capire se un processo in memoria è legittimo
Inviato: lun ago 01, 2011 1:30 amCiao,
vorrei chiedervi, gentilmente, un chiarimento:
per capire se un processo in memoria è legittimo, bisognerebbe capire quale programma lo lancia.
Ciò premesso, vorrei capire se queste mie deduzioni sono esatte o sbagliate:
Mi potreste, gentilmente, dare conferma ( in modo comprensibile per i non addetti ai lavori ) sui seguenti esempi per vedere se ho capito?
1) se l'utente avvia Firefox ( FF), FF crea un processo firefox.exe con il quale provvede a caricare in memoria (RAM)
vari elementi ( tra cui le librerie di sistema - Dll-) che contengono tutta una serie di funzionalità (messe a disposizione dal sistema operativo) rischieste da FF per funzionare. ( in questo caso il processo firefox.exe nasce perché c'è l'interazione dell'utente che appunto avvia FF)
2) invece nel caso del processo svchost.exe non vi è l'interazione dell'utente, in quanto svchost.exe è generato dalle librerie del sistema operativo ( che in sostanza sono programmi che girano in background - servizi--) che abbisognano di un file eseguibile per essere caricate in memoria,--appunto svchost.exe. Giusto?
Per cui attraverso l'analisi del gruppo di servizi ( che altro non sono che i programmi che hanno lanciato una determinata istanza di svchost.exe), relativi ad un determinato processo svchost.exe ( infatti possono essercene più di uno) possiamo capire se lo stesso è legittimo o meno. Giusto?
Grazie mille
![[ciao]](http://www.megalab.it/forum/images/smilies/Ciao.gif "Ciao")
Pp
vorrei chiedervi, gentilmente, un chiarimento:
per capire se un processo in memoria è legittimo, bisognerebbe capire quale programma lo lancia.
Ciò premesso, vorrei capire se queste mie deduzioni sono esatte o sbagliate:
Mi potreste, gentilmente, dare conferma ( in modo comprensibile per i non addetti ai lavori ) sui seguenti esempi per vedere se ho capito?
1) se l'utente avvia Firefox ( FF), FF crea un processo firefox.exe con il quale provvede a caricare in memoria (RAM)
vari elementi ( tra cui le librerie di sistema - Dll-) che contengono tutta una serie di funzionalità (messe a disposizione dal sistema operativo) rischieste da FF per funzionare. ( in questo caso il processo firefox.exe nasce perché c'è l'interazione dell'utente che appunto avvia FF)
2) invece nel caso del processo svchost.exe non vi è l'interazione dell'utente, in quanto svchost.exe è generato dalle librerie del sistema operativo ( che in sostanza sono programmi che girano in background - servizi--) che abbisognano di un file eseguibile per essere caricate in memoria,--appunto svchost.exe. Giusto?
Per cui attraverso l'analisi del gruppo di servizi ( che altro non sono che i programmi che hanno lanciato una determinata istanza di svchost.exe), relativi ad un determinato processo svchost.exe ( infatti possono essercene più di uno) possiamo capire se lo stesso è legittimo o meno. Giusto?
Grazie mille
Pp
![[^]](http://www.megalab.it/forum/images/smilies/Oh-yea.gif "Approvazione")
![[;)]](http://www.megalab.it/forum/images/smilies/wink.gif "Occhiolino")
![[grazie]](http://www.megalab.it/forum/images/smilies/Grazie.gif "Grazie")
ancora