Чи можливо виявити вірус за допомогою менеджера завдань?

10

Якби у мене в моїй системі був запущений вірус, чи зможу я бачити процес у менеджері завдань? Я маю на увазі, чи вдасться запущеному вірусу обійти менеджер завдань, щоб процес не відобразився в списку завдань Windows7?

Або іншими словами. Якщо я справді тепер усі процеси у програмі управління завданнями захищені, я також знаю, що мій ПК чистий?

windows-7  virus 
user1344545
джерело

Відповіді:

7

Ні, не зазвичай. Можливо, що менеджер завдань (та інших частин операційної системи) може бути скомпрометований, тим самим приховуючи вірус. Це називається руткіт.

Якщо я справді зараз усі процеси в менеджері завдань захищені

Ви ніколи не можете знати всі процеси в менеджері завдань, щоб бути безпечними. Віруси використовують назви системних компонентів чомусь, іноді навіть витісняючи їх.

Використовуйте антивірус.

Джонатан Болдуін
джерело
1
для кращого розуміння: Отже, це означає, що менеджер завдань показує, наприклад, 0% загального використання процесора в цілому (всі процеси 0%), але може бути, що існує прихований процес, який використовує процесор, але я не бачу його в менеджері завдань?
user1344545
Я згоден з відповіддю Джонатана.
Машина обчислення
Диспетчер завдань завжди відображатиме процес, який називається "Процес очікування системи", який працює під час роботи в режимі очікування процесора, який, як видається, збільшить ваше використання процесора. Це насправді і не є вірусом. Але так, вірус може приєднати себе до завдання, щоб приховати його використання процесора.
Джонатан Болдуін
Це стосується Windows 7 та 8.x?
Фаїз
@Faiz розділ "Використовуйте антивірус". Ви завжди повинні використовувати антивірус (є безкоштовні, такі як Avast Antivirus), і в ці дні навіть потрібно використовувати антивірусне програмне забезпечення на мобільних пристроях.
NH.
5

Антивірус виявляє лише так і так багато ("Протягом 4Q11, 33 відсотки зловмисних програм в Інтернеті виявляли зловмисне програмне забезпечення, яке не було щодня, не виявлялося традиційними методологіями на основі підписів на момент зустрічі", Джерело: http://blogs.cisco.com / безпека / cisco-4q11-global-пагроза-звіт / ).

Трохи навчаючись, ви можете виявити деякі зловмисні програми, оскільки вони поводяться певним чином, що трохи не відповідає звичному в ОС. Це може бути більший мережевий трафік, більше використання процесора, дивний доступ до диска чи щось інше. Зловмисне програмне забезпечення доступне не лише як окремі бінарні файли, які можна виявити за допомогою менеджера завдань, але також як динамічні бібліотеки (dll), приєднані до інших процесів.

Ви можете отримати підказки про те, що працює у вашій системі за допомогою диспетчера завдань, як Process Explorer, із програми Sysinternal Suite , і ви можете спостерігати, як у вашій системі відбувається щось на зразок Process Monitor того ж набору. Звикайте до інструментів і стежте за ознаками «дивацтва»:

  • Непідписані бінарні файли (виконувані файли або dll)
  • Дивно пише в дивні файли
  • Дивна мережева активність

("Дивна" частина - це навчання, яке вам потрібно для того, щоб розрізняти "це нормально" і "що дивно")

Автор сюїти Sysinternal демонструє кілька розумних способів використання вищезгаданих інструментів:

https://www.youtube.com/watch?v=7heEYEbFim4

Отже, так, ви можете виявити деякі шкідливі програми за допомогою гідного диспетчера завдань. Чим менш складним є зловмисне програмне забезпечення, тим простіше його виявити. Якщо зловмисне програмне забезпечення намагається виявити використання диспетчерів завдань, таких як Process Explorer, вам може знадобитися навіть вжити додаткових кроків, таких як використання іншого " Сеансу " для виявлення дивної поведінки, але це все-таки можливо.

акіра
джерело
Хоча хороша порада (+1), не можна замінити гідний антивірус на машині Windows. Це (очевидно) доповнення до цього і вимагає певних знань щодо того, що таке "дивна поведінка", щоб не порушити вашу систему. Багато компонентів Windows діють «дивно» для нетренованого ока.
Джонатан Болдуін
Крім того, існує кілька порядків більше законних неподписаних бінарних файлів, ніж заражені неподписані бінарні файли. Насправді більшість програмного забезпечення для Windows не підписані, оскільки перед підпискою Windows 8 SmartScreen дуже мало піклувалися про підписання. Сам по собі не великий орієнтир.
Джонатан Болдуін
Ну, більшість "звичайних" програмних засобів підписані, найімовірніше, підписане саме те, що надходить від MSFT. Отже, ви можете отримати підказку про те, що є частиною системи, а що не є частиною системи. AV програмного забезпечення , як правило , це програмне забезпечення , яке працює з правами ядра, завантажує нові інструкції з інтернетів :) twitter.com/thegrugq/status/297177182848049152 zdnet.com.au/blogs/securifythis/soa / ... і т.д. Так, це простіше встановити що - то що хтось стверджує, що допомагає. ІМХО.
акіра
1
akira
2

Виявити вірус у менеджера завдань неможливо.

