Лабораторная работа.

Изучение процессов, потоков,

дескрипторов и реестра Windows
Задачи
В этой лабораторной работе вы будете изучать процессы, потоки и дескрипторы с помощью средства
Process Explorer, входящего в состав SysInternals Suite. Также вы будете изменять параметры реестра
Windows.
Часть 1. Изучение процессов
Часть 2. Изучение потоков и дескрипторов
Часть 3. Изучение реестра Windows

Необходимые ресурсы
 1. ПК Windows с доступом к Интернету

Часть 1: Изучение процессов

В этой части лабораторной работы вы будете изучать процессы. Процессы — это запущенные
программы или приложения. Вы будете изучать процессы с помощью Process Explorer, входящего
в состав Windows Sysinternals Suite. Вы также будете запускать новый процесс и наблюдать за ним.

Шаг 1: Загрузите Windows SysInternals Suite.

a. Перейдите по следующей ссылке, чтобы загрузить Windows Sysinternals Suite:
https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
b. После завершения загрузки извлеките файлы из папки.
c. Не закрывайте веб-обозреватель, он понадобится для выполнения следующих шагов.

Шаг 2: Изучите свойства какого-либо активного процесса.

a. Перейдите в папку SysinternalsSuite, содержащую извлеченные файлы.
b. Откройте procexp.exe. Примите лицензионное соглашение Process Explorer при появлении
соответствующего запроса.
Лабораторная работа. Изучение процессов, потоков, дескрипторов и реестра Windows

c. Process Explorer отображает список процессов, выполняющихся в настоящее время.

d. Чтобы найти процесс веб-обозревателя, перетащите значок Find Window's Process ( ) (Найти
процесс по окну) в открытое окно веб-браузера. В этом примере используется Microsoft Edge.
Лабораторная работа. Изучение процессов, потоков, дескрипторов и реестра Windows

e. Процесс Microsoft Edge можно завершить из Process Explorer. Щелкните правой кнопкой мыши по
выбранному процессу и выберите Kill Process (Удалить процесс).

Что произошло с окном веб-обозревателя при удалении процесса?

____________________________________________________________________________________

Шаг 3: Запустите еще один процесс.

a. Откройте командную строку. (Пуск > поиск Командная строка > выберите Командная строка)

b. Перетащите значок Find Window's Process ( ) (Найти процесс по окну) в окно Command Prompt
(Командная строка) и найдите выделенный процесс в Process Explorer.
c. Процесс для окна Command Prompt (Командная строка) — cmd.exe. Родительский процесс —
explorer.exe. Процесс cmd.exe имеет дочерний процесс — conhost.exe.
Лабораторная работа. Изучение процессов, потоков, дескрипторов и реестра Windows

d. Перейдите в окно Command Prompt (Командная строка). Запустите ping в командной строке
и проследите за изменениями в процессе cmd.exe.
Что произошло во время выполнения команды ping?
____________________________________________________________________________________
e. Просматривая список активных процессов, вы увидите дочерний процесс conhost.exe, который
может показаться подозрительным. Для того чтобы проверить наличие вредоносного
содержимого, щелкните правой кнопкой мыши conhost.exe и выберите Check VirusTotal
(Проверить VirusTotal). При появлении запроса нажмите Yes (Да), чтобы принять условия
использования VirusTotal. Нажмите кнопку OK в ответ на следующий запрос.

f. Разверните окно Process Explorer или прокрутите вправо, пока не появится столбец VirusTotal.
Щелкните ссылку в столбце VirusTotal. Результаты по вредоносному содержимому процесса
conhost.exe открываются в веб-обозревателе по умолчанию.
g. Щелкните правой кнопкой мыши по процессу cmd.exe и выберите Kill Process (Удалить процесс).
Что произошло с дочерним процессом conhost.exe?
____________________________________________________________________________________

