Можно ли обнаружить вирус с помощью TaskManager?

10

Если в моей системе будет запущен вирус, смогу ли я увидеть процесс в диспетчере задач? Я имею в виду, может ли работающий вирус обойти диспетчер задач, чтобы этот процесс не появился в списке задач Windows7?

Или другими словами. Если я действительно теперь все процессы в TaskManager, чтобы быть безопасным, я также знаю, что мой компьютер чист?

windows-7 virus user1344545
источник

Ответы:

7

Нет не обычно Диспетчер задач (и другие части операционной системы) могут быть скомпрометированы, скрывая вирус. Это называется руткит.

Если я действительно сейчас все процессы в TaskManager, чтобы быть в безопасности

Вы никогда не можете знать все процессы в TaskManager, чтобы быть в безопасности. Вирусы не без причины используют имена компонентов системы, иногда даже вытесняя их.

Используйте антивирус.

Джонатан Болдуин
источник
1
для лучшего понимания: Значит, это означает, что диспетчер задач показывает, например, 0% загрузки ЦП в целом (все процессы 0%), но, возможно, существует скрытый процесс, который использует ЦП, но я не вижу его в диспетчере задач?
user1344545
Я согласен с ответом Джонатана.
Счетная машина
Диспетчер задач всегда будет отображать процесс, называемый «Процесс простоя системы», который выполняется во время простоя ЦП, который будет отображать максимальное использование вашего ЦП. На самом деле это не так, и это не вирус. Но да, вирус может присоединиться к задачнику, чтобы скрыть использование своего процессора.
Джонатан Болдуин
Это относится к Windows 7 и 8.x?
Фаиз
@Faiz часть "Использовать антивирус" делает. Вы всегда должны использовать антивирус (есть бесплатные, такие как Avast Antivirus), и в наши дни даже необходимо использовать антивирусное программное обеспечение на мобильных устройствах.
НХ.
5

Антивирус обнаруживает только и так много («В 4К11 33% обнаруженных вредоносных программ в Интернете были вредоносными программами нулевого дня, которые не были обнаружены традиционными методологиями на основе сигнатур на момент обнаружения», источник: http://blogs.cisco.com / security / cisco-4q11-global-угроз-отчет / ).

После небольшого обучения вы можете обнаружить некоторые вредоносные программы, потому что они ведут себя определенным образом, что немного отличается от обычного в ОС. Это может быть больше сетевого трафика, больше использования процессора, странный доступ к диску или что-то еще. Вредоносные программы доступны не только в виде отдельных двоичных файлов, которые можно обнаружить с помощью диспетчера задач, но также в виде динамических библиотек (dll), подключенных к другим процессам.

Вы можете получить информацию о том, что работает в вашей системе, с помощью менеджера задач, такого как Process Explorer, из Sysinternal Suite , и вы можете наблюдать за происходящими в вашей системе событиями, такими как Process Monitor из того же пакета. Привыкайте к инструментам и следите за признаками «странности»:

  • Неподписанные двоичные файлы (исполняемые файлы или библиотеки DLL)
  • Странные записи в странные файлы
  • Странная сетевая активность

(«Странная» часть - это тренировка, необходимая для того, чтобы различать «это нормально» и «это странно»)

Автор Sysinternal Suite показывает некоторые умные способы использования вышеупомянутых инструментов:

https://www.youtube.com/watch?v=7heEYEbFim4

Так что, да, вы можете обнаружить некоторые вредоносные программы с помощью приличного менеджера задач. Чем менее изощренно вредоносное ПО, тем легче будет его обнаружить. Если вредоносная программа пытается обнаружить использование диспетчеров задач, таких как Process Explorer, вам может потребоваться даже предпринять более сложные действия, такие как использование другого « сеанса » для обнаружения странного поведения, но это все еще возможно.

Акира
источник
Хотя хороший совет (+1) не может заменить достойный антивирус на компьютере с Windows. Это (очевидно) дополнение к этому и требует некоторых знаний о том, что такое «странное поведение», чтобы не сломать вашу систему. Многие компоненты Windows действуют "странно" для неопытного глаза.
Джонатан Болдуин
Кроме того, на несколько порядков больше допустимых двоичных файлов без знака, чем зараженных двоичных файлов без знака. На самом деле, большинство программ для Windows не подписано, так как очень немногие разработчики заботились о подписи до появления Windows 8 SmartScreen. Сам по себе не очень хороший ориентир.
Джонатан Болдуин
Что ж, большинство «нормальных» программ подписано, а то, что пришло от самого MSFT, наверняка подписано. Таким образом, вы можете получить представление о том, что является частью системы, а что нет. AV программного обеспечение , как правило , это программное обеспечение , которое работает с правами ядра, загружает новые инструкции из интернетов :) twitter.com/thegrugq/status/297177182848049152 zdnet.com.au/blogs/securifythis/soa/... и т.д. Да, это проще установить что - то что кто-то утверждает, помогает. ИМХО.
Акира
1
FYI: lock.cmpxchg8b.com/sophailv2.pdf
Акира
2

Невозможно обнаружить вирус из диспетчера задач.

Есть несколько видов вирусов. Вирус, троянец, руткит, рекламное ПО / пук и т. Д. Некоторые вирусы прячутся от диспетчера задач. Поэтому в диспетчере задач он не отображается.

Я бы посоветовал вам перестать смотреть в диспетчере задач и установить антивирус.

Как я могу: Доступ к Windows® Event Viewer?

  1. Нажмите Image + R, введите «eventvwr.msc» и нажмите «ОК» или нажмите «Ввод».
  2. Разверните Журналы Windows и выберите Безопасность.
  3. В середине вы увидите список с датой и временем, источником, идентификатором события и категорией задачи. Категория задач в значительной степени объясняет событие, вход в систему, специальный вход, выход из системы и другие детали.
Счетная машина
источник
Я не уверен, что у меня есть вирус, но у меня было подозрительное сообщение, когда я вышел из системы вчера. Я не мог прочитать это полностью, потому что это было очень быстро, но мое «внутреннее чувство» говорит, что в сообщении говорится, что кто-то все еще вошел в систему.
user1344545
Откройте диспетчер задач - перейдите на вкладку пользователя и проверьте, сколько там сеансов. Это ваш домашний компьютер или он включен в домен?
Счетная машина
У нас дома маленькая сеть. Моя жена и дети. Но я был один в сети, когда всплывающее сообщение во время выхода из системы. Есть ли способ вызвать сообщение, когда кто-то входит в мой локальный компьютер?
user1344545
1
Вирус это простая программа для уничтожения. Поставщик антивирусных услуг всегда проверяет наличие новых угроз. Если они обнаружили новую угрозу, они выпускают файл обнаружения (ide). Если у вас есть антивирус, это не значит, что он защитит вас на 100%. Но я могу сказать, что ваша машина по крайней мере безопасна для предыдущей угрозы.
Счетная машина
1
а затем они смотрят это через processmonitor / taskmanager. Вредоносное ПО также любит скрывать себя от антивирусных программ ... что делает точку зрения ... ну, бессмысленной.
Акира
0

Вирусы довольно сложны в наши дни. Это означает, что они могут скрывать себя от диспетчера задач, запускать несколько своих копий (в случае, если одна копия будет удалена) и многие другие приемы. По определению, вирусы также внедряются в системные процессы, чтобы скрыть себя.

Вредоносное ПО в целом обычно можно довольно легко обнаружить, просто выявив необычный запущенный процесс. Но вирусы, в частности, обычно могут быть идентифицированы только по их полезной нагрузке, введенной в целевой процесс.

Так что антивирус действительно единственное, что может точно обнаружить ... ну ... вирус!

oldmud0
источник
-1

С точки зрения программиста, я бы предложил вам попробовать освоить программирование с использованием Windows API и, более того, хуков API.

Ядро ОС хранит таблицу этих нативных функций API, которые вам нужно идентифицировать и подключить . Ваш хук будет перенаправлять и изменять / фильтровать вывод. Этот кусок кода должен выполняться в пространстве ядра, и для того, чтобы вы могли им управлять (т.е. загружать / останавливать), вам также необходимо иметь часть программного обеспечения в пользовательском пространстве. Хотя это возможно и в пользовательском пространстве, современные AV, скорее всего, будут помечены как некая вредоносная деятельность.

Подход заключается в том, чтобы перехватить часть кода для перехвата вызовов API (то есть NTQueryDirectoryFile ()) таким образом, чтобы вы изменили / отфильтровали вывод - что-то вроде подхода «человек посередине». Процессы, выполняющиеся в пользовательском пространстве (т. Е. TaskManager, Windows Explorer, Process Explorer), просто отобразят отфильтрованный вывод, предоставленный вашей ловушкой ... И НЕТ, ACL не имеет никакого влияния на этот слой

Конечно, современные AV имеют фрагменты кода, работающие и в пространстве ядра, и / или PATTERN MATCHING (помните, когда обновления AV называются AV Patterns Update?) - для обнаружения и предотвращения таких вредоносных перехватов.

mVincent
источник
1
Я не уверен, как этот ответ на самом деле отвечает на предложенный автором вопрос.
Ramhound
Правка была предложена. Это предположительно опубликовано ( superuser.com/questions/821040/… ). Но был закрыт модами, за несколько минут до того, как я нажал на пост.
mVincent
Это по-прежнему не объясняет, как этот ответ отвечает на вопрос, поставленный поставленным вопросом. Вопрос, на который вы ссылались, был закрыт за час до того, как вы отправили этот ответ. Конечно, я верю, что затрону тот факт, что связанный дубликат - гораздо лучший вопрос, чем этот.
Ramhound
Да, в самом деле. И, как я уже сказал, якобы это будет опубликовано в этом связанном вопросе. Однако редактирование было предложено, чтобы я стереть записку прилагается. Этот ответ дает представление о соответствующем вопросе и затрагивает ложное чувство безопасности, которое имеет пользователь, если он сам не может определить возможности программного обеспечения, на которое он полагается.
mVincent
Я пытался понять, как это отвечает, если диспетчер задач может перечислить запущенный вирус, но я все еще не вижу его
Ramhound