Có thể phát hiện virus bằng taskmanager không?

10

Nếu tôi có một virus đang chạy trên hệ thống của mình, tôi có thể thấy quá trình trong taskmanager không? Ý tôi là, liệu virus chạy có thể phá vỡ taskmanager để quá trình này không xuất hiện trong danh sách tác vụ của windows7 không?

Hay nói cách khác. Nếu tôi thực sự bây giờ tất cả các quy trình trong taskmanager được bảo mật, tôi cũng biết rằng PC của tôi sạch?

windows-7  virus 
người dùng1344545
nguồn

Câu trả lời:

7

Không, không thường xuyên. Có thể bản thân Trình quản lý tác vụ (và các bộ phận khác của hệ điều hành) bị xâm nhập, do đó che giấu vi-rút. Điều này được gọi là rootkit.

Nếu tôi thực sự bây giờ tất cả các quy trình trong taskmanager được an toàn

Bạn không bao giờ có thể biết tất cả các quy trình trong taskmanager để được an toàn. Virus sử dụng tên của các thành phần hệ thống vì một lý do, đôi khi thậm chí thay thế chúng.

Sử dụng một phần mềm chống vi-rút.

Jonathan hói
nguồn
1
để hiểu rõ hơn: Điều này có nghĩa là, taskmanager cho thấy tổng thể sử dụng CPU 0% (tất cả các quy trình 0%), nhưng có thể có một quy trình ẩn sử dụng CPU, nhưng tôi không thấy nó trong taskmanager?
dùng1344545
Tôi đồng ý với câu trả lời của Jonathan.
Máy tính
Trình quản lý tác vụ sẽ luôn hiển thị một quy trình gọi là "Quá trình nhàn rỗi hệ thống" chạy trong thời gian nhàn rỗi của CPU, sẽ xuất hiện để tối đa hóa việc sử dụng CPU của bạn. Nó không thực sự, và không phải là virus. Nhưng vâng, một con virus có thể tự gắn vào taskman để che giấu việc sử dụng CPU của nó.
Jonathan Baldwin
Điều này có áp dụng cho Windows 7 và 8.x không?
Faiz
@Faiz phần "Sử dụng phần mềm chống vi-rút". Bạn phải luôn luôn sử dụng một phần mềm chống vi-rút (có những phần mềm miễn phí như Avast Antivirus) và ngày nay, thậm chí cần phải sử dụng phần mềm chống vi-rút trên thiết bị di động.
NH.
5

Một phần mềm chống vi-rút chỉ phát hiện ra rất nhiều ("Trong 4Q11, 33 phần trăm phần mềm độc hại Web gặp phải là phần mềm độc hại không có ngày không thể phát hiện được bằng các phương pháp dựa trên chữ ký truyền thống tại thời điểm gặp phải", nguồn: http://bloss.cisco.com / security / cisco-4q11-global-đe dọa-báo cáo / ).

Với một chút đào tạo, bạn có thể phát hiện một số phần mềm độc hại vì chúng hoạt động theo một cách nhất định hơi khác với những gì thông thường trên HĐH. Nó có thể là lưu lượng mạng nhiều hơn, sử dụng cpu nhiều hơn, truy cập đĩa lạ hoặc một cái gì đó khác. Phần mềm độc hại không chỉ có sẵn dưới dạng nhị phân đơn có thể phát hiện được thông qua taskmanager mà còn là thư viện động (dll) được đính kèm với các quy trình khác.

Bạn có thể nhận được manh mối về những gì đang chạy trên hệ thống của mình với một taskmanager như Process Explorer từ Sysiternal Suite và bạn có thể xem mọi thứ xảy ra trên hệ thống của mình với một cái gì đó như Process Monitor của cùng một bộ. Làm quen với các công cụ và theo dõi các dấu hiệu "lạ":

  • Các tệp nhị phân chưa ký (tệp thực thi hoặc dll)
  • Strange ghi vào các tập tin lạ
  • Hoạt động mạng lạ

(Phần "lạ" là phần đào tạo bạn cần để phân biệt giữa "điều đó là bình thường" và "điều đó thật lạ")

