abomazn2006
27-05-2008, 03:14 PM
:LLL:
فيما يلي أسماء بعض البرامج التي تراها في القائمة والتي تنتمي رسميا للنظام نفسه، والتي
يجب ألا تحاول مطلقا إيقافا ( أغلبها) ، وبعضها قد لا تستطيع إيقافها وبعضها تستطيع، والويندوز
سيعرض لك رسالة بذلك، ولكن هناك أدوات أخرى يؤدي المطلوب رغم أنف ويندوز.
System Idle Process، هذا في الحقيقة ليس برنامجا ولكنه مكان يضع فيه النواة، الوقت والجهد
المتاح في المعالج CPU Idle Time، ولذلك تراه دائما قيمته يتراوح حول 99 أو أقل حسب عمل
الجهاز هذا بالطبع لا تستيطع إيقافه ولا حتى مجرد إظهار القائمة الخاص بذلك.
System وهذا كذلك ليس برنامجا لوحده ولكنه جزء من النواة نفسه والمسؤول عن توليد عمل
البرامج (Thread,Process) في مستوى النواة وهذا أيضا لا يمكنك إيقاف.
Session Manager Subsystem وهذا يوجد في ملف SMSS.exe والمسؤول عن إدارة جلسات
العمل للمستخدمين للنظام، يمكن إيقافه ولكن إذا أوقت سوف يحدث إعادة تشغيل للنظام
ولذلك لا تحاول ذلك.
Client/Service Run time System يوجد في ملف CSRSS.exe ويتم تشغيله من قبل البرنامج
السابق، وهذا في الحقيقة الجزء الخاص من النواة ولكن يوجد في مستوى المستخدم
User-Mode، وبذلك مسؤول عن توليد البرامج في مستوى المستخدم، وتهيئة البيئة اللازمة
لتشغيل برامج قديمة مثل برامج دوس و16 بت. يمكن إيقافه ولكن لا تحاول ذلك.
WinLogon يوجد في ملف WinLogon.exe ، المسؤول عن بدء وإدارة ولوج وخروج المستخدمين
للنظام, يجب ألا تحاول إيقافه كذلك.
Service control Manager يوجد في ملف Services.exe والمسؤول عن إدارة خدمات ويندوز
Windows Services ،يجب ألا تحاول إيقافه كذلك.
Local Security Authentication Server يوجد في ملف Lsass.exe المسؤول عن التحقق من هوية
المستخدمين وصلاحياتهم أثناء ولوجهم للنظام من خلال خدمات مثل MS Gina
(يوجد في ملف msgina.dll )، يجب ألا تحاول إيقافه كذلك.
Svchost يوجد في ملف Svchost.exe المسؤول عن استضافة ملفات DLL للعمل كبرامج عادية،
ولذلك ترى أكثر من نسخة عاملة من هذا الملف، يمكنك إيقاف بضعها والبعض الآخر لو أوقفته
سيؤدي إلى إعادة تشغيل النظام.
Spooler Service يوجد في ملف Spoolsv.exe المسؤول عن إدارة مهام الطباعة والفاكس.
Winmgmt يوجد في ملف بنفس الاسم، لا أعرف ما مهمته، لا تراه دائما ولكن إذا رأيته لا تحاول
إيقافه.
Explorer.exe ، كلكم تعرفونه في الحقيقة هو المسؤول عن إظهار سطح المكتب ورسم الصور الخ،
وإذا أوقفته النظام سيبدأ نسخة منه فورا ( بعض الحالات لا يحدث ).
وكثيرا ما ترى Rundll.exe/Rundll32.exe وهذا ملف يمكن استخدامه لتشغيل ملفات DLL لوحده،
وهذه الطريقة يستغلها كثير من البرامج الخبيثة، وإذا رأيته نشطا قم بفحص msconfig قسم بدء
البرامج، وانظر هل هناك ملفات dll مريبة، وقم بإزالته وكذلك قم بإنهاء الملف النشط وإيقافه لا يؤثر
في عمل النظام نفسه.
wowexec.exe ، هذا الملف يتم استدعائها لتشغيل برامج 16 بت في بيئة 32 بت، لا تقم بإنهائه،
وعندما ينتهي عمل البرنامج الذي استدعاه سيختفي، وإيقافه لا يؤثر في عمل النظام نفسه.
عندما تحاول إيقاف أحد هذه البرامج من خلال مدير المهام Task manager في ويندوز ، بالنسبة
للبعض سيعطيك تحذيرا ولا يوقفها ، والبعض الآخر قد يوقفها ولكن سيؤدي ذلك إلى إعادة تشغيل
النظام أو إظهار شاشة زرقاء جميلة, ولكن المشكلة أحيانا بعض البرامج الخبيثة قد يقوم بتشغيل
نفسها باستخدام أحد تلك الأسماء (مشكلة، ويندوز لا يمنع البرامج الخبيثة من استخدام اسم
ملفاتها المهمة ) ، بالذات (winlogo,svchost وما بعده)، وإذا كنت تشك في ذلك، أولا قم بإظهار
مسار الملف وانظر كذلك في رقم PID ، لأن ويندوز يستخدم لملفاته في الغالب أرقاما تحت 1000،
مثلا System Idle process دائما 0، وSystem دائما 8 والآخرون تحت 1000.
وأخيرا هناك برامج أخرى مثل التي تاتي من Sysinternals في حزمة PsTools وهو pskill بإمكانه
إيقاف أو قتل أي شيء تقريبا.
معرفة هذه البرامج او الأدوات ضرورية حتى نميز بينها وبين البرامج الأخرى لا سيما الفيروسات او
التروجنات, لذلك أنا أعتبر ان معرفتها من أهم الأمور لأي واحد يهمه المحافظة على جهازه من
الاختراق والعبث سواء كان الاختراق المقصود او الاختراق الغير مقصود وهو ما يسمى بغباء أو
اخطاء المبرمجين والذي سوف يكون عنون المقال القادم
فيما يلي أسماء بعض البرامج التي تراها في القائمة والتي تنتمي رسميا للنظام نفسه، والتي
يجب ألا تحاول مطلقا إيقافا ( أغلبها) ، وبعضها قد لا تستطيع إيقافها وبعضها تستطيع، والويندوز
سيعرض لك رسالة بذلك، ولكن هناك أدوات أخرى يؤدي المطلوب رغم أنف ويندوز.
System Idle Process، هذا في الحقيقة ليس برنامجا ولكنه مكان يضع فيه النواة، الوقت والجهد
المتاح في المعالج CPU Idle Time، ولذلك تراه دائما قيمته يتراوح حول 99 أو أقل حسب عمل
الجهاز هذا بالطبع لا تستيطع إيقافه ولا حتى مجرد إظهار القائمة الخاص بذلك.
System وهذا كذلك ليس برنامجا لوحده ولكنه جزء من النواة نفسه والمسؤول عن توليد عمل
البرامج (Thread,Process) في مستوى النواة وهذا أيضا لا يمكنك إيقاف.
Session Manager Subsystem وهذا يوجد في ملف SMSS.exe والمسؤول عن إدارة جلسات
العمل للمستخدمين للنظام، يمكن إيقافه ولكن إذا أوقت سوف يحدث إعادة تشغيل للنظام
ولذلك لا تحاول ذلك.
Client/Service Run time System يوجد في ملف CSRSS.exe ويتم تشغيله من قبل البرنامج
السابق، وهذا في الحقيقة الجزء الخاص من النواة ولكن يوجد في مستوى المستخدم
User-Mode، وبذلك مسؤول عن توليد البرامج في مستوى المستخدم، وتهيئة البيئة اللازمة
لتشغيل برامج قديمة مثل برامج دوس و16 بت. يمكن إيقافه ولكن لا تحاول ذلك.
