Как обнаружить скрытые вредоносные процессы в системе?

Question

[Name422]

Некоторые вирусы скрывают свои процессы в диспетчере задач Windows. Таким образом человек даже не догадывается, что его компьютер заражен вирусом (по крайней мере до тех пор, пока вредоносное воздействие не перейдет в критическую стадию и станет очевидным. А бывает и так, что вирус никогда не обнаруживается).
Есть ли способы обнаружить эти скрытые процессы?

Comments

[MAKSIM KRASOVSKIY]

1) Запомнишь со временем, если часто будешь с ними встречаться, они обычно занимают стандартное колво памяти и проца
2) есть прога PRIO она корректирует (win8 и win10 не поддерживает) диспетчер задач и подсвечивает честные файлы зелёным, как только честная прога обновляется, то подсвечивается красным

Answer 1

[АртемЪ]

Простых способов нет.
Гарантированных способов не существует.
Только анализ поведения - что за программа, что делает, есть ли подпись, не совпадают ли сигнатуры.
Вирус обнаружить проще.
А вредоносная программа зачастую технически ничем не отличается от полезной, поэтому программно ее детектировать во многих случаях невозможно.

Answer 2

[xmoonlight]

Обнаруживать - без вариантов!
Вот пример.
Нужно поставить "чистую" систему и ЗАРАНЕЕ! настроить все права на запись и на запуск с помощью стороннего софта.
Например, Folder Guard.
Все новые - запускать в "песочнице" (или, что надёжнее, в виртуалке): SandBoxie

Comments

[mmx2017]

не надо эти кричащие фразы!! ждостали уже

Answer 3

[Saboteur]

Для начала нужно научиться обнаруживать стандартные процессы - знать что из них что делает, к чему относится, как себя ведет и как должен запускаться.

После этого уже можно искать нестандартные процессы.

Способы конечно есть, но объяснять их - значит научить человека администрированию windows на достаточно глубоком уровне. Это нельзя вместить в ответ на вопрос, а грубо говоря целый процесс обучения.

Answer 4

[Plinio]

Пользуйтесь Comodo
Cleaning Essentials и KillSwitch, они как раз предназначены для анализа и идентификации скрытых системных процессов. Первая специализируется на поиске вирусов и руткитов, очистке системы, вторая улучшенный аналог Диспечера задач, не только отображает сетевую активность и все процессы в виде древа, но и сверяет все активные по электронной подписи, подсвечивая подозрительные. Ещё там есть Autorun Analyzer, он покажет все процессы и службы в автозапуске. Плюс хорошая мысль добавить отдельно VirusTotal Uploader, чтобы проверять всё подозрительные файлы более чем 50 известными антивирусами, чтоб наверняка.

Answer 5

[Артем]

Как выше сказано - гарантированных способов нет.
Но можно проверить систему DrWeb CureIt, Malwarebytes AntiMalware, AVZ, Kaspersky Free.
У этих программ достаточно сильна эвристика - и они теоретически могут подсказать, если какой-то процесс ведет себя не так, как ожидается, даже если сигнатуры вируса нет в их базах.

Answer 6

[morgan]

Начать с простого и посмотреть сетевой трафик утилитой currports, при обнаружении подозрительной активности изучить процессы тем же process explorer.

Answer 7

[dmfun]

Проверяйте каждый процесс
1) Подпись
Нет подписи у экзешника это уже не профессиональное ПО.
2) Место запуска
Если запущено не из програм файлс, то повод задуматься. Иногда ставится скайп или дропбокс в профиль пользователя. Но нормальное ПО. Стоит только в програм файлз, а не темповских папках с замудреными именами

Инструмент AVZ, AnvirrTaskManager
шерстите автозагрузку, плагины браузеров, планировщик задач.
Сначала надо прибить все не системные / неизвестные процессы.
У системных посмотреть используемые библиотеки (эти тулзы показывают)

Answer 8

[Ltonid]

Есть простенькие программы типа Process Hacker, у него свой драйвер и он увидит скрытый процесс, но вы увидите ещё столько интересного, что без точного знания каждой строчки можете сделать ещё хуже.

Антивирусы тоже видят скрытые процессы и обычно реагируют на них негативно, так что сейчас чаще используют легальные проги нежели сокрытие процесса, либо внедрение в легальный процесс, что в разы безопасней.

Помню как три дня гонялся за полиморфным драйвером алкоголя. Когда поймал понял, для чего разрабы это сделали, много думал...

Comments

[Курум]

и для чего разрабы это сделали?

[Ltonid]

Алкоголь умел копировать защищенные диски путем эмуляции настоящего сидирома. Собственно этот драйвер и был в системе как сидиром, он читал диск и защита обходилась. А полиморф нужен был что-бы разрабы не банили по имени драйвера.

Answer 9

[Dimonchik]

www.gmer.net

Answer 10

[lukoie]

Не, ну есть же специальные дядьки, которые такие процессы выявляют и записывают в маленькую черненькую книжечку.
Например тот же malwarebytes
Почему бы не довериться им? Неужели на вашем компе взяло и установилось нечто такое, чего они не видывали?