IV. АМАЛИЙ МАШҒУЛОТ МАТЕРИАЛЛАРИ
159
6.3-расм. ProcMon дастури кўриниши
Ушбу дастурдан фойдаланган ҳолда барча жараѐнларни
кузатиш
мураккаб, яъни ҳодисалар жуда ҳам кўп ва улар ичидан кераклисини
аниқлаш мушкул. Керакли маълумотларни ажратиб олиш учун уларни
филтерлаш амалга оширилади. Бу амални Process
Monitor дастурида амалга
ошириш учун
“Filter
Filter”
бандига ўтилади.
6.4-расм. Фильтр менюси
Process Explorer ёрдамида жараёнларни кузатиш.
Ушбу дастурий
восита Windows томонидан ишлаб чиқилган бўлиб, динамик таҳлиллашда
кенг қўлланилади. Бу дастурий восита орқали актив жараѐнлар рўйхатини,
жараѐнлар орқали юкланган DLL файллар рўйхатини, жараѐнларнинг
хусусиятларини ва тизим ҳақида умумий маълумотларни олиш мумкин.
Бундан ташқари жараѐнларни тугатиш, юклаш каби амалларни бажариш
мумкин. Дастур ойнасида жараѐнлар шажара шаклида берилади. Ойнада 7
устун бўлиб, Process устида жараѐн номи, PID устида жараѐн идентификация
номери, CPU устида фойдаланиш кўрсаткичи,
Description, Company name,
Working set, Private bytes устунларидан иборат. Одатий ҳолда дастур
ойнасида
хизматлар пушти рангда, жараѐнлар кўк рангда, янги жараѐнлар
IV. АМАЛИЙ МАШҒУЛОТ МАТЕРИАЛЛАРИ
160
яшил рангда, тугатилган жараѐнлар қизил рангда тасвирланади.Яшил ва
қизил ранглар вақтинчалик саналади. ЗД таҳлиллашда бу дастур орқали янги
жараѐнни ҳосил бўлиши ўзгараши орқали билиш мумкин.
1
6.5-расм. Process Explorer дастурий воситаси кўриниши
Танланган жараѐннинг устида сичқонча тугмасини икки марта босиш
орқали жараѐн ҳақида тўлиқ маълумотга эга бўлиш мумкин.
6.6-расм. Process Explorer дастурий воситаси хусусиятлар ойнаси
Verify (текшириш) танлови.
Process Explorer дастурининг муҳим
хусусиятларини бири бу –
текшириш
танлови бўлиб, бу орқали жараѐнни
ҳақиқий ѐки алмаштирилган эканлигини аниқлаш мумкин.
Бунинг учун
дастурнинг
Image
бандидан
Verify
тугмасини босиш талаб эталади. ЗД одатда
ўзларини бошқа жараѐн кўринишида кўрсатишга ҳаракат қиладилар.
Дастурнинг бу имконияти эса бу ўзгаришни аниқлаш имконини беради.
Қаторларни солиштириш.
Process Explorer дастурининг яни бир муҳим
1
Michael Sikorski, Andrew Honig. Practical malware analysis. 47 – с.
IV. АМАЛИЙ МАШҒУЛОТ МАТЕРИАЛЛАРИ
161
хусусиятларидан бири бу – жараѐнларни ўзгартирилишини аниқлашдир.
Одатда кўплаб ЗД лар ўзини бошқа жараѐн орқасига яширади. Жараѐннинг
дискдага шакли ва унинг хотирага юкланган шакли орасида фарқ юзага
келади. ЗД
дискдаги шаклини эмас, хотирадаги қийматини ўзгартиради,
яъни, ўзини функцияларини жойлаштиради.
6.7-расм. Қаторларни солиштириш
Do'stlaringiz bilan baham: