Görev yöneticisi ile bir virüs tespit etmek mümkün mü?

10

Sistemimde çalışan bir virüs olsaydı, işlemi taskmanager'de görebiliyor muydum? Yani, çalışan bir virüsün görev yöneticisini atlatması mümkün olur, böylece işlem windows7'nin görev listesinde görünmez mi?

Veya başka bir deyişle. Görev yöneticisindeki tüm süreçlerin gerçekten güvenli olmasını gerçekten sağlarsam, bilgisayarımın temiz olduğunu da biliyor muyum?

windows-7  virus 
user1344545
kaynak

Yanıtlar:

7

Hayır, genellikle değil. Görev Yöneticisi'nin (ve işletim sisteminin diğer bölümlerinin) kendi kendilerini tehlikeye atması ve böylece virüsü gizlemesi mümkündür. Buna rootkit denir.

Gerçekten şimdi görevdeki tüm süreçlerin güvenli olmasını sağlarsam

Görev yöneticisi içindeki tüm süreçleri güvenli olarak asla bilemezsiniz. Virüsler sistem bileşenlerinin adlarını bir nedenden dolayı kullanırlar, hatta bazen yer değiştirirler.

Virüsten koruma yazılımı kullanın.

Jonathan Baldwin
kaynak
1
daha iyi anlamak için: Yani bu, taskmanager örneğin toplamda% 0 CPU kullanımı gösterir (tüm işlemler% 0), ancak CPU kullanan gizli bir işlem olabilir, ancak taskmanager'de görmüyorum?
user1344545
Jonathan cevabına katılıyorum.
Hesaplama Makinesi
Görev yöneticisi her zaman "Sistem Boşta Kalma İşlemi" adı verilen ve CPU kullanım süresinde çalışan ve CPU kullanımınızı en üst düzeye çıkaran bir işlem gösterir. Aslında bir virüs değil. Ancak evet, bir virüs CPU kullanımını gizlemek için kendini görev adamına bağlayabilir.
Jonathan Baldwin
Bu, Windows 7 ve 8.x için geçerli mi?
Faiz
@Faiz "Antivirüs kullanın" bölümü yapar. Her zaman bir antivirüs kullanmalısınız (Avast Antivirus gibi ücretsiz olanlar vardır) ve bu günlerde mobil cihazlarda antivirüs yazılımı kullanmak bile gereklidir.
NH.
5

Bir virüsten koruma yalnızca bu kadar çok şey algılıyor ("4Ç11 sırasında, karşılaşılan Web kötü amaçlı yazılımlarının yüzde 33'ü karşılaşma sırasında geleneksel imza tabanlı yöntemlerle algılanamayan sıfır günlük kötü amaçlı yazılımdı", kaynak: http://blogs.cisco.com / security / cisco-4q11-global-tehdit-raporu / ).

Biraz eğitim ile bazı kötü amaçlı yazılımları tespit edebilirsiniz, çünkü işletim sisteminde her zamanki gibi biraz kapalı olan belirli bir şekilde davranırlar. Daha fazla ağ trafiği, daha fazla işlemci kullanımı, garip disk erişimi veya başka bir şey olabilir. Kötü amaçlı yazılımlar yalnızca bir taskmanager aracılığıyla algılanabilen tek ikili dosyalar olarak değil, aynı zamanda diğer işlemlere eklenmiş dinamik kitaplıklar (dll) olarak da kullanılabilir.

Sen gibi bir taskmanager ile sisteminizde çalışan ne hakkında ipuçları elde edebilirsiniz Process Explorer dan Sysinternal Suite ve işler gibi bir şeyle sisteminizde meydana izleyebilirsiniz Process Monitor aynı paketinin. Aletlere alışın ve "gariplik" belirtilerini izleyin:

  • İmzasız ikili dosyalar (yürütülebilir dosyalar veya dll'ler)
  • Garip tuhaf dosyalara yazar
  • Garip ağ etkinliği

("Garip" kısım "bu normal" ve "garip" arasında ayrım yapmak için ihtiyacınız olan eğitimdir)

