Einzelnen Beitrag anzeigen

Benutzerbild von Assarbad
Assarbad

Registriert seit: 8. Okt 2010
Ort: Frankfurt am Main
1.234 Beiträge
 
#10

AW: 32bit Service auf 64bit Platform

  Alt 24. Okt 2010, 16:05
Alles klar

Die, die z.B. beim Modulschnappschuß nur dann ein konsistentes (= anzahlig größer als Null) Ergebnis zurückliefern, wenn das Programm zuvor erfolgreich Exklusivrechte ("Privilegien") anforderte. Es sind dies von der Prozeß-ID her die niedrigen Prozesse, sie reichen bei mir namentlich von "System" bis "svchost", während die anderen Prozesse ab "explorer.exe" (in Richtung steigender Prozeß-IDs) auch ohne solche Privileganforderung solche Informationen preisgibt. Desweiteren benötigt man auch diese maximalen bzw. exklusiven Privilegien, um solche Prozesse mit niedrigen IDs "abzuschießen".
Dienste abzuschießen ist ohnehin eine schlechte Idee, es sei denn alles andere schlägt fehl. Zuerst sollte man "net stop" (API-Funktion ControlService) benutzen. Früher konnte man bspw. auch winlogon.exe abschießen, da aber der Session-Manager (smss.exe) ein Handle auf diesen Prozeß hielt, kassierte man dafür innerhalb von Sekunden einen BSOD.

"System" ist kein Prozeß und kann auch nicht abgeschossen werden. Genau wie der "Leerlaufprozeß" (aka "Idle process"), der ebenfalls nur ein Pseudo-Prozeß ist. "System" repäsentiert in gewisser Weise den NT-Kernel und die darin geladenen Treiber. Hat einfach was mit dem Scheduling zu tun.

Irgendetwas muß an diesen Prozessen anders sein (Ring 0?); ich nenne sie, wohl nicht ganz korrekt, Systemprozesse.
Sie laufen in der Service-Session (üblicherweise 0), welche ab Windows Vista strenger vom Rest des Systems abgetrennt ist. Außerdem laufen sie oft unter anderen Benutzerkonten.

Nachtrag: mit Ring 0, aka Kernelmodus, hat das nicht viel zu tun. Üblicherweise hat fast jeder Thread (außer reine Kernelthreads) etwas sowohl in Ring 0 als auch in Ring 3 zu erledigen. Und da Prozesse im Grunde nur Threads "gruppieren", ist die Aussage auf Prozesse insoweit anwendbar. Es gibt aber auch gewisse Ausnahmen wo die Grenze (insbesondere beim Start) verschwimmt, bspw. smss.exe
Oliver
"... aber vertrauen Sie uns, die Physik stimmt." (Prof. Harald Lesch)

Geändert von Assarbad (24. Okt 2010 um 16:08 Uhr)
  Mit Zitat antworten Zitat