Apakah mungkin mendeteksi virus dengan taskmanager?

10

Jika saya memiliki virus yang sedang berjalan di sistem saya, apakah saya dapat melihat prosesnya di taskmanager? Maksud saya, mungkinkah virus yang sedang berjalan untuk mengelak dari taskmanager sehingga proses tidak muncul dalam daftar tugas windows7?

Atau dengan kata lain. Jika saya benar-benar sekarang semua proses dalam taskmanager menjadi aman, saya juga tahu bahwa PC saya bersih?

windows-7 virus pengguna1344545
sumber

Jawaban:

7

Tidak, biasanya tidak. Mungkin saja Task Manager (dan bagian lain dari sistem operasi) untuk dikompromikan, sehingga menyembunyikan virus. Ini disebut rootkit.

Jika saya benar-benar sekarang semua proses dalam taskmanager menjadi aman

Anda tidak akan pernah tahu semua proses dalam taskmanager agar aman. Virus menggunakan nama komponen sistem karena suatu alasan, kadang-kadang bahkan menggantikannya.

Gunakan antivirus.

Jonathan Baldwin
sumber
1
untuk pemahaman yang lebih baik: Jadi ini berarti, bahwa taskmanager menunjukkan misalnya penggunaan CPU 0% secara keseluruhan (semua proses 0%), tetapi bisa jadi ada proses tersembunyi yang menggunakan CPU, tapi saya tidak melihatnya di taskmanager?
user1344545
Saya setuju dengan jawaban Jonathan.
Mesin Hitung
Manajer tugas akan selalu menunjukkan proses yang disebut "System Idle Process" yang berjalan selama waktu idle CPU, yang akan tampak memaksimalkan penggunaan CPU Anda. Sebenarnya tidak, dan bukan virus. Tapi ya, virus bisa menempel pada taskman untuk menyembunyikan penggunaan CPU-nya.
Jonathan Baldwin
Apakah ini berlaku untuk Windows 7 dan 8.x?
Faiz
@ Peri bagian "Gunakan antivirus" tidak. Anda harus selalu menggunakan antivirus (ada yang gratis seperti Avast Antivirus), dan hari-hari ini bahkan perlu menggunakan perangkat lunak antivirus di perangkat seluler.
NH.
5

Antivirus hanya mendeteksi begitu banyak ("Selama 4Q11, 33 persen malware Web yang ditemui adalah malware zero-day tidak terdeteksi oleh metodologi berbasis tanda tangan tradisional pada saat pertemuan", sumber: http://blogs.cisco.com / security / cisco-4q11-global-ancaman-laporan / ).

Dengan sedikit pelatihan Anda dapat mendeteksi beberapa malware karena mereka berperilaku dengan cara tertentu yang sedikit berbeda dengan apa yang biasa di OS. Mungkin lebih banyak lalu lintas jaringan, lebih banyak penggunaan cpu, akses disk aneh atau sesuatu yang lain. Malware tidak hanya tersedia sebagai binari tunggal yang dapat dideteksi melalui taskmanager tetapi juga sebagai perpustakaan dinamis (dll) yang dilampirkan ke proses lain.

Anda bisa mendapatkan petunjuk tentang apa yang sedang berjalan di sistem Anda dengan seorang taskmanager seperti Process Explorer dari Sysinternal Suite , dan Anda dapat melihat sesuatu terjadi pada sistem Anda dengan sesuatu seperti Process Monitor dari suite yang sama. Biasakan diri dengan alat dan perhatikan tanda-tanda "keanehan":

  • Binari yang tidak ditandatangani (executable atau dll)
  • Strange menulis ke file aneh
  • Aktivitas jaringan yang aneh

(Bagian "aneh" adalah pelatihan yang Anda butuhkan untuk membedakan antara "itu normal" dan "itu aneh")

Penulis Sysinternal Suite menunjukkan beberapa cara pintar untuk menggunakan alat yang disebutkan di atas:

https://www.youtube.com/watch?v=7heEYEbFim4

Jadi, ya, Anda dapat mendeteksi beberapa malware dengan task manager yang layak. Semakin tidak canggihnya malware, semakin mudah untuk dideteksi. Jika malware mencoba mendeteksi penggunaan task manager seperti Process Explorer, Anda bahkan mungkin perlu mengambil langkah-langkah lanjutan seperti menggunakan " Sesi " yang berbeda untuk mendeteksi perilaku aneh tetapi masih mungkin.

akira
sumber
Meskipun saran yang bagus (+1) tidak ada pengganti untuk antivirus yang layak di mesin Windows. Ini (jelas) merupakan pelengkap untuk itu, dan membutuhkan beberapa pengetahuan tentang apa "perilaku aneh" untuk tidak merusak sistem Anda. Banyak komponen Windows bertindak "aneh" di mata yang tidak terlatih.
Jonathan Baldwin
Juga, ada beberapa urutan besarnya lebih sah binari tidak ditandatangani daripada binari terinfeksi ditandatangani. Sebenarnya, sebagian besar perangkat lunak Windows tidak ditandatangani, karena sangat sedikit pengembang yang peduli tentang penandatanganan sebelum Windows 8 SmartScreen muncul. Bukan tolok ukur yang bagus dengan sendirinya.
Jonathan Baldwin
Yah, sebagian besar perangkat lunak "normal" ditandatangani, yang berasal dari MSFT itu sendiri sudah pasti ditandatangani. Jadi, Anda bisa mendapatkan petunjuk tentang apa yang menjadi bagian dari sistem dan apa yang bukan bagian dari sistem. Perangkat lunak AV biasanya adalah perangkat lunak yang berjalan dengan hak kernel, mengunduh instruksi baru dari internet :) twitter.com/thegrugq/status/297177182848049152 zdnet.com.au/blogs/securifythis/soa/… dll. Ya, lebih mudah untuk menginstal sesuatu bahwa seseorang mengklaim membantu. MENURUT OPINI SAYA.
akira
1
FYI: lock.cmpxchg8b.com/sophailv2.pdf
akira
2

Tidak mungkin mendeteksi virus dari task manager.

Ada beberapa jenis virus. Virus, Trojan, rootkit, adware / puk dll. Beberapa virus menyembunyikan diri dari task manager. Jadi, itu tidak muncul di task manager.

Saya menyarankan Anda untuk berhenti mencari di task manager dan menginstal antivirus.

Bagaimana saya bisa: Mengakses Windows® Event Viewer?

  1. Tekan Gambar + R dan ketik "eventvwr.msc" dan klik OK atau tekan Enter.
  2. Buka Log Windows, dan pilih Keamanan.
  3. Di bagian tengah Anda akan melihat daftar, dengan Tanggal dan Waktu, Sumber, ID Peristiwa, dan Kategori Tugas. Kategori Tugas cukup banyak menjelaskan acara, Log masuk, Log masuk Khusus, Logoff, dan detail lainnya.
Mesin Hitung
sumber
Saya tidak yakin memiliki virus, tetapi saya memiliki pesan yang mencurigakan saat keluar kemarin. Saya tidak bisa membacanya sepenuhnya, karena itu sangat cepat, tetapi 'firasat' saya mengatakan, bahwa pesan tersebut mengatakan bahwa seseorang masih login.
user1344545
buka task manager - arahkan ke tab pengguna dan periksa berapa sesi yang ada. Ini komputer di rumah Anda atau tergabung dalam domain?
Mesin Hitung
Kami memiliki jaringan kecil di rumah. Istri dan anak-anak saya. Tapi saya sendirian di jaringan, ketika pesan muncul saat keluar. Apakah ada cara untuk memicu pesan, ketika seseorang masuk ke PC lokal saya?
user1344545
1
Virus adalah program sederhana untuk penghancuran. Penyedia layanan antivirus selalu memeriksa ancaman baru. Jika mereka menemukan ancaman baru maka mereka merilis file deteksi (ide). Jika Anda memiliki antivirus bukan berarti itu akan melindungi Anda 100%. Tetapi saya dapat mengatakan mesin Anda setidaknya aman untuk ancaman sebelumnya.
Mesin Hitung
1
dan kemudian mereka menontonnya melalui pemantau / pengelola tugas. malware juga suka menyembunyikan diri dari perangkat lunak antivirus ... yang menjadikan titik ... yah, tak berguna.
akira
0

Virus cukup canggih saat ini. Itu berarti bahwa mereka dapat menyembunyikan diri mereka dari Task Manager, menjalankan banyak salinan dari diri mereka sendiri (seandainya satu salinan dihapus), dan banyak lagi trik. Menurut definisi, virus juga menyuntikkan diri ke proses sistem untuk menyembunyikan diri.

Malware secara umum biasanya dapat dideteksi dengan mudah hanya dengan mengidentifikasi proses yang tidak biasa yang sedang berjalan. Tetapi virus secara khusus biasanya hanya dapat diidentifikasi dengan muatannya yang disuntikkan ke proses target.

Jadi antivirus adalah satu-satunya hal yang dapat secara akurat mendeteksi ... well ... virus!

oldmud0
sumber
-1

Dari perspektif programmer, saya sarankan Anda mencoba pemrograman pemrograman menggunakan windows API, dan lebih jauh lagi - kait API.

Kernel OS menyimpan tabel fungsi-fungsi API asli ini yang perlu Anda identifikasi dan hubungkan . Hook Anda akan mengarahkan dan memodifikasi / memfilter output. Sepotong kode ini harus dijalankan di ruang kernel, dan agar Anda dapat mengendalikannya (mis. Memuat / menghentikan), Anda juga harus memiliki perangkat lunak di ruang pengguna. Meskipun ini dimungkinkan pada ruang pengguna juga, kemungkinan besar akan ditandai oleh AV modern sebagai semacam aktivitas berbahaya.

Pendekatannya adalah dengan mengaitkan sepotong kode untuk mencegat panggilan API (ieNtQueryDirectoryFile ()) sehingga Anda memodifikasi / memfilter output - semacam pendekatan man-in-the-middle. Proses berjalan pada ruang pengguna (yaitu TaskManager, Windows Explorer, Process Explorer), hanya akan menampilkan output yang difilter yang disediakan oleh kait Anda ... Dan TIDAK, ACL tidak memiliki daya pada lapisan ini

Tentu saja, AV modern memiliki potongan kode yang berjalan di ruang kernel juga, dan / atau POLA PENCOCOKAN (ingat ketika pembaruan AV disebut Pembaruan Pola AV?) - untuk mendeteksi dan mencegah kait berbahaya seperti itu.

mVincent
sumber
1
Saya tidak yakin bagaimana jawaban ini sebenarnya menjawab pertanyaan yang diajukan penulis.
Ramhound
Editan disarankan. Ini seharusnya diposting ( superuser.com/questions/821040/… ). Tetapi ditutup oleh mod, hanya beberapa menit sebelum saya mengklik posting.
mVincent
Itu masih belum menjelaskan bagaimana jawaban ini menjawab pertanyaan yang diajukan oleh pertanyaan yang dinyatakan. Pertanyaan yang Anda tautkan ditutup satu jam penuh sebelum Anda mengirimkan jawaban ini. Tentu saja saya percaya saya akan memunculkan fakta bahwa duplikat yang ditautkan adalah pertanyaan yang jauh lebih baik daripada yang ini.
Ramhound
Ya memang. Dan seperti yang saya katakan, itu seharusnya diposting di Pertanyaan Tertaut itu. Namun edit disarankan, agar saya menghapus catatan terlampir. Jawaban ini memberikan wawasan tentang pertanyaan yang relevan dan mengatasi rasa aman palsu yang dimiliki pengguna jika ia sendiri tidak dapat memastikan kemampuan perangkat lunak yang ia andalkan.
mVincent
Saya mencoba memahami bagaimana ini menjawab jika task manager dapat mendaftar virus yang sedang berjalan tetapi saya masih tidak dapat melihatnya
Ramhound