Fjfj
01-08-2011, 11:31
Ciao,
vorrei chiedervi, gentilmente, un chiarimento:
per capire se un processo in memoria è legittimo, bisognerebbe capire quale programma lo lancia.
Ciò premesso, vorrei capire se queste mie deduzioni sono esatte o sbagliate:
Mi potreste, gentilmente, dare conferma ( in modo comprensibile per i non addetti ai lavori ) sui seguenti esempi per vedere se ho capito?
1) se l'utente avvia Firefox ( FF), FF crea un processo firefox.exe con il quale provvede a caricare in memoria (RAM)
vari elementi ( tra cui le librerie di sistema - Dll-) che contengono tutta una serie di funzionalità (messe a disposizione dal sistema operativo) rischieste da FF per funzionare. ( in questo caso il processo firefox.exe nasce perché c'è l'interazione dell'utente che appunto avvia FF)
2) invece nel caso del processo svchost.exe non vi è l'interazione dell'utente, in quanto svchost.exe è generato dalle librerie del sistema operativo-Dll- ( che in sostanza sono programmi che girano in background - servizi--) che abbisognano di un file eseguibile per essere caricate in memoria,--appunto svchost.exe. Giusto?
Per cui attraverso l'analisi del gruppo di servizi ( che altro non sono che i programmi che hanno lanciato una determinata istanza di svchost.exe), relativi ad un determinato processo svchost.exe ( infatti possono essercene più di uno) possiamo capire se lo stesso è legittimo o meno. Giusto?
Grazie mille
Ciao
Fjfj
vorrei chiedervi, gentilmente, un chiarimento:
per capire se un processo in memoria è legittimo, bisognerebbe capire quale programma lo lancia.
Ciò premesso, vorrei capire se queste mie deduzioni sono esatte o sbagliate:
Mi potreste, gentilmente, dare conferma ( in modo comprensibile per i non addetti ai lavori ) sui seguenti esempi per vedere se ho capito?
1) se l'utente avvia Firefox ( FF), FF crea un processo firefox.exe con il quale provvede a caricare in memoria (RAM)
vari elementi ( tra cui le librerie di sistema - Dll-) che contengono tutta una serie di funzionalità (messe a disposizione dal sistema operativo) rischieste da FF per funzionare. ( in questo caso il processo firefox.exe nasce perché c'è l'interazione dell'utente che appunto avvia FF)
2) invece nel caso del processo svchost.exe non vi è l'interazione dell'utente, in quanto svchost.exe è generato dalle librerie del sistema operativo-Dll- ( che in sostanza sono programmi che girano in background - servizi--) che abbisognano di un file eseguibile per essere caricate in memoria,--appunto svchost.exe. Giusto?
Per cui attraverso l'analisi del gruppo di servizi ( che altro non sono che i programmi che hanno lanciato una determinata istanza di svchost.exe), relativi ad un determinato processo svchost.exe ( infatti possono essercene più di uno) possiamo capire se lo stesso è legittimo o meno. Giusto?
Grazie mille
Ciao
Fjfj