Академический Документы
Профессиональный Документы
Культура Документы
Необходимые ресурсы
1. ПК Windows с доступом к Интернету
d. Чтобы найти процесс веб-обозревателя, перетащите значок Find Window's Process ( ) (Найти
процесс по окну) в открытое окно веб-браузера. В этом примере используется Microsoft Edge.
Лабораторная работа. Изучение процессов, потоков, дескрипторов и реестра Windows
e. Процесс Microsoft Edge можно завершить из Process Explorer. Щелкните правой кнопкой мыши по
выбранному процессу и выберите Kill Process (Удалить процесс).
b. Перетащите значок Find Window's Process ( ) (Найти процесс по окну) в окно Command Prompt
(Командная строка) и найдите выделенный процесс в Process Explorer.
c. Процесс для окна Command Prompt (Командная строка) — cmd.exe. Родительский процесс —
explorer.exe. Процесс cmd.exe имеет дочерний процесс — conhost.exe.
Лабораторная работа. Изучение процессов, потоков, дескрипторов и реестра Windows
d. Перейдите в окно Command Prompt (Командная строка). Запустите ping в командной строке
и проследите за изменениями в процессе cmd.exe.
Что произошло во время выполнения команды ping?
____________________________________________________________________________________
e. Просматривая список активных процессов, вы увидите дочерний процесс conhost.exe, который
может показаться подозрительным. Для того чтобы проверить наличие вредоносного
содержимого, щелкните правой кнопкой мыши conhost.exe и выберите Check VirusTotal
(Проверить VirusTotal). При появлении запроса нажмите Yes (Да), чтобы принять условия
использования VirusTotal. Нажмите кнопку OK в ответ на следующий запрос.
f. Разверните окно Process Explorer или прокрутите вправо, пока не появится столбец VirusTotal.
Щелкните ссылку в столбце VirusTotal. Результаты по вредоносному содержимому процесса
conhost.exe открываются в веб-обозревателе по умолчанию.
g. Щелкните правой кнопкой мыши по процессу cmd.exe и выберите Kill Process (Удалить процесс).
Что произошло с дочерним процессом conhost.exe?
____________________________________________________________________________________
c. Дважды щелкните параметр реестра EulaAccepted. В данный момент параметр имеет значение 1.
Значение 1 означает, что лицензионное соглашение было принято пользователем.
d. Измените значение 1 на значение 0 в поле Value (Значение). Значение 0 указывает, что EULA не
было принято. Для продолжения нажмите ОК.
Какое значение для этого раздела реестра отображается в столбце данных?
____________________________________________________________________________________
e. Откройте Process Explorer. Перейдите в папку, куда был загружен пакет SysInternals. Откройте
папку SysInternalsSuite, затем откройте procexp.exe.
Что вы видите при открытии Process Explorer?
____________________________________________________________________________________