หากฉันมีไวรัสที่ทำงานอยู่ในระบบของฉันฉันจะสามารถดูกระบวนการใน taskmanager ได้หรือไม่ ฉันหมายความว่าเป็นไปได้ไหมที่ไวรัสที่ใช้งานจะหลีกเลี่ยง taskmanager ดังนั้นกระบวนการไม่ปรากฏในรายการงานของ windows7 หรือไม่
หรือในคำอื่น ๆ ถ้าตอนนี้ฉันทำงานทุกอย่างใน taskmanager ให้ปลอดภัยฉันก็รู้ว่าพีซีของฉันสะอาดหรือไม่
คำตอบ:
ไม่ไม่ปกติ เป็นไปได้ที่ Task Manager (และส่วนอื่น ๆ ของระบบปฏิบัติการ) จะถูกโจมตีด้วยตนเองดังนั้นจึงซ่อนไวรัส นี่เรียกว่ารูทคิท
ถ้าฉันตอนนี้กระบวนการทั้งหมดใน taskmanager เพื่อความปลอดภัย
คุณไม่สามารถรู้กระบวนการทั้งหมดใน taskmanager ได้อย่างปลอดภัย ไวรัสใช้ชื่อของส่วนประกอบของระบบด้วยเหตุผลบางครั้งถึงกับแทนที่
ใช้โปรแกรมป้องกันไวรัส
โปรแกรมป้องกันไวรัสตรวจพบเพียงอย่างเดียว ("ในช่วงไตรมาสที่ 4 ของปี 2554 พบมัลแวร์บนเว็บร้อยละ 33 เป็นมัลแวร์ zero-day ที่ไม่สามารถตรวจพบได้โดยวิธีการที่ใช้ลายเซ็นแบบดั้งเดิมเมื่อพบ" แหล่งที่มา: http://blogs.cisco.com / security / cisco-4q11-global-threat-report / )
ด้วยการฝึกฝนนิดหน่อยคุณสามารถตรวจจับมัลแวร์บางตัวได้เนื่องจากมันทำงานในลักษณะที่เป็นไปตามปกติในระบบปฏิบัติการ อาจเป็นปริมาณการใช้งานเครือข่ายที่มากขึ้นการใช้ cpu มากขึ้นการเข้าถึงดิสก์แปลก ๆ หรืออย่างอื่น มัลแวร์ไม่เพียงมีเป็นไบนารีเดียวที่ตรวจพบผ่าน taskmanager แต่ยังรวมถึง dynamic libraries (dll) ที่เชื่อมต่อกับกระบวนการอื่น ๆ
คุณสามารถรับเบาะแสเกี่ยวกับสิ่งที่ทำงานบนระบบของคุณด้วย taskmanager เช่นProcess ExplorerจากSysinternal Suiteและคุณสามารถดูสิ่งต่าง ๆ ที่เกิดขึ้นในระบบของคุณด้วยการตรวจสอบกระบวนการของชุดเดียวกัน ทำความคุ้นเคยกับเครื่องมือและดูสัญญาณของ "ความแปลก":
(ส่วน "แปลก" คือการฝึกอบรมที่คุณต้องการเพื่อแยกความแตกต่างระหว่าง "ปกติ" และ "แปลก")
ผู้แต่ง Sysinternal Suite แสดงวิธีที่ชาญฉลาดในการใช้เครื่องมือที่กล่าวถึงข้างต้น:
https://www.youtube.com/watch?v=7heEYEbFim4
ใช่คุณสามารถตรวจจับมัลแวร์บางตัวได้ด้วยตัวจัดการงานที่เหมาะสม มัลแวร์ที่มีความซับซ้อนน้อยกว่าจะตรวจจับได้ง่ายขึ้น หากมัลแวร์พยายามตรวจจับการใช้ตัวจัดการงานเช่น Process Explorer คุณอาจต้องทำตามขั้นตอนขั้นสูงเช่นการใช้ " เซสชัน " อื่นเพื่อตรวจจับพฤติกรรมที่แปลก แต่ก็ยังเป็นไปได้
ไม่สามารถตรวจจับไวรัสจากตัวจัดการงานได้
มีไวรัสหลายชนิด ไวรัสโทรจันรูทคิทแอดแวร์ / ปุก ฯลฯ ไวรัสบางตัวซ่อนตัวเองจากตัวจัดการงานดังนั้นจึงไม่ปรากฏในตัวจัดการงาน
ฉันอยากจะแนะนำให้คุณหยุดมองหาตัวจัดการงานและติดตั้งโปรแกรมป้องกันไวรัส
ฉันจะ: เข้าถึงWindows® Event Viewer ได้อย่างไร
ไวรัสในปัจจุบันค่อนข้างซับซ้อน ซึ่งหมายความว่าพวกเขาอาจซ่อนตัวเองจากตัวจัดการงานเรียกใช้สำเนาของตัวเองหลายชุด (ในกรณีที่สำเนาถูกลบ) และเทคนิคอื่น ๆ อีกมากมาย ตามคำจำกัดความไวรัสก็ฉีดตัวเองเข้าสู่กระบวนการของระบบเพื่อปกปิดตัวเอง
โดยทั่วไปแล้วมัลแวร์สามารถตรวจพบได้ง่าย ๆ เพียงแค่ระบุกระบวนการที่ผิดปกติที่กำลังทำงานอยู่ แต่โดยปกติไวรัสจะสามารถระบุได้โดยเพย์โหลดที่ฉีดเข้าสู่กระบวนการเป้าหมายเท่านั้น
ดังนั้นโปรแกรมป้องกันไวรัสจึงเป็นสิ่งเดียวที่สามารถตรวจจับ ... ดี ... ไวรัส!
จากมุมมองของโปรแกรมเมอร์ฉันขอแนะนำให้คุณลองเรียนรู้การเขียนโปรแกรมโดยใช้ windows API และอื่น ๆ อีกมากมาย - API hooks
เคอร์เนล OS ช่วยให้ตารางของฟังก์ชัน API เหล่านี้พื้นเมืองที่คุณจะต้องแจ้งและขอเข้ามา เบ็ดของคุณจะเปลี่ยนเส้นทางและแก้ไข / กรองผลลัพธ์ โค้ดนี้ต้องทำงานบนเคอร์เนลสเปซและเพื่อให้คุณสามารถควบคุมมัน (เช่นโหลด / หยุด) คุณต้องมีซอฟต์แวร์บางส่วนในพื้นที่ผู้ใช้ด้วย แม้ว่าสิ่งเหล่านี้จะเป็นไปได้ในพื้นที่ผู้ใช้เช่นกัน แต่ส่วนใหญ่มันจะถูกตั้งค่าสถานะโดย AV ที่ทันสมัยว่าเป็นกิจกรรมที่เป็นอันตราย
วิธีการนี้จะขอรหัสชิ้นหนึ่งเพื่อสกัดกั้นการเรียก API (ieNtQueryDirectoryFile ()) เพื่อให้คุณแก้ไข / กรองเอาท์พุท - การเรียงลำดับของวิธี man-in-the-middle กระบวนการที่ทำงานบนพื้นที่ผู้ใช้ (เช่น TaskManager, Windows Explorer, Process Explorer) จะแสดงผลลัพธ์ที่กรองโดยเบ็ดของคุณ ... และไม่ ACLs ไม่มีอำนาจในชั้นนี้
แน่นอนว่า AVs ที่ทันสมัยมีโค้ดที่ทำงานบนเคอร์เนล - พื้นที่เช่นกันและ / หรือการจับคู่แบบ (จำได้ว่าเมื่อมีการอัพเดต AV เรียกว่า AV Patterns Update?) - เพื่อตรวจจับและป้องกันฮุคที่เป็นอันตราย