Задать вопрос

Как обнаружить скрытые вредоносные процессы в системе?

Некоторые вирусы скрывают свои процессы в диспетчере задач Windows. Таким образом человек даже не догадывается, что его компьютер заражен вирусом (по крайней мере до тех пор, пока вредоносное воздействие не перейдет в критическую стадию и станет очевидным. А бывает и так, что вирус никогда не обнаруживается).
Есть ли способы обнаружить эти скрытые процессы?
  • Вопрос задан
  • 54230 просмотров
Подписаться 12 Средний 1 комментарий
Решения вопроса 2
Jump
@Jump Куратор тега Windows
Системный администратор со стажем.
Простых способов нет.
Гарантированных способов не существует.
Только анализ поведения - что за программа, что делает, есть ли подпись, не совпадают ли сигнатуры.
Вирус обнаружить проще.
А вредоносная программа зачастую технически ничем не отличается от полезной, поэтому программно ее детектировать во многих случаях невозможно.
Ответ написан
Комментировать
xmoonlight
@xmoonlight
https://sitecoder.blogspot.com
Обнаруживать - без вариантов!
Вот пример.
Нужно поставить "чистую" систему и ЗАРАНЕЕ! настроить все права на запись и на запуск с помощью стороннего софта.
Например, Folder Guard.
Все новые - запускать в "песочнице" (или, что надёжнее, в виртуалке): SandBoxie
Ответ написан
Пригласить эксперта
Ответы на вопрос 8
saboteur_kiev
@saboteur_kiev Куратор тега Windows
software engineer
Для начала нужно научиться обнаруживать стандартные процессы - знать что из них что делает, к чему относится, как себя ведет и как должен запускаться.

После этого уже можно искать нестандартные процессы.

Способы конечно есть, но объяснять их - значит научить человека администрированию windows на достаточно глубоком уровне. Это нельзя вместить в ответ на вопрос, а грубо говоря целый процесс обучения.
Ответ написан
Комментировать
Plinio
@Plinio
Пользуйтесь Comodo
Cleaning Essentials
и KillSwitch, они как раз предназначены для анализа и идентификации скрытых системных процессов. Первая специализируется на поиске вирусов и руткитов, очистке системы, вторая улучшенный аналог Диспечера задач, не только отображает сетевую активность и все процессы в виде древа, но и сверяет все активные по электронной подписи, подсвечивая подозрительные. Ещё там есть Autorun Analyzer, он покажет все процессы и службы в автозапуске. Плюс хорошая мысль добавить отдельно VirusTotal Uploader, чтобы проверять всё подозрительные файлы более чем 50 известными антивирусами, чтоб наверняка.
Ответ написан
Комментировать
devspec
@devspec
Помогло? Отметь решением
Как выше сказано - гарантированных способов нет.
Но можно проверить систему DrWeb CureIt, Malwarebytes AntiMalware, AVZ, Kaspersky Free.
У этих программ достаточно сильна эвристика - и они теоретически могут подсказать, если какой-то процесс ведет себя не так, как ожидается, даже если сигнатуры вируса нет в их базах.
Ответ написан
Комментировать
morgane
@morgane
analyse comportementale
Начать с простого и посмотреть сетевой трафик утилитой currports, при обнаружении подозрительной активности изучить процессы тем же process explorer.
Ответ написан
Комментировать
@dmfun
Проверяйте каждый процесс
1) Подпись
Нет подписи у экзешника это уже не профессиональное ПО.
2) Место запуска
Если запущено не из програм файлс, то повод задуматься. Иногда ставится скайп или дропбокс в профиль пользователя. Но нормальное ПО. Стоит только в програм файлз, а не темповских папках с замудреными именами

Инструмент AVZ, AnvirrTaskManager
шерстите автозагрузку, плагины браузеров, планировщик задач.
Сначала надо прибить все не системные / неизвестные процессы.
У системных посмотреть используемые библиотеки (эти тулзы показывают)
Ответ написан
Комментировать
@AtaZ
кто знает, тот поймет
Есть простенькие программы типа Process Hacker, у него свой драйвер и он увидит скрытый процесс, но вы увидите ещё столько интересного, что без точного знания каждой строчки можете сделать ещё хуже.

Антивирусы тоже видят скрытые процессы и обычно реагируют на них негативно, так что сейчас чаще используют легальные проги нежели сокрытие процесса, либо внедрение в легальный процесс, что в разы безопасней.

Помню как три дня гонялся за полиморфным драйвером алкоголя. Когда поймал понял, для чего разрабы это сделали, много думал...
Ответ написан
dimonchik2013
@dimonchik2013
non progredi est regredi
Ответ написан
Комментировать
lukoie
@lukoie
Не, ну есть же специальные дядьки, которые такие процессы выявляют и записывают в маленькую черненькую книжечку.
Например тот же malwarebytes
Почему бы не довериться им? Неужели на вашем компе взяло и установилось нечто такое, чего они не видывали?
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы