SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE Menu startowe Pliki

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE Menu startowe. Pliki konfiguracyjne Windows.

Agenda • Menu startowe. • Pliki konfiguracyjne Windows.

Menu startowe. - Szybsze wywoływanie Menu Start. - Wywołania okienek z polecenia Menu Start/Uruchom

Szybsze wywoływanie Menu Start. Wywołanie Menu Start można przyśpieszyć poprzez wyłączenia zbędnego cienia pod menu: • Prawy klik na pulpit >>> Properties / Właściwości >>> Appearance / Wygląd >>> Effects / Efekty i w okienie, które pojawibsię odznaczamy opcję Show shadows under menus / Pokaż cienie pod menu. • Na rezultat kliknięcia elementu w menu Start trzeba chwilę czekać, bo jest to wymuszone przez system. Można dostosować szybkość czasową reakcji: • Start >>> Run / Uruchom >>> regedit • HKEY_CURRENT_USERControl PanelDesktop • Menu. Show. Delay - Domyślnie ustawiona wartość to 400 milisekund. Można ją ustawić nawet na 0. • UWAGA: Ustawienie na zero może być nazbyt szybkie powodując wyskakiwanie niezamierzonych menu. Wartością optymalną jest 150. Inne wartości domyślne mieszczą się w przedziale od: 400 poprzez 300, 200, 150 czy 0

Wywołania okienek z polecenia Menu Start/Uruchom • Z polecenia Menu Start/Uruchom mamy możliwość wywołania okienek oraz zakładek/opcji kilku systemowych aplikacji. Pliki *. CPL powinny być skojarzone z c: windowssystem 32control. exe. Panel Sterowania (CONTROL. EXE)

Wywołania okienek z polecenia Menu Start/Uruchom • Control Panel: rundll 32. exe shell 32. dll, Control_Run. DLL appwiz. cpl - Właściwości: Dodaj/Usuń programy; desk. cpl - Właściwości: Ekran; main. cpl - Właściwości: Mysz; mmsys. cpl - Właściwości: Multimedia; sysdm. cpl - Właściwości: System; timedate. cpl - Właściwości: Data/Godzina; inetcpl. cpl - Właściwości: Internet; intl. cpl - Właściwości: Ustawienia regionalne; joy. cpl - Joystick; odbccp 32. cpl - ODBC Data Source Administrator. hdwwiz. cpl- Kreator dodawania sprzętu ncpa. cpl - Połączenia sieciowe nusrmgr. cpl - Konta użytkowników powercfg. cpl - Właściwości opcje zasilania wuaucpl. cpl - Aktualizacje automatyczne

Pliki konfiguracyjne Windows. • • • Msconfig Autostart Programy rezydujące Rundll 32 Ćwiczenie

MSCONFIG Zawiera informacje o uruchamianiu systemu, sterownikach, konfiguracji

AUTOSTART

Najczęściej spotykane programy rezydujące w pamięci i ich funkcje. • To wynika z między innymi lekcji o architekturze Windows

Najczęściej spotykane programy rezydujące w pamięci i ich funkcje. • svchost. exe - proces ten obsługuje dużą liczbę usług, dlatego w Menedżerze zadań widzimy wiele jego kopii. • alg. exe - nadzoruje dzielenie połączenia internetowego i firewalla. Radzę nie wyłączać go nawet, jeżeli korzystamy z firewalla innego niż ten wbudowany w Windows. Zabicie procesu może skutkować niestabilną pracą systemu. • ctfmon. exe - część pakietu Microsoft Office, monitoruje aktywne okna, rozpoznawanie mowy, skróty klawiaturowe, schowek i inne ustawienia związane z użytkownikiem. Pracuje w tle nawet wtedy, kiedy nie używamy programów Office'a.