Sysinternal Suite'in yazarı, yukarıda belirtilen araçları kullanmanın akıllıca yollarını gösterir:

https://www.youtube.com/watch?v=7heEYEbFim4

Yani, evet, bazı kötü amaçlı yazılımları iyi bir görev yöneticisi ile tespit edebilirsiniz. Kötü amaçlı yazılım ne kadar az karmaşıksa, algılanması o kadar kolay olur. Kötü amaçlı yazılım Process Explorer gibi görev yöneticilerinin kullanımını algılamaya çalışırsa, garip davranışı algılamak için farklı bir " Oturum " kullanmak gibi gelişmiş adımlar atmanız gerekebilir , ancak yine de mümkündür.

akira
kaynak
İyi bir tavsiye (+1) olsa da, bir Windows makinesinde iyi bir antivirüsün yerini tutmaz. Bu (açık bir şekilde) bunun bir tamamlayıcısıdır ve “tuhaf davranışların” sisteminizi kırmamak için ne olduğu konusunda biraz bilgi gerektirir. Birçok Windows bileşeni, eğitimsiz göz için "garip" davranır.
Jonathan Baldwin
Ayrıca, virüslü imzasız ikili dosyalardan daha büyük birkaç meşru imzasız ikili emir vardır. Aslında, çoğu Windows yazılımı imzasızdır, çünkü Windows 8 SmartScreen'in ortaya çıkmasından önce imzalama konusunda çok az geliştirici umurundadır. Tek başına büyük bir kriter değil.
Jonathan Baldwin
Eh, çoğu "normal" yazılım imzalanır, MSFT'nin kendisinden gelen yazılım kesinlikle imzalanır. Böylece, sistemin neyin bir parçası olduğu ve neyin bir parçası olmadığı hakkında bir ipucu alabilirsiniz. AV yazılımı genellikle çekirdek haklarıyla çalışan, internetten yeni talimatlar indiren bir yazılımdır :) twitter.com/thegrugq/status/297177182848049152 zdnet.com.au/blogs/securifythis/soa/… vb. Evet, bir şey yüklemek daha kolay birinin yardım ettiğini iddia ediyor. BENİM NACİZANE FİKRİME GÖRE.
akira
1
akira
2

Görev yöneticisinden virüs algılamak mümkün değildir.

Birkaç çeşit virüs var. Virüs, Truva atı, rootkit, adware / puk vb. Bazı virüsler kendilerini görev yöneticisinden gizler.

Görev yöneticisine bakmayı bırakıp antivirüs yüklemenizi öneririm.

Nasıl yapabilirim: Windows® Olay Görüntüleyicisi'ne erişebilirim?

  1. Image + R tuşlarına basın ve “eventvwr.msc” yazın ve Tamam'ı tıklatın veya Enter tuşuna basın.
  2. Windows Günlükleri'ni genişletin ve Güvenlik'i seçin.
  3. Ortada Tarih ve Saat, Kaynak, Etkinlik Kimliği ve Görev Kategorisi içeren bir liste göreceksiniz. Görev Kategorisi, olayı, Oturum Açma, Özel Oturum Açma, Oturum Kapatma ve diğer ayrıntıları hemen hemen açıklar.
Hesaplama Makinesi
kaynak
Bir virüsüm olduğundan emin değilim, ancak dün çıkış yaptığımda şüpheli bir mesajım vardı. Tamamen okuyamadım, çünkü çok hızlıydı, ama 'bağırsak
hissim
görev yöneticisini açın - kullanıcı sekmesine gidin ve kaç oturum olduğunu kontrol edin. Ev bilgisayarınız mı yoksa etki alanına katılmış mı?
Makine hesaplanması
Evde küçük bir ağımız var. Eşim ve çocuklarım. Ancak çıkış sırasında ileti açılırken ağda yalnızdım. Birisi yerel bilgisayarıma giriş yaparken bir mesajı tetiklemenin bir yolu var mı?
user1344545
1
Virüs imha için basit bir programdır. Virüsten koruma hizmeti sağlayıcısı her zaman yeni tehdit olup olmadığını kontrol eder. Yeni bir tehdit buldularsa algılama dosyasını (ide) serbest bırakırlar. Antivirüsünüz varsa, sizi% 100 koruyacağı anlamına gelmez. Ancak makinenizin önceki tehdit için en az güvenli olduğunu söyleyebilirim.
Makine hesaplanması
1
ve sonra bir işlem monitörü / görev yöneticisi aracılığıyla izliyorlar. malware de kendini virüsten koruma yazılımı gizlemek için seviyor ... av noktası ... iyi, anlamsız kılan.
akira
0