Існує кілька видів вірусу. Вірус, Trojan, rootkit, adware / puk тощо. Деякі віруси ховаються від менеджера завдань. Отже, він не відображається в диспетчері завдань.

Я б запропонував вам перестати шукати диспетчер завдань та встановити антивірус.

Як я можу: отримати доступ до переглядача подій Windows®?

  1. Натисніть Image + R і введіть “eventvwr.msc” і натисніть кнопку ОК або натисніть Enter.
  2. Розгорніть журнали Windows і виберіть Захист.
  3. У середині ви побачите список із датою та часом, джерелом, ідентифікатором події та категорією завдань. Категорія завдань в значній мірі пояснює подію, вхід в систему, спеціальний вхід в систему, вихід на сайт та інші деталі.
Машина обчислення
джерело
Я не впевнений, що маю вірус, але у мене було повідомлення про підозру, коли виходили вчора. Я не зміг прочитати його повністю, тому що це було дуже швидко, але моє «відчуття кишки» говорить про те, що в повідомленні сказано, що хтось все ще увійшов.
user1344545
відкрити диспетчер завдань - перейдіть на вкладку користувача і перевірте, скільки сеансів існує. Це ваш домашній комп'ютер або він приєднаний до домену?
Машина обчислення
У нас вдома невелика мережа. Моя дружина та діти. Але я був один в мережі, коли повідомлення спливало під час виходу. Чи є спосіб викликати повідомлення, коли хтось входить у мій локальний ПК?
user1344545
1
Вірус - це проста програма для знищення. Постачальник антивірусних послуг завжди перевіряє наявність нової загрози. Якщо вони знайшли якусь нову загрозу, вони випускають файл виявлення (ide). Якщо у вас є антивірус, це не означає, що він захистить вас на 100%. Але я можу сказати, що ваша машина є принаймні безпечною для попередньої загрози.
Машина обчислення
1
а потім вони переглядають це за допомогою процесора / менеджера завдань. зловмисне програмне забезпечення також любить приховувати себе від антивірусного програмного забезпечення ... що робить точку av ... ну безглуздо.
akira
0

Віруси сьогодні досить складні. Це означає, що вони можуть сховатися від диспетчера завдань, виконати кілька копій самих себе (якщо випаде одна копія) та багато інших хитрощів. За визначенням, віруси також вводять себе в системні процеси, щоб приховати себе.

Загалом, зловмисне програмне забезпечення може бути виявлено досить легко, лише визначивши незвичний процес, який працює. Але віруси конкретно, як правило, можуть бути ідентифіковані лише за їх корисним навантаженням, введеним у цільовий процес.

Тож антивірус - це справді єдине, що може точно виявити ... ну ... вірус!

oldmud0
джерело
-1

З точки зору програміста, я б запропонував спробувати вивчити програмування за допомогою API API, а ще більше - API-гаків.

Ядро ОС зберігає таблицю цих нативних функцій API, які потрібно ідентифікувати та підключити . Потім ваш гак буде перенаправляти та змінювати / фільтрувати вихід. Цей фрагмент коду повинен працювати на просторі ядра, і для того, щоб ви могли ним керувати (тобто завантажувати / зупиняти), вам також потрібно мати програмне забезпечення в просторі користувача. Хоча вони можливі і в користувальницькому просторі, вони, швидше за все, будуть позначені сучасними AV-кодами як певна шкідлива діяльність.

Підхід полягав би в тому, щоб підключити фрагмент коду для перехоплення викликів API (тобтоNtQueryDirectoryFile ()) таким чином, щоб ви модифікували / фільтрували вихід - такий собі підхід "людина-в-середині". Процеси, що працюють на просторі користувача (тобто TaskManager, Windows Explorer, Process Explorer), будуть просто відображати відфільтрований вихід, наданий вашим гаком ... І НІ, ACL не має живлення на цьому шарі

Звичайно, сучасні AV-файли також мають фрагменти коду, що працює і в просторі ядра, та / або PATTERN MATCHING (пам'ятаєте, коли AV-оновлення називаються оновленнями AV Patterns?) - для виявлення та запобігання таких шкідливих гаків.

м Вінсент
джерело
1
Я не впевнений, як ця відповідь насправді відповідає запропонованому автором питання.
Рамхаунд
Запропоновано редагування. Це нібито розміщено ( superuser.com/questions/821040/… ). Але його закрили модники, за кілька хвилин до того, як я натиснув пост.
mVincent
Це все ще не пояснює, як ця відповідь відповідає на питання, поставлене зазначеним питанням. Питання, з яким ви зв’язалися, було закрито цілу годину до того, як ви надіслали цю відповідь. Звичайно, я вірю, що я підберу до того, що пов'язаний дублікат є набагато кращим питанням, ніж цей.
Рамхаунд
Так, справді. І, як я сказав, це, мабуть, буде розміщено в цьому пов'язаному питанні. Однак було запропоновано редагування, щоб я стерв додану примітку. Ця відповідь дає уявлення про відповідне питання і стосується помилкового почуття безпеки, яке має користувач, якщо він сам не може встановити можливості програмного забезпечення, на яке він покладається.
mVincent
Я спробував зрозуміти, як це відповідає, якщо менеджер завдань може перерахувати запущений вірус, але я все ще не бачу його
Ramhound
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.