Czy możliwe jest wykrycie wirusa za pomocą menedżera zadań?

10

Gdybym miał uruchomionego wirusa w moim systemie, czy byłbym w stanie zobaczyć proces w menedżerze zadań? Mam na myśli, czy działający wirus mógłby ominąć menedżera zadań, aby proces nie pojawił się na liście zadań Windows7?

Lub innymi słowy. Jeśli naprawdę teraz wszystkie procesy w menedżerze zadań są bezpieczne, to wiem też, że mój komputer jest czysty?

windows-7 virus użytkownik1344545
źródło

Odpowiedzi:

7

Nie zwykle nie. Menedżer zadań (i inne części systemu operacyjnego) może zostać narażony na szwank, ukrywając wirusa. Nazywa się to rootkitem.

Jeśli naprawdę teraz wszystkie procesy w menedżerze zadań są bezpieczne

Nigdy nie możesz wiedzieć, że wszystkie procesy w menedżerze zadań są bezpieczne. Wirusy używają nazw komponentów systemu z jakiegoś powodu, czasem nawet je przemieszczając.

Użyj antywirusa.

Jonathan Baldwin
źródło
1
dla lepszego zrozumienia: oznacza to, że menedżer zadań pokazuje na przykład 0% ogólnego zużycia procesora (wszystkie procesy 0%), ale może to być ukryty proces, który wykorzystuje procesor, ale nie widzę go w menedżerze zadań?
user1344545
Zgadzam się z odpowiedzią Jonathana.
Maszyna
Menedżer zadań zawsze pokazuje proces o nazwie „System bezczynności procesu”, który działa w czasie bezczynności procesora, który wydaje się maksymalizować wykorzystanie procesora. W rzeczywistości nie jest i nie jest wirusem. Ale tak, wirus może dołączyć się do Taskmana, aby ukryć użycie procesora.
Jonathan Baldwin
Czy dotyczy to Windows 7 i 8.x?
Faiz,
@Faiz robi część „Użyj antywirusa”. Zawsze powinieneś używać programu antywirusowego (są darmowe takie jak Avast Antivirus), a obecnie konieczne jest nawet używanie oprogramowania antywirusowego na urządzeniach mobilnych.
NH.
5

Program antywirusowy wykrywa tylko tyle i tyle („W czwartym kwartale 2011 r. 33% napotkanego złośliwego oprogramowania w sieci było złośliwym oprogramowaniem zero-day, którego nie można było wykryć za pomocą tradycyjnych metod opartych na sygnaturach w momencie spotkania”, źródło: http://blogs.cisco.com / security / cisco-4q11-global-threat-report / ).

Po odrobinie szkolenia możesz wykryć niektóre złośliwe oprogramowanie, ponieważ zachowują się w określony sposób, co jest nieco niezgodne z tym, co zwykle w systemie operacyjnym. Może to być większy ruch w sieci, większe użycie procesora, dziwny dostęp do dysku lub coś innego. Złośliwe oprogramowanie jest dostępne nie tylko jako pojedyncze pliki binarne, które można wykryć za pomocą menedżera zadań, ale także jako biblioteki dynamiczne (dll) dołączone do innych procesów.

Możesz uzyskać wskazówki na temat tego, co działa w twoim systemie za pomocą menedżera zadań, takiego jak Process Explorer, z Sysinternal Suite , i możesz obserwować, jak dzieje się w twoim systemie za pomocą czegoś takiego jak Monitor procesu tego samego pakietu. Przyzwyczaj się do narzędzi i uważaj na oznaki „dziwności”:

  • Niepodpisane pliki binarne (pliki wykonywalne lub biblioteki dll)
  • Dziwne zapisuje do dziwnych plików
  • Dziwna aktywność sieciowa

(„Dziwna” część to trening, którego potrzebujesz, aby odróżnić „to normalne” od „to dziwne”)

Autor Sysinternal Suite pokazuje kilka sprytnych sposobów korzystania z wyżej wymienionych narzędzi:

https://www.youtube.com/watch?v=7heEYEbFim4

Tak, możesz wykryć niektóre złośliwe oprogramowanie za pomocą porządnego menedżera zadań. Im mniej zaawansowane jest złośliwe oprogramowanie, tym łatwiej będzie je wykryć. Jeśli złośliwe oprogramowanie próbuje wykryć użycie menedżerów zadań, takich jak Process Explorer, być może konieczne będzie podjęcie zaawansowanych kroków, takich jak użycie innej „ sesji ” w celu wykrycia dziwnego zachowania, ale nadal jest to możliwe.

akira
źródło
Chociaż dobra rada (+1), nie ma substytutu porządnego programu antywirusowego na komputerze z systemem Windows. Jest to (oczywiście) uzupełnienie tego i wymaga pewnej wiedzy na temat tego, jakie „dziwne zachowanie” ma nie uszkodzić systemu. Wiele składników systemu Windows działa „dziwnie” dla niewprawnego oka.
Jonathan Baldwin
Ponadto istnieje kilka rzędów wielkości bardziej uzasadnionych plików binarnych niepodpisanych niż zainfekowane pliki binarne niepodpisane. W rzeczywistości większość oprogramowania Windows jest niepodpisana, ponieważ bardzo niewielu deweloperów zależało na podpisaniu przed pojawieniem się Windows 8 SmartScreen. Sam w sobie nie jest to doskonały punkt odniesienia.
Jonathan Baldwin
Cóż, większość „normalnych” programów jest podpisanych, a oprogramowanie MSFT z pewnością jest podpisane. Możesz więc uzyskać wskazówkę dotyczącą tego, co jest częścią systemu, a co nie jest częścią systemu. Oprogramowanie AV zazwyczaj jest oprogramowaniem, które działa z prawami jądra, pobiera nowe instrukcje z sieci :) twitter.com/thegrugq/status/297177182848049152 zdnet.com.au/blogs/securifythis/soa/... itd. Tak, łatwiej jest coś zainstalować że ktoś twierdzi, że pomaga. MOIM ZDANIEM.
akira
1
FYI: lock.cmpxchg8b.com/sophailv2.pdf
akira
2

Nie jest możliwe wykrycie wirusa z menedżera zadań.

Istnieje kilka rodzajów wirusów. Wirus, trojan, rootkit, adware / puk itp. Niektóre wirusy ukrywają się przed menedżerem zadań, więc nie pojawia się w menedżerze zadań.

Sugeruję, abyś przestał szukać w menedżerze zadań i zainstalował program antywirusowy.

Jak mogę: uzyskać dostęp do Podglądu zdarzeń Windows®?

  1. Naciśnij Image + R i wpisz „eventvwr.msc” i kliknij OK lub naciśnij Enter.
  2. Rozwiń Dzienniki systemu Windows i wybierz Zabezpieczenia.
  3. Na środku zobaczysz listę z datą i godziną, źródłem, identyfikatorem zdarzenia i kategorią zadania. Kategoria zadania wyjaśnia w przybliżeniu zdarzenie, logowanie, logowanie specjalne, wylogowanie i inne szczegóły.
Kalkulator
źródło
Nie jestem pewien, czy mam wirusa, ale po wczorajszym wylogowaniu miałem podejrzaną wiadomość. Nie mogłem go całkowicie przeczytać, ponieważ był bardzo szybki, ale moje „przeczucie” mówi, że wiadomość mówiła, że ​​ktoś jest nadal zalogowany.
użytkownik1344545
otwórz menedżera zadań - przejdź do zakładki użytkownika i sprawdź, ile jest sesji. To jest twój komputer domowy lub jest przyłączony do domeny?
Maszyna
Mamy małą sieć w domu. Moja żona i dzieci. Ale byłem sam w sieci, gdy komunikat wyskakujący podczas wylogowywania. Czy istnieje sposób na wywołanie komunikatu, gdy ktoś loguje się na moim lokalnym komputerze?
user1344545
1
Wirus to prosty program do niszczenia. Dostawca usług antywirusowych zawsze sprawdza nowe zagrożenie. Jeśli znajdą jakieś nowe zagrożenie, zwalniają plik wykrywania (ide). Jeśli masz program antywirusowy, nie oznacza to, że ochroni Cię on w 100%. Ale mogę powiedzieć, że twoja maszyna jest co najmniej bezpieczna na poprzednie zagrożenie.
Maszyna
1
a następnie oglądają to przez monitor procesu / menedżera zadań. złośliwe oprogramowanie lubi również ukrywać się przed oprogramowaniem antywirusowym ... co czyni sens av ... cóż, bezcelowym.
akira
0

Wirusy są obecnie dość wyrafinowane. Oznacza to, że mogą ukryć się przed Menedżerem zadań, uruchomić wiele swoich kopii (na wypadek, gdyby jedna kopia została zdjęta) i wiele innych sztuczek. Z definicji wirusy również wstrzykują się do procesów systemowych, aby się ukryć.

Zasadniczo złośliwe oprogramowanie można zazwyczaj dość łatwo wykryć, identyfikując uruchomiony nietypowy proces. Ale szczególnie wirusy zwykle można rozpoznać tylko po ich ładunku wprowadzonym do procesu docelowego.

Tak więc antywirus jest naprawdę jedyną rzeczą, która może dokładnie wykryć ... cóż ... wirusa!

oldmud0
źródło
-1

Z perspektywy programisty sugerowałbym, abyś spróbował nauczyć się programowania przy użyciu Windows API, a ponadto - haczyków API.

Jądro systemu operacyjnego przechowuje tabelę tych rodzimych funkcji API, które należy zidentyfikować i podłączyć . Twój haczyk przekieruje następnie i zmodyfikuje / przefiltruje dane wyjściowe. Ten fragment kodu musi działać na przestrzeni jądra, a żeby go kontrolować (tzn. Ładować / zatrzymywać), musisz mieć także oprogramowanie w przestrzeni użytkownika. Chociaż są one również możliwe w przestrzeni użytkownika, najprawdopodobniej zostaną oznaczone przez współczesne urządzenia AV jako rodzaj złośliwej aktywności.

Podejście byłoby zaczepić kawałek kodu do połączeń przechwytujący API (ieNtQueryDirectoryFile ()) tak, że można modyfikować / filtrować wyjście - rodzaj podejścia man-in-the-middle. Procesy działające w przestrzeni użytkownika (tj. Menedżer zadań, Eksplorator Windows, Eksplorator procesów) po prostu wyświetlą odfiltrowane dane wyjściowe dostarczone przez hak ... I NIE, listy ACL nie mają mocy na tej warstwie

Oczywiście współczesne AV mają również fragmenty kodu działające na przestrzeni jądra i / lub PATTERN MATCHING (pamiętasz, kiedy aktualizacje AV nazywają się AV Patterns Update?) - aby wykrywać i zapobiegać takim złośliwym hakom.

mVincent
źródło
1
Nie jestem pewien, w jaki sposób ta odpowiedź faktycznie odpowiada na proponowane pytanie autora.
Ramhound,
Sugerowano edycję. Jest to rzekomo opublikowane ( superuser.com/questions/821040/… ). Ale został zamknięty przez mody, kilka minut przed kliknięciem posta.
mVincent
To wciąż nie wyjaśnia, w jaki sposób ta odpowiedź odnosi się do pytania postawionego na zadane pytanie. Pytanie, do którego linkujesz, zostało zamknięte na pełną godzinę przed przesłaniem tej odpowiedzi. Oczywiście wierzę, że powiem o tym, że połączony duplikat jest znacznie lepszym pytaniem niż to.
Ramhound,
W rzeczy samej. I jak powiedziałem, podobno ma to być zamieszczone w tym powiązanym pytaniu. Sugerowano jednak edycję polegającą na usunięciu załączonej notatki. Ta odpowiedź zapewnia wgląd w odpowiednie pytanie i odnosi się do fałszywego poczucia bezpieczeństwa użytkownika, jeśli on sam nie jest w stanie ustalić możliwości oprogramowania, na którym się opiera.
mVincent
Próbowałem zrozumieć, jak to odpowiedzieć, jeśli menedżer zadań może
wymienić