Часть 2: Изучение потоков и дескрипторов

В этой части лабораторной работы вы будете изучать потоки и дескрипторы. С процессом связаны
один или несколько потоков. Поток — это единица выполнения процесса. Дескриптор — абстрактная
ссылка на блоки памяти или объекты, управляемые операционной системой. Для изучения потоков
и дескрипторов вы будете использовать средство Process Explorer (procexp.exe), входящее в состав
Windows SysInternals Suite.
Лабораторная работа. Изучение процессов, потоков, дескрипторов и реестра Windows

Шаг 1: Исследование потоков.

a. Откройте командную строку.
b. В окне Process Explorer щелкните правой кнопкой мыши conhost.exe и выберите Properties...
(Свойства...). Перейдите на вкладку Threads (Потоки), чтобы просмотреть активные потоки
процесса conhost.exe.

c. Просмотрите сведения о потоке. Какая информация доступна в окне Properties (Свойства)?

____________________________________________________________________________________
____________________________________________________________________________________
Лабораторная работа. Изучение процессов, потоков, дескрипторов и реестра Windows

Шаг 2: Изучение дескрипторов.

В Process Explorer щелкните View (Просмотр) > Show Lower Pane (Показать нижнюю панель) >
Handles (Дескрипторы), чтобы увидеть дескрипторы, связанные с процессом conhost.exe.

Изучите свойства этих дескрипторов. На какие объекты указывают эти дескрипторы?

_______________________________________________________________________________________

Часть 3: Изучение реестра Windows

Реестр Windows — это иерархическая база данных, в которой хранится большинство параметров
конфигурации операционной системы и рабочего стола. В этой части лабораторной работы вы
сделаете следующее.
a. Для того чтобы получить доступ к реестру Windows, выберите Start (Пуск) > Search (Поиск),
найдите regedit и выберите Registry Editor (Редактор реестра). Нажмите кнопку Yes (Да) в ответ
на вопрос, разрешить ли приложению вносить изменения.
Редактор реестра имеет пять ветвей. Эти ветви находятся на верхнем уровне реестра.
o HKEY_CLASSES_ROOT — фактически является подразделом Classes раздела
HKEY_LOCAL_MACHINE\Software\. В нем хранится информация, используемая
зарегистрированными приложениями, например привязка к расширениям файлов, а также
данные программных идентификаторов (ProgID), идентификаторов классов (CLSID)
и идентификаторов интерфейсов (IID).
o Раздел HKEY_CURRENT_USER содержит параметры и настройки для пользователей, которые
в настоящее время вошли в систему.
o В разделе HKEY_LOCAL_MACHINE хранится информация о конфигурации, соответствующая
локальному компьютеру.
o Раздел HKEY_USERS содержит параметры и настройки для всех пользователей локального
компьютера. Раздел HKEY_CURRENT_USER является подразделом HKEY_USERS.
Лабораторная работа. Изучение процессов, потоков, дескрипторов и реестра Windows

o Раздел HKEY_CURRENT_CONFIG хранит информацию об оборудовании, которая

используется во время начальной загрузки локального компьютера.

b. На предыдущем шаге вы принимали лицензионное соглашение для Process Explorer. Перейдите

в раздел реестра EulaAccepted приложения Process Explorer.
Выберите раздел HKEY_CURRENT_USER > Software > Sysinternals > Process Explorer.
Прокрутите вниз, чтобы найти параметр EulaAccepted. В настоящее время для параметра
EulaAccepted установлено значение 0x00000001(1).
Лабораторная работа. Изучение процессов, потоков, дескрипторов и реестра Windows

c. Дважды щелкните параметр реестра EulaAccepted. В данный момент параметр имеет значение 1.
Значение 1 означает, что лицензионное соглашение было принято пользователем.

d. Измените значение 1 на значение 0 в поле Value (Значение). Значение 0 указывает, что EULA не
было принято. Для продолжения нажмите ОК.
Какое значение для этого раздела реестра отображается в столбце данных?
____________________________________________________________________________________
e. Откройте Process Explorer. Перейдите в папку, куда был загружен пакет SysInternals. Откройте
папку SysInternalsSuite, затем откройте procexp.exe.
Что вы видите при открытии Process Explorer?
____________________________________________________________________________________