WEBVTT 00:00.560 --> 00:03.530 สวัสดีและยินดีต้อนรับสู่ส่วนใหม่ 00:03.890 --> 00:12.980 ในหัวข้อนี้เราจะศึกษาหน่วยความจำเสมือนและไฟล์ปฏิบัติการแบบพกพาที่เรียกอีกอย่างว่าไฟล์ PE 00:14.400 --> 00:18.030 เราจะมาดูการสร้างกระบวนการอันดับหนึ่ง 00:18.600 --> 00:27.840 จากนั้นเราจะไปที่หมายเลขสอง ซึ่งก็คือหน่วยความจำเสมือน และหมายเลขสาม คือไฟล์ PE ที่สามารถปฏิบัติการได้พกพา 00:29.580 --> 00:37.950 โปรดดาวน์โหลดตัวอย่าง Lab 4 นี้ ซึ่งสามารถเข้าถึงได้จากส่วนทรัพยากรสำหรับวิดีโอนี้ 00:39.400 --> 00:42.730 ภายในนั้นคุณจะพบไฟล์ตัวอย่างจำนวน 3 ไฟล์ 00:43.210 --> 00:46.960 ตัวอย่างที่ 4-1, 4-2 และ 4-3 00:48.280 --> 00:52.720 ตอนนี้เราจะมาศึกษาเรื่องการสร้างกระบวนการ 00:53.200 --> 00:59.350 เราจะมาดูกันว่าระบบปฏิบัติการจะเปลี่ยนโปรแกรมให้เป็นกระบวนการได้อย่างไร 00:59.740 --> 01:06.880 เพื่อเป็นตัวอย่าง เราจะดูโปรแกรม C 01:07.420 --> 01:10.420 ลองมาพิจารณาโปรแกรม C ง่ายๆ นี้กัน 01:11.350 --> 01:16.810 โปรแกรมนี้จะพิมพ์คำสั่ง Hello World จากนั้นเข้าสู่ลูป while แบบไม่สิ้นสุด 01:19.330 --> 01:21.550 และนี่คือตัวอย่างที่ 4-1 ค. 01:23.970 --> 01:33.840 เราได้รับตัวอย่างมาโดยไม่มีนามสกุลไฟล์เพื่อป้องกันไม่ให้คุณดำเนินการโดยไม่ได้ตั้งใจ 01:34.680 --> 01:38.640 ดังนั้นหากคุณต้องการดำเนินการดังกล่าว คุณจะต้องเปลี่ยนชื่อมัน 01:40.100 --> 01:41.120 และให้มัน 01:42.260 --> 01:45.230 . นามสกุล. exe 01:48.990 --> 01:51.180 ตอนนี้เราลองรันดูแล้วคุณก็เห็นแล้ว 01:51.180 --> 01:51.510 พิมพ์ 01:51.510 --> 01:52.110 สวัสดีโลก 01:52.650 --> 02:00.210 นี่คือไฟล์ปฏิบัติการที่ถูกคอมไพล์จากโค้ดต้นฉบับ 02:00.840 --> 02:07.620 ดังนั้นโปรแกรมจึงดำเนินการและพิมพ์ข้อความ Hello world และหยุดอยู่แค่นั้นเพราะข้อความนั้นอยู่ในลูป while 02:07.620 --> 02:09.000 แบบไม่มีที่สิ้นสุด 02:09.390 --> 02:15.270 ตอนนี้เราจะตรวจสอบสิ่งนี้โดยใช้เครื่องมือที่เรียกว่า Process Hacker 02:16.230 --> 02:25.560 เปิดโฟลเดอร์ FLARE แล้วไปที่โฟลเดอร์ Utilities และมองหา Process Hacker 02:27.730 --> 02:28.450 และรันมัน 02:29.360 --> 02:29.810 Process 02:29.810 --> 02:35.240 Hacker ใช้เพื่อศึกษาโปรเซสที่โหลดและทำงานในหน่วยความจำ 02:36.080 --> 02:39.890 นี่คือสิ่งที่คุณจะเห็นเมื่อเปิด Process Hacker ครั้งแรก 02:40.460 --> 02:47.930 ในคอลัมน์แรก คุณจะได้รับชื่อของกระบวนการทั้งหมดที่กำลังทำงานอยู่ในหน่วยความจำในปัจจุบัน 02:48.170 --> 02:53.090 หากเลื่อนลงมาจะเห็นตัวอย่าง 4-1 exe. 02:54.450 --> 02:57.420 ซึ่งเป็นกระบวนการที่กำลังทำงานอยู่ 02:57.690 --> 03:03.420 แต่ละกระบวนการจะมีชื่อซึ่งเป็นชื่อของโปรแกรมที่สร้างกระบวนการนั้นขึ้นมา 03:03.660 --> 03:08.130 อย่างไรก็ตาม ชื่อกระบวนการไม่ซ้ำกันในรายการกระบวนการ 03:09.080 --> 03:13.490 กระบวนการสองกระบวนการขึ้นไปสามารถมีชื่อเดียวกันได้โดยไม่ขัดแย้งกัน 03:15.020 --> 03:21.170 ในทำนองเดียวกัน สามารถสร้างกระบวนการต่างๆ มากมายจากไฟล์โปรแกรมเดียวกันได้ 03:22.330 --> 03:30.160 หมายความว่ากระบวนการต่างๆ หลายอย่างอาจมีชื่อเดียวกันและอาจมีเส้นทางปฏิบัติการของโปรแกรมเดียวกัน 03:32.070 --> 03:36.150 ดังนั้นเพื่อระบุกระบวนการให้ชัดเจน 03:36.180 --> 03:44.220 แต่ละกระบวนการจะมี ID เฉพาะที่เรียกว่า ID กระบวนการหรือ PID 03:44.760 --> 03:45.570 โดยสรุปแล้ว 03:47.040 --> 03:53.100 คอลัมน์ที่สองจะแสดง ID เฉพาะทั้งหมดสำหรับกระบวนการทั้งหมดที่กำลังทำงานอยู่ 03:55.410 --> 03:57.690 และคุณจะเห็นว่าตัวอย่าง 03:57.690 --> 04:05.730 4-1 มี PID 1012 และไม่มี PID อื่นที่มีหมายเลขนี้ 04:06.150 --> 04:08.610 สิ่งนี้จึงทำให้ ID กระบวนการนี้มีความพิเศษเฉพาะตัวมาก 04:11.010 --> 04:15.840 อย่างไรก็ตาม หากคุณเรียกใช้โปรแกรมอีกครั้ง โปรแกรมจะมี PID ที่แตกต่างกัน 04:17.990 --> 04:22.880 และ PID นี้จะถูกกำหนดแบบสุ่มให้กับทุกกระบวนการ 04:25.180 --> 04:30.220 มันจะเปลี่ยนแปลงทุกครั้งที่มีการเรียกใช้โปรแกรม แม้ว่าจะอยู่บนระบบเดียวกันก็ตาม 04:30.610 --> 04:41.680 ลองวางเมาส์ไว้เหนือไฟล์แล้วคุณจะเห็นชื่อไฟล์ปฏิบัติการ PID และข้อมูลอื่น ๆ ที่เกี่ยวข้อง 04:43.460 --> 04:46.850 เพื่อศึกษาขั้นตอนอย่างละเอียดมากขึ้น 04:47.060 --> 04:48.440 คุณสามารถดับเบิลคลิกมันได้ 04:50.270 --> 04:52.790 มันจะเปิดหน้าต่างคุณสมบัติใหม่ 04:54.090 --> 04:56.760 และในหน้าต่างนี้ก็มีแท็บอยู่หลายแท็บ 