È possibile rilevare un virus con taskmanager?

10

Se avessi un virus in esecuzione sul mio sistema, sarei in grado di vedere il processo in taskmanager? Voglio dire, sarebbe possibile per un virus in esecuzione aggirare il taskmanager in modo che il processo non venga visualizzato nell'elenco delle attività di Windows7?

O in altre parole. Se davvero ora tutti i processi nel taskmanager sono sicuri, so anche che il mio PC è pulito?

windows-7  virus 
user1344545
fonte

Risposte:

7

No, di solito non. È possibile che Task Manager (e altre parti del sistema operativo) vengano compromessi, nascondendo così il virus. Questo si chiama rootkit.

Se davvero ora tutti i processi nel taskmanager fossero sicuri

Non puoi mai sapere che tutti i processi nel taskmanager sono sicuri. I virus usano i nomi dei componenti di sistema per una ragione, a volte addirittura spostandoli.

Usa un antivirus.

Jonathan Baldwin
fonte
1
per una migliore comprensione: questo significa che quel taskmanager mostra ad esempio 0% di utilizzo della CPU in generale (tutti i processi 0%), ma potrebbe esserci un processo nascosto che utilizza CPU, ma non lo vedo in taskmanager?
user1344545
Sono d'accordo con la risposta di Jonathan.
Macchina calcolatrice
Il task manager mostrerà sempre un processo chiamato "Processo di inattività del sistema" che viene eseguito durante il tempo di inattività della CPU, che sembrerà massimizzare l'utilizzo della CPU. In realtà non lo è e non è un virus. Ma sì, un virus può collegarsi a taskman per nascondere l'utilizzo della CPU.
Jonathan Baldwin
Questo vale per Windows 7 e 8.x?
Faiz,
@Faiz fa la parte "Usa un antivirus". Dovresti sempre usare un antivirus (ce ne sono di gratuiti come Avast Antivirus) e oggigiorno è addirittura necessario utilizzare il software antivirus sui dispositivi mobili.
NH.
5

Un antivirus rileva solo così tanto ("Durante il 4 ° trimestre del 2011, il 33% del malware Web rilevato era malware zero-day non rilevabile dalle metodologie tradizionali basate su firma al momento dell'incontro", fonte: http://blogs.cisco.com / security / cisco-4q11-global-threat-report / ).

Con un po 'di addestramento è possibile rilevare alcuni malware perché si comportano in un certo modo un po' fuori rispetto a ciò che è solito sul sistema operativo. Potrebbe essere più traffico di rete, più utilizzo della CPU, strani accessi al disco o qualcos'altro. I malware non sono disponibili solo come singoli binari rilevabili tramite un taskmanager ma anche come librerie dinamiche (dll) associate ad altri processi.

Puoi ottenere indizi su ciò che è in esecuzione sul tuo sistema con un task manager come Process Explorer da Sysinternal Suite , e puoi guardare le cose accadere sul tuo sistema con qualcosa come Process Monitor della stessa suite. Abituati agli strumenti e osserva i segni di "stranezza":

  • File binari non firmati (eseguibili o dll)
  • Strange scrive su file strani
  • Strana attività di rete

(La parte "strana" è la formazione di cui hai bisogno per distinguere tra "che è normale" e "che è strano")

L'autore di Sysinternal Suite mostra alcuni modi intelligenti di utilizzare i suddetti strumenti:

https://www.youtube.com/watch?v=7heEYEbFim4

Quindi sì, puoi rilevare parte del malware con un task manager decente. Meno sofisticato è il malware, più facile sarà rilevare. Se il malware tenta di rilevare l'uso di task manager come Process Explorer, potrebbe essere necessario eseguire anche passaggi avanzati come l'utilizzo di una " Sessione " diversa per rilevare comportamenti strani ma è ancora possibile.

Akira
fonte
Mentre un buon consiglio (+1) non c'è sostituto per un antivirus decente su un computer Windows. Questo è (ovviamente) un complemento di questo, e richiede alcune conoscenze su quale "strano comportamento" sia quello di non rompere il sistema. Molti componenti di Windows si comportano in modo "strano" a occhio nudo.
Jonathan Baldwin
Inoltre, esistono diversi ordini di grandezza più binari non firmati più legittimi dei binari non firmati infetti. In realtà, la maggior parte dei software Windows non è firmata, poiché pochissimi sviluppatori si sono preoccupati di firmare prima della comparsa di Windows 8 SmartScreen. Non è un grande punto di riferimento da solo.
Jonathan Baldwin
Bene, la maggior parte dei software "normali" è firmata, quella proveniente dallo stesso MSFT è sicuramente firmata. Quindi, puoi avere un'idea di cosa fa parte del sistema e cosa non fa parte del sistema. Il software AV di solito è un software che funziona con i diritti del kernel, scarica nuove istruzioni da Internet :) twitter.com/thegrugq/status/297177182848049152 zdnet.com.au/blogs/securifythis/soa/… ecc. Sì, è più facile installare qualcosa che qualcuno sostiene aiuta. A PARER MIO.
Akira
1
akira
2

Non è possibile rilevare virus dal Task Manager.

Esistono diversi tipi di virus. Virus, Trojan, rootkit, adware / puk ecc. Alcuni virus si nascondono dal Task Manager, quindi non appare nel Task Manager.

Ti suggerirei di smettere di cercare in Task Manager e installare l'antivirus.

Come posso: accedere al Visualizzatore eventi di Windows®?

  1. Premi Image + R e digita “eventvwr.msc” e fai clic su OK o premi Invio.
  2. Espandi Registri di Windows e seleziona Sicurezza.
  3. Nel mezzo vedrai un elenco, con Data e ora, Origine, ID evento e Categoria attività. La categoria di attività spiega praticamente l'evento, l'accesso, l'accesso speciale, la disconnessione e altri dettagli.
Calcolatrice
fonte
Non sono sicuro di avere un virus, ma ho ricevuto un messaggio sospetto quando mi sono disconnesso ieri. Non sono riuscito a leggerlo completamente, perché è stato molto veloce, ma il mio "istinto" dice che il messaggio diceva che qualcuno è ancora connesso.
user1344545
apri il task manager: vai alla scheda utente e controlla quante sessioni ci sono. È il tuo computer di casa o è entrato nel dominio?
Macchina calcolatrice
Abbiamo una piccola rete a casa. Mia moglie e i miei figli. Ma ero solo nella rete, quando il messaggio popup durante la disconnessione. C'è un modo per attivare un messaggio quando qualcuno accede al mio PC locale?
user1344545
1
Virus è un semplice programma per la distruzione. Il fornitore di servizi antivirus verifica sempre la presenza di nuove minacce. Se hanno trovato una nuova minaccia, rilasciano il file di rilevamento (ide). Se hai un antivirus, ciò non significa che ti proteggerà al 100%. Ma posso dire che la tua macchina è almeno sicura per la minaccia precedente.
Macchina calcolatrice
1
e poi lo guardano tramite un processmonitor / taskmanager. al malware piace anche nascondersi dal software antivirus ... il che rende il punto di ... beh, inutile.
Akira,
0

I virus sono piuttosto sofisticati al giorno d'oggi. Ciò significa che possono nascondersi dal Task Manager, eseguire più copie di se stessi (nel caso in cui una copia venga rimossa) e molti altri trucchi. Per definizione, i virus si iniettano anche nei processi di sistema per nascondersi.

I malware in genere possono essere rilevati abbastanza facilmente semplicemente identificando un processo insolito in esecuzione. Ma i virus in genere possono essere identificati solo dal loro carico utile iniettato nel processo di destinazione.

Quindi un antivirus è davvero l'unica cosa in grado di rilevare con precisione ... beh ... un virus!

oldmud0
fonte
-1

Dal punto di vista di un programmatore, suggerirei di provare a imparare la programmazione utilizzando l'API di Windows e altro ancora: gli hook API.

Il kernel del sistema operativo mantiene una tabella di queste funzioni API native che è necessario identificare e agganciare . Il tuo hook reindirizzerà e modificherà / filtrerà l'output. Questo pezzo di codice deve essere eseguito su kernel-space, e per poterlo controllare (cioè caricare / arrestare), dovresti avere anche un pezzo di software nello spazio utente. Anche se questi sono possibili anche nello spazio utente, molto probabilmente saranno contrassegnati dai moderni AV come una sorta di attività dannosa.

L'approccio sarebbe quello di agganciare un pezzo di codice per intercettare le chiamate API (ieNtQueryDirectoryFile ()) in modo tale da modificare / filtrare l'output - una sorta di approccio man-in-the-middle. I processi in esecuzione nello spazio utente (ad esempio TaskManager, Esplora risorse, Esplora processi) visualizzeranno solo l'output filtrato fornito dal hook ... E NO, gli ACL non hanno alcun potere su questo livello

Ovviamente, i moderni AV hanno pezzi di codice in esecuzione anche nello spazio kernel e / o PATTERN MATCHING (ricordi quando gli aggiornamenti AV sono chiamati AV Patterns Update?) - per rilevare e prevenire tali hook dannosi.

mVincent
fonte
1
Non sono sicuro di come questa risposta risponda effettivamente alla domanda proposta dall'autore.
Ramhound,
È stata suggerita una modifica. Questo è presumibilmente pubblicato ( superuser.com/questions/821040/… ). Ma è stato chiuso da mod, pochi minuti prima che facessi clic su post.
mVincent,
Ciò non spiega ancora come questa risposta affronti la domanda posta dalla domanda dichiarata. La domanda a cui ti sei collegato è stata chiusa un'ora prima di inviare questa risposta. Ovviamente credo che solleverò il fatto che il duplicato collegato è una domanda molto migliore di questa.
Ramhound,
Si Certamente. E come ho detto, si suppone che sia pubblicato su quella domanda collegata. Tuttavia è stata suggerita una modifica, che cancello la nota allegata. Questa risposta fornisce una panoramica della domanda pertinente e affronta il falso senso di sicurezza che un utente ha se non è in grado di accertare la capacità del software su cui si basa.
mVincent,
Ho provato a capire come questo risponde se il task manager può
elencare
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.