Ўзбекистон республикаси олий ва ўрта махсус таълим вазирлиги олий таълим тизими педагог ва раҳбар кадрларини
Download 5.84 Mb. Pdf ko'rish
|
deshifr
- Bu sahifa navigatsiya:
- Process Explorer ёрдамида жараёнларни кузатиш.
|
Содда динамик таҳлил воситалари. Process Monitor (PM) дастури
Windows OT учун мўлжалланган, кенгайтирилган кузатиш воситаси бўлиб, мавжуд регисторларни, файл тизимларини, тармоқ, жараѐн ва ҳаракат оқимларини (thread activity)кузатиш имкониятини беради. 1 Бу дастурий восита орқали ҳодисалар кетма-кетлигини, вақтини, жараѐнлар номини, жараѐн амалга ошираѐтган амални, ҳодиса юз берган манзилни ва ҳодиса натижасини билиш мумкин. 1 Michael Sikorski, Andrew Honig. Practical malware analysis. 43 – с. IV. АМАЛИЙ МАШҒУЛОТ МАТЕРИАЛЛАРИ 159 6.3-расм. ProcMon дастури кўриниши Ушбу дастурдан фойдаланган ҳолда барча жараѐнларни кузатиш мураккаб, яъни ҳодисалар жуда ҳам кўп ва улар ичидан кераклисини аниқлаш мушкул. Керакли маълумотларни ажратиб олиш учун уларни филтерлаш амалга оширилади. Бу амални Process Monitor дастурида амалга ошириш учун “Filter Filter” бандига ўтилади. 6.4-расм. Фильтр менюси Process Explorer ёрдамида жараёнларни кузатиш. Ушбу дастурий восита Windows томонидан ишлаб чиқилган бўлиб, динамик таҳлиллашда кенг қўлланилади. Бу дастурий восита орқали актив жараѐнлар рўйхатини, жараѐнлар орқали юкланган DLL файллар рўйхатини, жараѐнларнинг хусусиятларини ва тизим ҳақида умумий маълумотларни олиш мумкин. Бундан ташқари жараѐнларни тугатиш, юклаш каби амалларни бажариш мумкин. Дастур ойнасида жараѐнлар шажара шаклида берилади. Ойнада 7 устун бўлиб, Process устида жараѐн номи, PID устида жараѐн идентификация номери, CPU устида фойдаланиш кўрсаткичи, Description, Company name, Working set, Private bytes устунларидан иборат. Одатий ҳолда дастур ойнасида хизматлар пушти рангда, жараѐнлар кўк рангда, янги жараѐнлар IV. АМАЛИЙ МАШҒУЛОТ МАТЕРИАЛЛАРИ 160 яшил рангда, тугатилган жараѐнлар қизил рангда тасвирланади.Яшил ва қизил ранглар вақтинчалик саналади. ЗД таҳлиллашда бу дастур орқали янги жараѐнни ҳосил бўлиши ўзгараши орқали билиш мумкин. 1 6.5-расм. Process Explorer дастурий воситаси кўриниши Танланган жараѐннинг устида сичқонча тугмасини икки марта босиш орқали жараѐн ҳақида тўлиқ маълумотга эга бўлиш мумкин. 6.6-расм. Process Explorer дастурий воситаси хусусиятлар ойнаси Verify (текшириш) танлови.Process Explorer дастурининг муҳим хусусиятларини бири бу – текшириш танлови бўлиб, бу орқали жараѐнни ҳақиқий ѐки алмаштирилган эканлигини аниқлаш мумкин. Бунинг учун дастурнингImage бандидан Verify тугмасини босиш талаб эталади. ЗД одатда ўзларини бошқа жараѐн кўринишида кўрсатишга ҳаракат қиладилар. Дастурнинг бу имконияти эса бу ўзгаришни аниқлаш имконини беради. Қаторларни солиштириш. Process Explorer дастурининг яни бир муҳим 1 Michael Sikorski, Andrew Honig. Practical malware analysis. 47 – с. IV. АМАЛИЙ МАШҒУЛОТ МАТЕРИАЛЛАРИ 161 хусусиятларидан бири бу – жараѐнларни ўзгартирилишини аниқлашдир. Одатда кўплаб ЗД лар ўзини бошқа жараѐн орқасига яширади. Жараѐннинг дискдага шакли ва унинг хотирага юкланган шакли орасида фарқ юзага келади. ЗД дискдаги шаклини эмас, хотирадаги қийматини ўзгартиради, яъни, ўзини функцияларини жойлаштиради. 6.7-расм. Қаторларни солиштириш Download 5.84 Mb. Do'stlaringiz bilan baham: 
|