220 likes | 357 Views
SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE. Menu startowe. Pliki konfiguracyjne Windows. Agenda. Menu startowe. Pliki konfiguracyjne Windows. Menu startowe. - Szybsze wywoływanie Menu Start. - Wywołania okienek z polecenia Menu Start/Uruchom. Szybsze wywoływanie Menu Start.
E N D
SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE Menu startowe. Pliki konfiguracyjne Windows.
Agenda • Menu startowe. • Pliki konfiguracyjne Windows.
Menu startowe. - Szybsze wywoływanie Menu Start. - Wywołania okienek z polecenia Menu Start/Uruchom
Szybsze wywoływanie Menu Start. Wywołanie Menu Start można przyśpieszyć poprzez wyłączenia zbędnego cienia pod menu: • Prawy klik na pulpit >>> Properties / Właściwości >>> Appearance / Wygląd >>> Effects / Efekty i w okienie, które pojawibsię odznaczamy opcję Show shadows under menus / Pokaż cienie pod menu. • Na rezultat kliknięcia elementu w menu Start trzeba chwilę czekać, bo jest to wymuszone przez system. Można dostosować szybkość czasową reakcji: • Start >>> Run / Uruchom >>> regedit • HKEY_CURRENT_USER\Control Panel\Desktop • MenuShowDelay - Domyślnie ustawiona wartość to 400 milisekund. Można ją ustawić nawet na 0. • UWAGA: Ustawienie na zero może być nazbyt szybkie powodując wyskakiwanie niezamierzonych menu. Wartością optymalną jest 150. Inne wartości domyślne mieszczą się w przedziale od: 400 poprzez 300, 200, 150 czy 0
Wywołania okienek z polecenia Menu Start/Uruchom • Z polecenia Menu Start/Uruchom mamy możliwość wywołania okienek oraz zakładek/opcji kilku systemowych aplikacji.Pliki *.CPL powinny być skojarzone z c:\windows\system32\control.exe.Panel Sterowania (CONTROL.EXE)
Wywołania okienek z polecenia Menu Start/Uruchom • Control Panel:rundll32.exe shell32.dll,Control_RunDLLappwiz.cpl - Właściwości: Dodaj/Usuń programy; desk.cpl - Właściwości: Ekran; main.cpl - Właściwości: Mysz; mmsys.cpl - Właściwości: Multimedia; sysdm.cpl - Właściwości: System; timedate.cpl - Właściwości: Data/Godzina; inetcpl.cpl - Właściwości: Internet; intl.cpl - Właściwości: Ustawienia regionalne; joy.cpl - Joystick; odbccp32.cpl - ODBC Data Source Administrator.hdwwiz.cpl- Kreator dodawania sprzętuncpa.cpl - Połączenia sieciowenusrmgr.cpl - Konta użytkownikówpowercfg.cpl - Właściwości opcje zasilaniawuaucpl.cpl - Aktualizacje automatyczne
Pliki konfiguracyjne Windows. • Msconfig • Autostart • Programy rezydujące • Rundll32 • Ćwiczenie
MSCONFIG Zawiera informacje o uruchamianiu systemu, sterownikach, konfiguracji
Najczęściej spotykane programy rezydujące w pamięci i ich funkcje. • To wynika z między innymi lekcji o architekturze Windows
Najczęściej spotykane programy rezydujące w pamięci i ich funkcje. • svchost.exe - proces ten obsługuje dużą liczbę usług, dlatego w Menedżerze zadań widzimy wiele jego kopii. • alg.exe - nadzoruje dzielenie połączenia internetowego i firewalla. Radzę nie wyłączać go nawet, jeżeli korzystamy z firewalla innego niż ten wbudowany w Windows. Zabicie procesu może skutkować niestabilną pracą systemu. • ctfmon.exe - część pakietu Microsoft Office, monitoruje aktywne okna, rozpoznawanie mowy, skróty klawiaturowe, schowek i inne ustawienia związane z użytkownikiem. Pracuje w tle nawet wtedy, kiedy nie używamy programów Office'a.