Najczęściej spotykane programy rezydujące w pamięci i ich funkcje. • spoolsv. exe - zarządza buforem wydruku, ustawia kolejkowanie drukowania. Można go wyłączyć jeżeli nie używa się drukarki, faksu lub programów symulujących ich działanie np. Acrobat Reader. • smss. exe - jest to proces, który jest częścią systemu Microsoft Windows. Nazywany jest Menedżerem sesji. Zainicjowany przez system odpowiada za wiele czynności, m. in logowania Win. Logon i Win 32 (Csrss. exe). Nie można go wyłączyć, jest niezbędny do stabilnego działania systemu. • csrss. exe - jego pełna nazwa to Client/Server Runtime Server Subsystem. Odpowiada za działanie większości komend graficznych. Ważny składnik systemu, nie powinien być zabijany.

Najczęściej spotykane programy rezydujące w pamięci i ich funkcje. • winlogon. exe - obsługuje procedury logowania i wylogowania się z systemu. • lsass. exe - proces systemu bezpieczeństwa Windows, zarządzanie regułami dostępu i ochrona użytkownika. • taskmgr. exe - Menedżer zadań Windows. To właśnie ten program uruchamiasz poprzez kombinacje klawiszy CRTL+ALT+DELETE. • services. exe - zarządza składnikami systemu uruchamianymi przy starcie Windows, obsługuje ich automatyczne włączanie w czasie ładowania systemu i zatrzymywanie w chwili zamykania. Jest niezbędny to prawidłowego i stabilnego działania systemu.

Należy być czujnym. • Są to najważniejsze procesy działające w systemie operacyjnym Microsoft Windows XP. Należy jednak pamiętać, że pod tymi nazwami lub bardzo podobnymi(!) mogą ukrywać się aplikacje szkodliwe, podszywające się pod dany program systemowy. Nie ma więc złotego środka na rozróżnienie ich. Warto też zwracać uwagę na użycie procesora i pamięci w czasie, kiedy praktycznie używamy komputera. Brak pamięci, duże użycie procesora może być skutkiem działania szkodliwego programu (wirusa, trojana), ale także złą konfiguracją systemu.

Należy być czujnym. . . • Co umożliwia rundll 32 ?

Co umożliwia rundll 32 ? • Program rundll 32. exe umożliwia uruchamianie procedur zapisanych w plikach dll, exe i cpl. Najprościej uruchomić go za pomocą Start|Uruchom. . . Wpisujemy rundll 32 nazwę pliku z procedurą i po przecinku nazwę procedury. Wygląda to np. tak: rundll 32. exe shell 32. dll, Control_Run. DLL

Czy plik rundll 32. exe może być wirusem? • Plik rundll 32. exe może być zarażony wirusem • istnieje podejrzenie, że jest wykorzystywany przez wirusa • wirus jest widoczny na liście procesów jako rundll 32. exe • Jak sprawdzić ścieżkę? Najlepiej programem Process Explorer. • Jeśli dana biblioteka nie jest biblioteką systemową ani nie należy do zainstalowanego przez nas programu, prawdopodobnie jest to wirus.

Czy plik rundll 32. exe może być wirusem? • W celu upewnienia się należy skorzystać z Google. • Jeśli stwierdzimy, że program rundll 32. exe uruchomił wirusa, • należy zabić jego proces a następnie skasować bibliotekę (DLL, CPL itp). • Po usunięciu wirusa można skasować jego ewentualny wpis z autostartu.

Co zrobić, gdy po zabiciu procesu wirusa natychmiast zostaje on uruchomiony ponownie? • Najprawdopodobniej wirus składa się z dwóch plików exe i gdy jeden proces zostanie zakończony, ten drugi uruchamia go jeszcze raz. • Jeśli mamy NTFS, najlepiej odebrać sobie prawa do wykonywania tych plików, zabić procesy i skasować pliki. • Jeśli mamy FAT 32, trzeba uruchomić komputer w trybie awaryjnym i skasować wirusy. Jeśli wirusy miały swoje wpisy w kluczach HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindo wsCurrent. VersionRun lub HKEY_CURRENT_USERSOFTWAREMicrosoftWindo wsCurrent. VersionRun, należy te wpisy usunąć.

Process Explorer

Ćwiczenie • Zbadaj programy i procesy uruchomione w twoim SO przy użyciu wyżej podanych narzędzi. Wynik podaj w formie sprawozdania. • Zapoznaj się z możliwościami polecenia bootcfg. (bootcfg /rebuild => odtworzenie pliku boot. ini)

Pytania