Tác giả của Sysiternal Suite cho thấy một số cách thông minh để sử dụng các công cụ được đề cập ở trên:

https://www.youtube.com/watch?v=7heEYEbFim4

Vì vậy, vâng, bạn có thể phát hiện một số phần mềm độc hại với trình quản lý tác vụ phong nha. Phần mềm độc hại càng ít tinh vi thì càng dễ phát hiện. Nếu phần mềm độc hại cố gắng phát hiện việc sử dụng các trình quản lý tác vụ như Process Explorer, bạn thậm chí có thể cần thực hiện các bước nâng cao như sử dụng " Phiên " khác để phát hiện hành vi lạ nhưng vẫn có thể.

akira
nguồn
Mặc dù lời khuyên tốt (+1) không có thay thế cho một phần mềm chống vi-rút tốt trên máy Windows. Đây rõ ràng là một bổ sung cho điều đó và đòi hỏi một số kiến ​​thức về "hành vi lạ" là gì để không phá vỡ hệ thống của bạn. Nhiều thành phần Windows hoạt động "lạ" đối với mắt chưa được huấn luyện.
Jonathan Baldwin
Ngoài ra, có một số đơn đặt hàng nhị phân không dấu hợp pháp lớn hơn so với các nhị phân không dấu bị nhiễm. Trên thực tế, hầu hết các phần mềm Windows đều không được ký, vì rất ít nhà phát triển quan tâm đến việc ký trước khi Windows 8 SmartScreen xuất hiện. Không phải là một điểm chuẩn tuyệt vời của chính nó.
Jonathan Baldwin
Chà, hầu hết các phần mềm "bình thường" đã được ký, phần mềm đến từ chính MSFT chắc chắn đã được ký. Vì vậy, bạn có thể có được manh mối về phần nào của hệ thống và phần nào không phải là một phần của hệ thống. Phần mềm AV thường là phần mềm chạy với quyền kernel, tải xuống các hướng dẫn mới từ internets :) twitter.com/thegrugq/status/297177182848049152 zdnet.com.au/bloss/securifythis/soa/, v.v. Vâng, dễ dàng hơn để cài đặt một cái gì đó mà ai đó yêu cầu giúp đỡ. IMHO.
akira
1
akira
2

Không thể phát hiện virus từ trình quản lý tác vụ.

Có một số loại virus. Virus, Trojan, rootkit, phần mềm quảng cáo / puk, v.v ... Một số virus ẩn mình khỏi trình quản lý tác vụ. Vì vậy, nó không xuất hiện trong trình quản lý tác vụ.

Tôi sẽ đề nghị bạn ngừng tìm kiếm trong trình quản lý tác vụ và cài đặt phần mềm chống vi-rút.

Làm cách nào tôi có thể: Truy cập Windows® Event Viewer?

  1. Nhấn Image + R và gõ vào event eventvwr.msc 'và bấm OK hoặc nhấn Enter.
  2. Mở rộng Nhật ký Windows và chọn Bảo mật.
  3. Ở giữa, bạn sẽ thấy một danh sách, với Ngày và Giờ, Nguồn, ID sự kiện và Danh mục nhiệm vụ. Danh mục nhiệm vụ giải thích khá nhiều về sự kiện, Đăng nhập, Đăng nhập đặc biệt, Đăng xuất và các chi tiết khác.
Máy thanh toán
nguồn
Tôi không chắc chắn có virus, nhưng tôi đã có một tin nhắn nghi ngờ khi đăng xuất ngày hôm qua. Tôi không thể đọc nó hoàn toàn, bởi vì nó rất nhanh, nhưng 'cảm giác ruột
thịt
mở trình quản lý tác vụ - điều hướng đến tab người dùng và kiểm tra xem có bao nhiêu phiên. Nó là máy tính ở nhà của bạn hoặc nó được tham gia trong miền?
Máy tính
Chúng tôi có một mạng lưới nhỏ ở nhà. Vợ con tôi. Nhưng tôi chỉ có một mình trong mạng, khi thông báo bật lên trong quá trình đăng xuất. Có cách nào để kích hoạt một tin nhắn, khi ai đó đang đăng nhập vào PC cục bộ của tôi không?
dùng1344545
1
Virus là một chương trình đơn giản để tiêu diệt. Nhà cung cấp dịch vụ chống virus luôn kiểm tra mối đe dọa mới. Nếu họ tìm thấy bất kỳ mối đe dọa mới thì họ phát hành tệp phát hiện (ide). Nếu bạn có phần mềm chống vi-rút, điều đó không có nghĩa là nó sẽ bảo vệ bạn 100%. Nhưng tôi có thể nói rằng máy của bạn ít nhất là an toàn cho mối đe dọa trước đó.
Máy tính
1
và sau đó họ xem nó thông qua một processmonitor / taskmanager. phần mềm độc hại cũng thích ẩn mình khỏi phần mềm chống vi-rút ... điều này làm cho điểm của av ... tốt, vô nghĩa.
akira
0

