Можно ли обнаружить вирус с помощью TaskManager?

Если в моей системе будет запущен вирус, смогу ли я увидеть процесс в диспетчере задач? Я имею в виду, может ли работающий вирус обойти диспетчер задач, чтобы этот процесс не появился в списке задач Windows7?

Или другими словами. Если я действительно теперь все процессы в TaskManager, чтобы быть безопасным, я также знаю, что мой компьютер чист?

Нет не обычно Диспетчер задач (и другие части операционной системы) могут быть скомпрометированы, скрывая вирус. Это называется руткит.

Если я действительно сейчас все процессы в TaskManager, чтобы быть в безопасности

Вы никогда не можете знать все процессы в TaskManager, чтобы быть в безопасности. Вирусы не без причины используют имена компонентов системы, иногда даже вытесняя их.

Используйте антивирус.

Антивирус обнаруживает только и так много («В 4К11 33% обнаруженных вредоносных программ в Интернете были вредоносными программами нулевого дня, которые не были обнаружены традиционными методологиями на основе сигнатур на момент обнаружения», источник: http://blogs.cisco.com / security / cisco-4q11-global-угроз-отчет / ).

После небольшого обучения вы можете обнаружить некоторые вредоносные программы, потому что они ведут себя определенным образом, что немного отличается от обычного в ОС. Это может быть больше сетевого трафика, больше использования процессора, странный доступ к диску или что-то еще. Вредоносные программы доступны не только в виде отдельных двоичных файлов, которые можно обнаружить с помощью диспетчера задач, но также в виде динамических библиотек (dll), подключенных к другим процессам.

Вы можете получить информацию о том, что работает в вашей системе, с помощью менеджера задач, такого как Process Explorer, из Sysinternal Suite , и вы можете наблюдать за происходящими в вашей системе событиями, такими как Process Monitor из того же пакета. Привыкайте к инструментам и следите за признаками «странности»:

• Неподписанные двоичные файлы (исполняемые файлы или библиотеки DLL)
• Странные записи в странные файлы
• Странная сетевая активность

(«Странная» часть - это тренировка, необходимая для того, чтобы различать «это нормально» и «это странно»)

Автор Sysinternal Suite показывает некоторые умные способы использования вышеупомянутых инструментов:

https://www.youtube.com/watch?v=7heEYEbFim4

Так что, да, вы можете обнаружить некоторые вредоносные программы с помощью приличного менеджера задач. Чем менее изощренно вредоносное ПО, тем легче будет его обнаружить. Если вредоносная программа пытается обнаружить использование диспетчеров задач, таких как Process Explorer, вам может потребоваться даже предпринять более сложные действия, такие как использование другого « сеанса » для обнаружения странного поведения, но это все еще возможно.

Невозможно обнаружить вирус из диспетчера задач.

Есть несколько видов вирусов. Вирус, троянец, руткит, рекламное ПО / пук и т. Д. Некоторые вирусы прячутся от диспетчера задач. Поэтому в диспетчере задач он не отображается.

Я бы посоветовал вам перестать смотреть в диспетчере задач и установить антивирус.

Как я могу: Доступ к Windows® Event Viewer?

1. Нажмите Image + R, введите «eventvwr.msc» и нажмите «ОК» или нажмите «Ввод».
2. Разверните Журналы Windows и выберите Безопасность.
3. В середине вы увидите список с датой и временем, источником, идентификатором события и категорией задачи. Категория задач в значительной степени объясняет событие, вход в систему, специальный вход, выход из системы и другие детали.

Вирусы довольно сложны в наши дни. Это означает, что они могут скрывать себя от диспетчера задач, запускать несколько своих копий (в случае, если одна копия будет удалена) и многие другие приемы. По определению, вирусы также внедряются в системные процессы, чтобы скрыть себя.

Вредоносное ПО в целом обычно можно довольно легко обнаружить, просто выявив необычный запущенный процесс. Но вирусы, в частности, обычно могут быть идентифицированы только по их полезной нагрузке, введенной в целевой процесс.

Так что антивирус действительно единственное, что может точно обнаружить ... ну ... вирус!

С точки зрения программиста, я бы предложил вам попробовать освоить программирование с использованием Windows API и, более того, хуков API.

Ядро ОС хранит таблицу этих нативных функций API, которые вам нужно идентифицировать и подключить . Ваш хук будет перенаправлять и изменять / фильтровать вывод. Этот кусок кода должен выполняться в пространстве ядра, и для того, чтобы вы могли им управлять (т.е. загружать / останавливать), вам также необходимо иметь часть программного обеспечения в пользовательском пространстве. Хотя это возможно и в пользовательском пространстве, современные AV, скорее всего, будут помечены как некая вредоносная деятельность.

Подход заключается в том, чтобы перехватить часть кода для перехвата вызовов API (то есть NTQueryDirectoryFile ()) таким образом, чтобы вы изменили / отфильтровали вывод - что-то вроде подхода «человек посередине». Процессы, выполняющиеся в пользовательском пространстве (т. Е. TaskManager, Windows Explorer, Process Explorer), просто отобразят отфильтрованный вывод, предоставленный вашей ловушкой ... И НЕТ, ACL не имеет никакого влияния на этот слой

Конечно, современные AV имеют фрагменты кода, работающие и в пространстве ядра, и / или PATTERN MATCHING (помните, когда обновления AV называются AV Patterns Update?) - для обнаружения и предотвращения таких вредоносных перехватов.