04:59.040 --> 05:02.370 คุณมีแท็บทั่วไปซึ่งเป็นแท็บหลัก 05:03.460 --> 05:04.780 คุณยังมีเธรดด้วย 05:06.860 --> 05:10.220 คุณมีโมดูล หน่วยความจำ และอื่นๆ 05:12.150 --> 05:18.510 ตามที่เห็นที่นี่ ชื่อไฟล์รูปภาพจะแสดงรวมทั้งเส้นทางแบบเต็มด้วย 05:18.960 --> 05:20.820 คุณยังสามารถดูบรรทัดคำสั่งได้ 05:22.130 --> 05:26.570 ตรงนี้เป็นไดเร็กทอรีเมื่อเริ่มต้นเป็นต้น 05:27.490 --> 05:32.350 และยังระบุด้วยว่าผู้ปกครองของกระบวนการนี้คือ Explorer 05:33.680 --> 05:36.500 และนี่ก็ได้รับการยืนยันในมุมมองที่นี่ 05:37.130 --> 05:41.360 Explorer คือผู้ปกครองของกระบวนการนี้ 05:42.360 --> 05:50.100 ตอนนี้เป็นเพราะเราเริ่มกระบวนการนี้โดยใช้ File Explorer 05:51.690 --> 05:54.600 หน้าต่างนี้เรียกว่า Explorer 05:55.020 --> 06:01.470 และหากเราเปิดตัวอะไรจากที่นี่ นั่นหมายความว่านี่คือรุ่นลูกของ Explorer นี้ 06:02.400 --> 06:06.840 สิ่งอื่นๆ ที่ต้องคอยดูคือพารามิเตอร์บรรทัดคำสั่ง 06:08.020 --> 06:08.680 ตรงนี้ครับ. 06:09.040 --> 06:14.800 ตัวเลือกบรรทัดคำสั่งจะแสดงพารามิเตอร์บรรทัดคำสั่งที่จัดไว้ให้กับกระบวนการ 06:14.830 --> 06:35.440 ขณะวิเคราะห์ตัวอย่างมัลแวร์ สิ่งสำคัญคือต้องจับตาดูฟิลด์บรรทัดคำสั่ง เนื่องจากมัลแวร์บางชนิดยอมรับให้บรรทัดคำสั่งทำงานและแสดงพฤติกรรมที่เป็นอันตรายโดยไม่มีตัวเลือกบรรทัดคำสั่งที่เจาะจง 06:35.650 --> 06:38.800 มัลแวร์อาจไม่ทำงานตามที่ตั้งใจไว้ 06:39.520 --> 06:45.400 ดังนั้นสิ่งนี้อาจหลอกนักวิเคราะห์และหลบเลี่ยงการตรวจจับได้ 06:45.490 --> 06:53.020 นี่คือวิธีที่คุณสามารถใช้ Process Hacker เพื่อวิเคราะห์กระบวนการที่กำลังทำงาน 06:53.170 --> 07:06.160 แนวคิดที่สำคัญที่ต้องจำไว้ก็คือ ก่อนที่กระบวนการจะถูกดำเนินการและโหลดลงในหน่วยความจำ จะต้องเป็นไฟล์ในฮาร์ดดิสก์เสียก่อน 07:06.430 --> 07:14.050 ระบบปฏิบัติการจำเป็นต้องโหลดไฟล์เข้าสู่หน่วยความจำและดำเนินการ 07:14.260 --> 07:16.360 จากนั้นมันก็กลายเป็นกระบวนการ 07:16.660 --> 07:18.870 ก่อนหน้านี้มันเป็นเพียงไฟล์ 07:18.880 --> 07:21.400 สำหรับวิดีโอนี้ก็มีเพียงเท่านี้ 07:22.360 --> 07:24.790 ฉันจะพบคุณอีกครั้งในบทเรียนถัดไป 07:25.300 --> 07:26.380 ขอบคุณที่รับชมครับ.