Najczęściej spotykane programy rezydujące w pamięci i ich funkcje. • spoolsv.exe - zarządza buforem wydruku, ustawia kolejkowanie drukowania. Można go wyłączyć jeżeli nie używa się drukarki, faksu lub programów symulujących ich działanie np. Acrobat Reader. • smss.exe - jest to proces, który jest częścią systemu Microsoft Windows. Nazywany jest Menedżerem sesji. Zainicjowany przez system odpowiada za wiele czynności, m.in logowania WinLogon i Win32 (Csrss.exe). Nie można go wyłączyć, jest niezbędny do stabilnego działania systemu. • csrss.exe - jego pełna nazwa to Client/Server Runtime Server Subsystem. Odpowiada za działanie większości komend graficznych. Ważny składnik systemu, nie powinien być zabijany.
Najczęściej spotykane programy rezydujące w pamięci i ich funkcje. • winlogon.exe - obsługuje procedury logowania i wylogowania się z systemu. • lsass.exe - proces systemu bezpieczeństwa Windows, zarządzanie regułami dostępu i ochrona użytkownika. • taskmgr.exe - Menedżer zadań Windows. To właśnie ten program uruchamiasz poprzez kombinacje klawiszy CRTL+ALT+DELETE. • services.exe - zarządza składnikami systemu uruchamianymi przy starcie Windows, obsługuje ich automatyczne włączanie w czasie ładowania systemu i zatrzymywanie w chwili zamykania. Jest niezbędny to prawidłowego i stabilnego działania systemu.
Należy być czujnym. • Są to najważniejsze procesy działające w systemie operacyjnym Microsoft Windows XP. Należy jednak pamiętać, że pod tymi nazwami lub bardzo podobnymi(!) mogą ukrywać się aplikacje szkodliwe, podszywające się pod dany program systemowy. Nie ma więc złotego środka na rozróżnienie ich. Warto też zwracać uwagę na użycie procesora i pamięci w czasie, kiedy praktycznie nie używamy komputera. Brak pamięci, duże użycie procesora może być skutkiem działania szkodliwego programu (wirusa, trojana), ale także złą konfiguracją systemu.
Należy być czujnym... • Co umożliwia rundll32 ?
Co umożliwia rundll32 ? • Program rundll32.exe umożliwia uruchamianie procedur zapisanych w plikach dll, exe i cpl. Najprościej uruchomić go za pomocą Start|Uruchom... Wpisujemy rundll32 nazwę pliku z procedurą i po przecinku nazwę procedury. Wygląda to np. tak:rundll32.exe shell32.dll,Control_RunDLL
Czy plik rundll32.exe może być wirusem? • Plik rundll32.exe może być zarażony wirusem • istnieje podejrzenie, że jest wykorzystywany przez wirusa • wirus jest widoczny na liście procesów jako rundll32.exe • Jak sprawdzić ścieżkę? Najlepiej programem Process Explorer. • Jeśli dana biblioteka nie jest biblioteką systemową ani nie należy do zainstalowanego przez nas programu, prawdopodobnie jest to wirus.
Czy plik rundll32.exe może być wirusem? • W celu upewnienia się należy skorzystać z Google. • Jeśli stwierdzimy, że program rundll32.exe uruchomił wirusa, • należy zabić jego proces a następnie skasować bibliotekę (DLL, CPL itp). • Po usunięciu wirusa można skasować jego ewentualny wpis z autostartu.
Co zrobić, gdy po zabiciu procesu wirusa natychmiast zostaje on uruchomiony ponownie? • Najprawdopodobniej wirus składa się z dwóch plików exe i gdy jeden proces zostanie zakończony, ten drugi uruchamia go jeszcze raz. • Jeśli mamy NTFS, najlepiej odebrać sobie prawa do wykonywania tych plików, zabić procesy i skasować pliki. • Jeśli mamy FAT32, trzeba uruchomić komputer w trybie awaryjnym i skasować wirusy. Jeśli wirusy miały swoje wpisy w kluczach HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run lub HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, należy te wpisy usunąć.
Ćwiczenie • Zbadaj programy i procesy uruchomione w twoim SO przy użyciu wyżej podanych narzędzi. Wynik podaj w formie sprawozdania. • Zapoznaj się z możliwościami polecenia bootcfg. (bootcfg /rebuild => odtworzenie pliku boot.ini)