avrei bisogno, gentilmente, di alcuni chiarimenti:
Ci sono alcune voci di Process Explorer che non so come leggere e quindi utilizzare a mio favore per capire se un determinato processo è legittimo o nasconde sorprese ( ad esempio malware o servizi che possono essere disattivati)
Cosa intendiamo per elenco degli Handle aperti?
oppure se si dice "Thread" del processo cosa si intende?
Quali sono le schede più importanti, tra quelle indicate in parentesi, (IMAGE; Performance;Performance Graph;Services; Threads; TCP/IP; Security; Environment; Strings )da prendere in considerazione quando visualizziamo le proprietà di un determinato processo e come utilizzare i relativi dati per capire se un determinato processo è legittimo o può essere causa di un malware?
Ad esempio se selezioniamo un processo, tasto destro--- proprietà, abbiamo molte schede, in quella denominata "Image" leggiamo tra le altre voci:
Parent
cosa indica?
Vado ad intuito: mostra la relazione di dipendenza tra un processo gerarchicamente superiore ed il sottoprocesso, nel senso che il sottoprocesso ha bisogno per funzionare che il processo gerarchicamente superiore sia in esecuzione Giusto?
Per cui quando parliamo di relazione di dipendenza tra un processo parent ed un processo figlio, e quindi sottoprocesso, posssiamo affermare che il processo parent ha lanciato il processo figlio/sottoprocesso o sbaglio?; ( Esempio Se l'utente avvia Firefox l'applicazione Firefox crea/lancia firefox.exe e plugin-container.exe,invece per una data istanza di svchost.exe, nella scheda Image, leggiamo alla voce "parent" il processo che ha lanciato svchost.exe? (ad esempio se service.exe "è un parent", lo vediamo anche nell'albero a sinistra ad un livello sopra svchost.exe, possiamo affermare che services.exe ha lanciato una istanza di svchost.exe "figlio/sottoprocesso, però in questo caso non è l'utente che lanciando una applicazione esempio "Word")
fa si che Word crei un processo, ma è il sistema operativo stesso, e quindi il processo services.exe che "lancia" una istanza di svchost.exe. Giusto?
User cosa indica? ( ad esempio se troviamo scritto NT Authority/SYSTEM ( cosa significa?) invece se troviamo indicato il nome Utente?,
a cosa servono i bottoni "Verfy"; "Bring to Front" ;Kill process ( questo l'ho capito, serve per terminare un processo)
Grazie
Ciao
Pp