Virüsler günümüzde oldukça sofistike. Bu, kendilerini Görev Yöneticisi'nden gizleyebilecekleri, kendilerinin birden fazla kopyasını çalıştırabilecekleri (bir kopyanın kaldırılması durumunda) ve daha birçok püf noktası olabileceği anlamına gelir. Tanım olarak, virüsler kendilerini gizlemek için kendilerini sistem süreçlerine de enjekte ederler.

Genel olarak kötü amaçlı yazılımlar, yalnızca olağandışı bir işlem belirleyerek kolayca kolayca algılanabilir. Ancak virüsler spesifik olarak sadece hedef prosese enjekte edilen yükleri ile tanımlanabilir.

Yani bir antivirüs gerçekten doğru bir virüs tespit edebilir tek şey ... iyi ... bir virüs!

oldmud0
kaynak
-1

Bir programcının bakış açısından, Windows API ve daha fazlası - API kancalarını kullanarak programlamayı öğrenmeyi denemenizi öneririm.

İşletim sistemi çekirdeği, tanımlamanız ve bağlamanız gereken bu yerel API işlevlerinin bir tablosunu tutar . Kişisel kanca sonra yeniden yönlendirmek ve değiştirme / çıkış filtreler. Bu kod parçası çekirdek alanında çalışmalıdır ve onu kontrol edebilmeniz için (örn. Yükleme / durdurma) kullanıcı alanında da bir yazılım parçasına sahip olmanız gerekir. Bunlar kullanıcı alanında da mümkün olsa da, büyük olasılıkla modern AV'ler tarafından bir tür kötü amaçlı etkinlik olarak işaretlenecektir.

Yaklaşım olacaktır kanca kesişme API çağrıları bir kod parçası (ieNtQueryDirectoryFile ()), örneğin değiştirmek bu / çıkış filtresi - tür erkek-in-the-orta yaklaşım. Kullanıcı alanında çalışan işlemler (yani TaskManager, Windows Gezgini, İşlem Gezgini), yalnızca kanca tarafından sağlanan filtrelenmiş çıktıyı görüntüler ... HAYIR, ACL'lerin bu katman üzerinde gücü yok

Elbette, modern AV'lerde çekirdek alanında da çalışan kod parçaları ve / veya DESEN EŞLEŞTİRME (AV güncellemelerine AV Patterns Güncellemesi denir mi?) - bu tür kötü amaçlı kancaları tespit etmek ve önlemek için.

mVincent
kaynak
1
Bu cevabın aslında yazarın önerdiği soruya nasıl cevap verdiğinden emin değilim.
Ramhound
Bir düzenleme önerildi. Bu sözde yayınlanmıştır ( superuser.com/questions/821040/… ). Ancak modları tarafından kapatıldı, sadece yazıya tıklamadan birkaç dakika önce.
mVincent
Bu hala bu cevabın belirtilen sorunun yönelttiği soruyu nasıl ele aldığını açıklamamaktadır. Bağlantı kurduğunuz soru, bu yanıtı göndermeden tam bir saat önce kapatıldı. Tabii ki bağlantılı kopya bu daha çok daha iyi bir soru olduğu gerçeğini gündeme getireceğine inanıyorum.
Ramhound
Evet kesinlikle. Dediğim gibi, bu söz konusu Bağlantılı Soruya gönderilecek. Ancak ekli notu sildiğim bir düzenleme önerildi. Bu cevap, ilgili soruya bir fikir verir ve bir kullanıcının, güvendiği yazılımın kapasitesini belirleyememesi durumunda sahip olduğu yanlış güvenlik hissini giderir.
mVincent
Görev yöneticisi çalışan bir virüsü listeleyebilirse bunun nasıl yanıt verdiğini anlamaya çalıştım ama hala göremiyorum
Ramhound
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.