3.0.3 – Exercice en classe – Identifier les processus en cours d’exécution
Remarque à l’intention de l’instructeur : la couleur de police rouge ou les surlignages gris indiquent que le texte n’apparaît que dans la copie de l’instructeur.
Objectifs
Au cours de ces travaux pratiques, vous allez utiliser la visionneuse de terminaux TCP/UDP, un outil intégré à Sysinternals Suite, pour identifier tous les processus en cours d’exécution sur votre ordinateur.
Partie 1: Télécharger Windows SysInternals Suite.
Partie 2: Démarrer la visionneuse de terminaux TCP/UDP.
Partie 3: Observer les processus en cours d’exécution
Partie 4: Examiner un processus démarré par un utilisateur.
Contexte/scénario
Au cours de ces travaux pratiques, vous allez en apprendre davantage sur les processus. Les processus sont des programmes ou des applications en cours d’exécution. Vous allez explorer les processus à l’aide de l’outil Process Explorer fourni avec Windows Sysinternals Suite. Vous allez également démarrer et observer un nouveau processus.
Ressources requises
- 1. Ordinateur Windows avec accès Internet
Instructions
Partie 1: Télécharger Windows Sysinternals Suite.
a. Cliquez sur le lien suivant pour télécharger Windows Sysinternals Suite :
https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx
b. Une fois le téléchargement terminé, cliquez avec le bouton droit sur le fichier zip, puis choisissez Extraire tout… pour extraire les fichiers du dossier. Choisissez le nom et la destination par défaut dans le dossier Téléchargements et cliquez sur Extraire.
c. Fermez le navigateur.
Partie 2: Démarrez la visionneuse de terminaux TCP/UDP.
a. Accédez au dossier SysinternalsSuite contenant tous les fichiers extraits.
b. Ouvrez le fichier Tcpview.exe. À l’invite, acceptez le contrat de licence d’utilisation Process Explorer.
Cliquez sur Yes pour autoriser cette application à effectuer des modifications sur votre appareil.
c. Quittez l’Explorateur de fichiers et fermez toutes les applications en cours d’exécution.
Partie 3: Observez les processus en cours d’exécution.
a. TCPView répertorie les processus qui sont en cours d’exécution sur votre PC Windows. Pour l’instant, seuls des processus Windows sont en cours d’exécution.
b. Double-cliquez sur le fichier lsass.exe.
Qu’est-ce que le fichier lsass.exe ? Dans quel dossier se trouve-t-il ?
Local Security Authority Process est le nom de lsass.exe. Il se trouve dans le dossier C:\Windows\System32\.
c. Lorsque vous avez terminé, fermez la fenêtre de propriétés de lsass.exe.
d. Affichez les propriétés des autres processus en cours d’exécution.
Remarque : vous ne pouvez pas afficher les propriétés de tous les processus.
Partie 4: Examinez un processus démarré par un utilisateur.
a. Ouvrez un navigateur, tel que Microsoft Edge.
Qu’avez-vous vu dans la fenêtre TCPView ?
Les processus du navigateur web sont ajoutés à la fenêtre TCPView.
b. Fermez le navigateur Web.
Qu’avez-vous vu dans la fenêtre TCPView ?
Les processus du navigateur Web seront supprimés de la fenêtre TCPView.
c. Rouvrez le navigateur web. Recherchez certains des processus répertoriés dans TCPView. Notez vos résultats.
Les réponses varieront. Le processus lsass.exe vérifie la validité des connexions des utilisateurs au PC. Le services.exe est utilisé pour démarrer et arrêter les services et modifier les paramètres de démarrage des services par défaut. Le processus svnhost.exe (Service Host) gère le processus de partage des ressources système. La plupart de ces ressources répertoriées se trouvent dans le dossier C:\Windows\System32\. Si ces exécutables se trouvent ailleurs dans le système, il s’agit peut-être de logiciels malveillants, tels que des virus, des logiciels espions, des chevaux de Troie ou des vers.