Virus ngày nay khá tinh vi. Điều đó có nghĩa là họ có thể ẩn mình khỏi Trình quản lý tác vụ, tự chạy nhiều bản sao (trong trường hợp một bản sao bị gỡ xuống) và nhiều thủ thuật khác. Theo định nghĩa, virus cũng tự tiêm vào các quy trình hệ thống để che giấu bản thân.

Phần mềm độc hại nói chung thường có thể được phát hiện khá dễ dàng chỉ bằng cách xác định một quy trình bất thường đang chạy. Nhưng virus đặc biệt thường chỉ có thể được xác định bằng tải trọng của chúng được tiêm vào quá trình đích.

Vì vậy, một trình diệt virus thực sự là thứ duy nhất có thể phát hiện chính xác ... à ... một loại virus!

oldmud0
nguồn
-1

Từ quan điểm của một lập trình viên, tôi sẽ đề nghị bạn thử học lập trình bằng API windows và hơn thế nữa - móc API.

Nhân hệ điều hành giữ một bảng các hàm API gốc mà bạn cần xác định và nối vào. Hook của bạn sau đó sẽ chuyển hướng và sửa đổi / lọc đầu ra. Đoạn mã này phải chạy trên kernel-space và để bạn kiểm soát nó (tức là tải / dừng), bạn cũng phải có một phần mềm trên không gian người dùng. Mặc dù những thứ này cũng có thể có trên không gian người dùng, nhưng rất có thể nó sẽ bị các AV hiện đại gắn cờ là một loại hoạt động độc hại.

Cách tiếp cận sẽ là nối một đoạn mã để chặn các lệnh gọi API (tức làNtQueryDirectoryFile ()) sao cho bạn sửa đổi / lọc đầu ra - cách tiếp cận trung gian. Các quy trình chạy trên không gian người dùng (ví dụ: Trình quản lý tác vụ, Windows Explorer, Process Explorer), sẽ chỉ hiển thị đầu ra được lọc do hook của bạn cung cấp ... Và KHÔNG, ACL không có nguồn trên lớp này

Tất nhiên, các AV hiện đại cũng có các đoạn mã chạy trên kernel-space và / hoặc MATTERN MATCHING (hãy nhớ khi các bản cập nhật AV được gọi là Cập nhật mẫu AV?) - để phát hiện và ngăn chặn các hook độc hại đó.

mVincent
nguồn
1
Tôi không chắc câu trả lời này thực sự trả lời câu hỏi đề xuất của tác giả như thế nào.
Ramhound
Một chỉnh sửa đã được đề xuất. Điều này được cho là đã đăng ( superuser.com/questions/821040/ Google ). Nhưng đã bị đóng bởi mod, chỉ vài phút trước khi tôi nhấp vào bài viết.
mVincent
Điều đó vẫn không giải thích làm thế nào câu trả lời này giải quyết câu hỏi được đặt ra bởi câu hỏi đã nêu. Câu hỏi bạn liên kết đến đã đóng một giờ trước khi bạn gửi câu trả lời này. Tất nhiên tôi tin rằng tôi sẽ đưa ra thực tế là bản sao được liên kết là một câu hỏi tốt hơn nhiều so với câu hỏi này.
Ramhound
Vâng, thực sự. Và như tôi đã nói, điều đó được cho là sẽ được đăng trên Câu hỏi được liên kết đó. Tuy nhiên, một chỉnh sửa đã được đề xuất, rằng tôi xóa ghi chú đính kèm. Câu trả lời này cung cấp cái nhìn sâu sắc cho câu hỏi có liên quan và giải quyết ý thức bảo mật sai lầm của người dùng nếu bản thân anh ta không thể xác định được khả năng của phần mềm mà anh ta dựa vào.
mVincent
Tôi đã cố gắng hiểu câu trả lời này như thế nào nếu trình quản lý tác vụ có thể liệt kê một loại virus đang chạy nhưng tôi vẫn không thể nhìn thấy nó
Ramhound
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.