WinLogon يوجد في ملف WinLogon.exe ، المسؤول عن بدء وإدارة ولوج وخروج المستخدمين
للنظام, يجب ألا تحاول إيقافه كذلك.
Service control Manager يوجد في ملف Services.exe والمسؤول عن إدارة خدمات ويندوز
Windows Services ،يجب ألا تحاول إيقافه كذلك.
Local Security Authentication Server يوجد في ملف Lsass.exe المسؤول عن التحقق من هوية
المستخدمين وصلاحياتهم أثناء ولوجهم للنظام من خلال خدمات مثل MS Gina
(يوجد في ملف msgina.dll )، يجب ألا تحاول إيقافه كذلك.
Svchost يوجد في ملف Svchost.exe المسؤول عن استضافة ملفات DLL للعمل كبرامج عادية،
ولذلك ترى أكثر من نسخة عاملة من هذا الملف، يمكنك إيقاف بضعها والبعض الآخر لو أوقفته
سيؤدي إلى إعادة تشغيل النظام.
Spooler Service يوجد في ملف Spoolsv.exe المسؤول عن إدارة مهام الطباعة والفاكس.
Winmgmt يوجد في ملف بنفس الاسم، لا أعرف ما مهمته، لا تراه دائما ولكن إذا رأيته لا تحاول
إيقافه.
Explorer.exe ، كلكم تعرفونه في الحقيقة هو المسؤول عن إظهار سطح المكتب ورسم الصور الخ،
وإذا أوقفته النظام سيبدأ نسخة منه فورا ( بعض الحالات لا يحدث ).
وكثيرا ما ترى Rundll.exe/Rundll32.exe وهذا ملف يمكن استخدامه لتشغيل ملفات DLL لوحده،
وهذه الطريقة يستغلها كثير من البرامج الخبيثة، وإذا رأيته نشطا قم بفحص msconfig قسم بدء
البرامج، وانظر هل هناك ملفات dll مريبة، وقم بإزالته وكذلك قم بإنهاء الملف النشط وإيقافه لا يؤثر
في عمل النظام نفسه.
wowexec.exe ، هذا الملف يتم استدعائها لتشغيل برامج 16 بت في بيئة 32 بت، لا تقم بإنهائه،
وعندما ينتهي عمل البرنامج الذي استدعاه سيختفي، وإيقافه لا يؤثر في عمل النظام نفسه.
عندما تحاول إيقاف أحد هذه البرامج من خلال مدير المهام Task manager في ويندوز ، بالنسبة
للبعض سيعطيك تحذيرا ولا يوقفها ، والبعض الآخر قد يوقفها ولكن سيؤدي ذلك إلى إعادة تشغيل
النظام أو إظهار شاشة زرقاء جميلة, ولكن المشكلة أحيانا بعض البرامج الخبيثة قد يقوم بتشغيل
نفسها باستخدام أحد تلك الأسماء (مشكلة، ويندوز لا يمنع البرامج الخبيثة من استخدام اسم
ملفاتها المهمة ) ، بالذات (winlogo,svchost وما بعده)، وإذا كنت تشك في ذلك، أولا قم بإظهار
مسار الملف وانظر كذلك في رقم PID ، لأن ويندوز يستخدم لملفاته في الغالب أرقاما تحت 1000،
مثلا System Idle process دائما 0، وSystem دائما 8 والآخرون تحت 1000.
وأخيرا هناك برامج أخرى مثل التي تاتي من Sysinternals في حزمة PsTools وهو pskill بإمكانه
إيقاف أو قتل أي شيء تقريبا.
معرفة هذه البرامج او الأدوات ضرورية حتى نميز بينها وبين البرامج الأخرى لا سيما الفيروسات او
التروجنات, لذلك أنا أعتبر ان معرفتها من أهم الأمور لأي واحد يهمه المحافظة على جهازه من
الاختراق والعبث سواء كان الاختراق المقصود او الاختراق الغير مقصود وهو ما يسمى بغباء أو
اخطاء المبرمجين والذي سوف يكون عنون المقال القادم