10

Если в моей системе будет запущен вирус, смогу ли я увидеть этот процесс в диспетчере задач? Я имею в виду, может ли работающий вирус обойти диспетчер задач, чтобы этот процесс не появился в списке задач Windows7?

Или другими словами. Если я действительно теперь все процессы в TaskManager, чтобы быть безопасным, я также знаю, что мой компьютер чист?

5 ответов5

7

Нет не обычно Диспетчер задач (и другие части операционной системы) могут быть скомпрометированы, скрывая вирус. Это называется руткит.

Если я действительно сейчас все процессы в TaskManager, чтобы быть в безопасности

Вы никогда не можете знать все процессы в TaskManager, чтобы быть в безопасности. Вирусы не без причины используют имена компонентов системы, иногда даже вытесняя их.

Используйте антивирус.

5

Антивирус обнаруживает только и так много («В 4К11 33% обнаруженных вредоносных программ в Интернете были вредоносными программами нулевого дня, которые не были обнаружены традиционными методологиями на основе сигнатур на момент обнаружения», источник: http://blogs.cisco.com/security/cisco-4q11-global-угроз-отчет / ).

После небольшого обучения вы можете обнаружить некоторые вредоносные программы, потому что они ведут себя определенным образом, что немного отличается от обычного в ОС. Это может быть больше сетевого трафика, больше использования процессора, странный доступ к диску или что-то еще. Вредоносные программы доступны не только в виде отдельных двоичных файлов, которые можно обнаружить с помощью диспетчера задач, но также в виде динамических библиотек (dll), подключенных к другим процессам.

Вы можете получить информацию о том, что работает в вашей системе, с помощью менеджера задач, такого как Process Explorer, из Sysinternal Suite, и вы можете наблюдать, как что-то происходит в вашей системе, с помощью чего-то вроде Process Monitor того же пакета. Привыкайте к инструментам и следите за признаками "странности":

  • Неподписанные двоичные файлы (исполняемые файлы или библиотеки DLL)
  • Странные записи в странные файлы
  • Странная сетевая активность

("Странная" часть - это тренировка, необходимая для того, чтобы различать "это нормально" и "это странно")

Автор Sysinternal Suite показывает некоторые умные способы использования вышеупомянутых инструментов:

https://www.youtube.com/watch?v=7heEYEbFim4

Так что, да, вы можете обнаружить некоторые вредоносные программы с помощью приличного менеджера задач. Чем менее изощренно вредоносное ПО, тем легче будет его обнаружить. Если вредоносная программа пытается обнаружить использование диспетчеров задач, таких как Process Explorer, вам может потребоваться даже предпринять более сложные действия, такие как использование другого « сеанса » для обнаружения странного поведения, но это все еще возможно.

2

Невозможно обнаружить вирус из диспетчера задач.

Есть несколько видов вирусов. Вирус, троян, руткит, рекламное ПО / пук и т.д. Некоторые вирусы скрываются от диспетчера задач.Таким образом, это не появляется в диспетчере задач.

Я бы посоветовал вам перестать смотреть в диспетчере задач и установить антивирус.

Как я могу: получить доступ к Windows® Event Viewer?

  1. Нажмите Image+ R, введите «eventvwr.msc» и нажмите «ОК» или нажмите «Ввод».
  2. Разверните Журналы Windows и выберите Безопасность.
  3. В середине вы увидите список с датой и временем, источником, идентификатором события и категорией задачи. Категория задач в значительной степени объясняет событие, вход в систему, специальный вход, выход из системы и другие подробности.
0

Вирусы довольно сложны в наши дни. Это означает, что они могут прятаться от Диспетчера задач, запускать несколько своих копий (в случае удаления одной копии) и многие другие приемы. По определению, вирусы также внедряются в системные процессы, чтобы скрыть себя.

Вредоносное ПО в целом обычно можно довольно легко обнаружить, просто выявив необычный запущенный процесс. Но вирусы, в частности, обычно могут быть идентифицированы только по их полезной нагрузке, внедренной в целевой процесс.

Так что антивирус действительно единственное, что может точно обнаружить ... ну ... вирус!

-1

С точки зрения программиста, я бы предложил вам попробовать освоить программирование с использованием Windows API и, более того, хуков API.

Ядро ОС хранит таблицу этих нативных функций API, которые вы должны идентифицировать и подключить . Ваш хук будет перенаправлять и изменять / фильтровать вывод. Этот кусок кода должен выполняться в пространстве ядра, и для того, чтобы вы могли им управлять (т.е. загружать / останавливать), вам также необходимо иметь часть программного обеспечения в пользовательском пространстве. Хотя это возможно и в пользовательском пространстве, современные AV, скорее всего, будут помечены как некая вредоносная деятельность.

Подход заключается в том, чтобы перехватить часть кода для перехвата вызовов API (то есть NTQueryDirectoryFile ()) таким образом, чтобы вы изменили / отфильтровали вывод - что-то вроде подхода «человек посередине». Процессы, работающие в пользовательском пространстве (например, TaskManager, Windows Explorer, Process Explorer), просто отобразят отфильтрованный вывод, предоставленный вашим хуком ... И нет, ACL не имеет власти на этом уровне

Конечно, современные AV имеют фрагменты кода, работающие и в пространстве ядра, и / или PATTERN MATCHING (помните, когда обновления AV называются обновлением AV Patterns? ) - обнаруживать и предотвращать такие вредоносные зацепки.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .