Користувачі, які хоча б раз заглядали в диспетчер завдань Windows, напевно знайомі з поняттям процесу. Однак, у більшості з них, може складатися не зовсім правильне розуміння цього терміна.
Багато користувачів можуть помилково асоціювати процес з роботою якого-небудь додатка або служби. Але, насправді, це зовсім не так…
Програма – це набір інструкцій, представлених у вигляді виконуваного файлу, а ось процес – це набір закритого адресного простору, даних і ресурсів, що використовуються під час виконання цієї програми.
Знання стандартних процесів може стати в пригоді для ідентифікації процесу додатка та керування ним, а також для виявлення потенційно небезпечного програмного забезпечення.
У цій статті я розповім вам про стандартні процеси Windows 10 і про те, для чого ж вони потрібні і за що відповідають.
Моніторинг процесів у Windows 10
Для управління запущеними процесами в Windows 10 використовується диспетчер завдань. У ньому всі запущені процеси відображаються у двох вкладках: “Процеси” і “Подробиці”.
На першій вкладці диспетчер завдань відображає ім’я запущеного процесу, а на другій – назву виконуваного файлу, ID процесу, опис, приналежність, стан і об’єм споживаної ним пам’яті.
Типи процесів у Windows 10
У Windows 10 усі процеси можна розділити на три основні групи:
- Процеси додатків – це процеси стандартних і сторонніх додатків.
- Фонові процеси – це процеси, які працюють у фоновому режимі, тобто не мають вікон.
- Процеси операційної системи – це процеси, які відповідають за нормальне функціонування операційної системи.
Отже, а ось тепер давайте з вами детальніше зупинимося на основних процесах операційної системи Windows 10…
Системні процеси Windows 10
- Svchost.exe – це системний процес, який відповідає за управління різними службами. Він є свого роду контейнером для підпроцесів, які використовують бібліотеки DLL. У Диспетчері завдань цей процес представлений кількома екземплярами, більшість з яких критично важливі для роботи операційної системи Windows. Svchost.exe розташований у папці System32 і часто стає мішенню для вірусів.
- Lsass.exe – це важливий системний процес, який відповідає за авторизацію в системі. Якщо авторизація пройшла успішно, то цей процес ініціює запуск “Провідника” за допомогою спеціального маркера. На відміну від svchost.exe, процес lsass.exe завжди запускається з правами SYSTEM. Для роботи системи він критично важливий. Lsass.exe також розташований у папці System32 і часто вибирається як мішень для шкідливого програмного забезпечення.
- Explorer.exe – це найвідоміший процес, який відповідає за відображення графічної оболонки Windows 10 і дає змогу здійснювати навігацію. Вимкнення цього процесу не призведе до завершення роботи системи, але зробить використання GUI неможливим. Процес explorer.exe запускається з папки Windows і може мати кілька екземплярів.
- Sihost.exe – це системний хост-процес, який бере участь в обслуговуванні інфраструктури оболонки, дає змогу відкривати центр дій, різні меню, зокрема й меню “Пуск”. Виконуваний файл запускається з папки System32.
Ntoskrnl.exe або System – це базовий, критично важливий процес ядра операційної системи, який відповідає за роботу безлічі системних функцій і драйверів пристроїв. Завершення процесу System не передбачено, оскільки функціонування системи без нього неможливе. Виконуваний файл ntoskrnl.exe розташований у папці System32. - Wininit.exe – це процес, який керує автозавантаженням додатків у Windows 10, крім того, він запускає низку важливих служб, як-от SCM LSASS і LSM (диспетчер управління службами). Виконуваний файл розташований у папці System32. Раніше не було помічено випадків підміни його вірусом.
- Dwm.exe або Диспетчер вікон десктопа – це процес, який керує візуальними ефектами важливих елементів оболонки Windows, таких як десктоп, меню, вікна тощо. Dwm.exe використовує апаратне прискорення для створення ефектів прозорості, анімації та інших візуальних ефектів. Він також обробляє графічні елементи інтерфейсу, такі як віконні заголовки, рамки вікон і кнопки керування вікнами. Запускається цей процес із каталогу System32. Незважаючи на те, що dwm.exe є важливим компонентом Windows 10, ймовірність його зараження невелика. Якщо процес dwm.exe перестане працювати, це не призведе до критичних наслідків для роботи системи, але може вплинути на візуальний інтерфейс користувача.
- Smss.exe – керує підсистемою менеджера сеансів Windows 10, яка відповідає за запуск процесів Winlogon і Win32 та встановлення змінних системи. Файл є критично важливим для Windows і розташовується в директорії System32. Імовірність зараження цього файлу вірусами завжди висока.
Services.exe – важливий процес, що відповідає за управління системними службами. Він запускається з директорії System32, а його власником є система. Якщо процес запущено від імені іншого користувача, це може вказувати на зараження або підміну. - Winlogon.exe – відповідає за авторизацію користувачів у системі та вихід із неї. Він розташовується в папці System32 і випадки зараження або підміни його вірусом зустрічаються нечасто.
- Csrss.exe – цей процес керує роботою консольних додатків, таких як командний рядок, і є підсистемою компонента клієнт-сервер. Файл знаходиться в папці System32, ймовірність зараження вірусами також дуже висока.
- RuntimeBroker.exe – це один з основних процесів ядра Windows 10, який керує дозволами універсальних додатків, таких як доступ до камери або мікрофона. Кожному запущеному UWP-додатку відповідає свій екземпляр процесу RuntimeBroker. Файл розташований у каталозі System32.
- ApplicationFrameHost.exe – це ще один процес, який відповідає за роботу UWP-програм. У Windows 10 він забезпечує запуск універсальних додатків у вікнах незалежно від використовуваного режиму. Цей процес можна закрити примусово, але при цьому закриються всі запущені UWP-додатки, включно з тими, що працюють у фоні. Виконуваний файл процесу знаходиться в папці System32.
- Ctfmon.exe – процес, який забезпечує роботу мовної панелі та керує введенням даних. Він не є критично важливим, і зазвичай автоматично перезапускається після завершення користувачем. Файл знаходиться в System32, і випадки його використання вірусами доволі рідкісні.
- SecurityHealthService.exe – системна служба, що відповідає за роботу Центру безпеки в Windows 10. Вона управляється системою і її завершення через “Диспетчер завдань” не передбачено. Виконуваний файл знаходиться в папці System32.
- Spoolsv.exe – процес, що забезпечує виведення на друк з використанням принтера та інших подібних пристроїв. Не є особливо важливим і може бути завершений з “Диспетчера завдань” або відключений у службах. Файл знаходиться в папці System32 і ймовірність його зараження або використання вірусами зазвичай малоймовірна.
Часто, в диспетчері завдань Windows 10, особливо в категорії “Фонові”, крім перерахованих вище процесів, можна виявити й інші. Вони можуть стосуватися додаткових системних компонентів і драйверів пристроїв на вашому комп’ютері.
І не варто турбуватися, якщо ви побачите якийсь незнайомий вам процес. Просто детально ознайомтеся, за що саме він відповідає, а потім вже визначитеся, що з ним робити далі.
Замітка від професіонала:
Більшість системних процесів Windows 10 запускається з папки System32, що є підтвердженням їхньої автентичності. Віруси або шкідливі програми, які маскуються під системні процеси, часто запускаються з каталогу користувача або будь-яких інших папок.
