диспетчера процессов:

Переключатель "Вычислять контрольные суммы MD5 для файлов" - включение этого переключателя активирует расчет контрольных сумм для каждого файла. Этот процесс требует больших затрат ресурсов и обновление списка происходит медленнее;

Переключатель "Проверять файлы по базе безопасных файлов" - включение этого переключателя активирует проверку исполняемых файлов и DLL по базам безопасных объектов, идущим в составе AVZ. Файлы, опознанные как безопасные, выделяются при просмотре зеленым цветом. Данный режим полезен для поиска неопознанных процессов и DLL

 

Контекстное меню списка DLL

Копировать в карантин. Выполняет копирование текущего файла в карантин (безопасные файлы в карантин не копируются)

Поиск в Google - открывает браузер по умолчанию и передает ему строку URL, выполняющего поиск в Google по имени файла

Поиск в Yandex - открывает браузер по умолчанию и передает ему строку URL, выполняющего поиск в Yandex по имени файла

Поиск в Rambler - открывает браузер по умолчанию и передает ему строку URL, выполняющего поиск в Rambler по имени файла

Поиск в реестре по имени файла - вызывает окно поиска в реестре, в образце поиска которого уже задано имя текущего файла

Поиск в реестре по имени файла - вызывает окно поиска в реестре, в образце поиска которого уже задано полное имя текущего файла

Принудительно выгрузить DLL - выполняет принудительную выгрузку указанного модуля.

 

На заметку

Принудительная выгрузка модуля в большинстве случаев приведет к неустранимой ошибке в приложении, из адресного пространства которого выгружена DLL. Собственно, ошибка в этом приложении любом случае произойдет при первой же попытке приложения вызвать функцию выгруженной таким образом DLL.