Jika saya memiliki virus yang sedang berjalan di sistem saya, apakah saya dapat melihat prosesnya di taskmanager? Maksud saya, mungkinkah virus yang sedang berjalan untuk mengelak dari taskmanager sehingga proses tidak muncul dalam daftar tugas windows7?
Atau dengan kata lain. Jika saya benar-benar sekarang semua proses dalam taskmanager menjadi aman, saya juga tahu bahwa PC saya bersih?
Antivirus hanya mendeteksi begitu banyak ("Selama 4Q11, 33 persen malware Web yang ditemui adalah malware zero-day tidak terdeteksi oleh metodologi berbasis tanda tangan tradisional pada saat pertemuan", sumber: http://blogs.cisco.com / security / cisco-4q11-global-ancaman-laporan / ).
Dengan sedikit pelatihan Anda dapat mendeteksi beberapa malware karena mereka berperilaku dengan cara tertentu yang sedikit berbeda dengan apa yang biasa di OS. Mungkin lebih banyak lalu lintas jaringan, lebih banyak penggunaan cpu, akses disk aneh atau sesuatu yang lain. Malware tidak hanya tersedia sebagai binari tunggal yang dapat dideteksi melalui taskmanager tetapi juga sebagai perpustakaan dinamis (dll) yang dilampirkan ke proses lain.
Anda bisa mendapatkan petunjuk tentang apa yang sedang berjalan di sistem Anda dengan seorang taskmanager seperti Process Explorer dari Sysinternal Suite , dan Anda dapat melihat sesuatu terjadi pada sistem Anda dengan sesuatu seperti Process Monitor dari suite yang sama. Biasakan diri dengan alat dan perhatikan tanda-tanda "keanehan":
(Bagian "aneh" adalah pelatihan yang Anda butuhkan untuk membedakan antara "itu normal" dan "itu aneh")
Penulis Sysinternal Suite menunjukkan beberapa cara pintar untuk menggunakan alat yang disebutkan di atas:
https://www.youtube.com/watch?v=7heEYEbFim4
Jadi, ya, Anda dapat mendeteksi beberapa malware dengan task manager yang layak. Semakin tidak canggihnya malware, semakin mudah untuk dideteksi. Jika malware mencoba mendeteksi penggunaan task manager seperti Process Explorer, Anda bahkan mungkin perlu mengambil langkah-langkah lanjutan seperti menggunakan " Sesi " yang berbeda untuk mendeteksi perilaku aneh tetapi masih mungkin.
sumber
Tidak mungkin mendeteksi virus dari task manager.
Ada beberapa jenis virus. Virus, Trojan, rootkit, adware / puk dll. Beberapa virus menyembunyikan diri dari task manager. Jadi, itu tidak muncul di task manager.
Saya menyarankan Anda untuk berhenti mencari di task manager dan menginstal antivirus.
Bagaimana saya bisa: Mengakses Windows® Event Viewer?
sumber
Virus cukup canggih saat ini. Itu berarti bahwa mereka dapat menyembunyikan diri mereka dari Task Manager, menjalankan banyak salinan dari diri mereka sendiri (seandainya satu salinan dihapus), dan banyak lagi trik. Menurut definisi, virus juga menyuntikkan diri ke proses sistem untuk menyembunyikan diri.
Malware secara umum biasanya dapat dideteksi dengan mudah hanya dengan mengidentifikasi proses yang tidak biasa yang sedang berjalan. Tetapi virus secara khusus biasanya hanya dapat diidentifikasi dengan muatannya yang disuntikkan ke proses target.
Jadi antivirus adalah satu-satunya hal yang dapat secara akurat mendeteksi ... well ... virus!
sumber
Dari perspektif programmer, saya sarankan Anda mencoba pemrograman pemrograman menggunakan windows API, dan lebih jauh lagi - kait API.
Kernel OS menyimpan tabel fungsi-fungsi API asli ini yang perlu Anda identifikasi dan hubungkan . Hook Anda akan mengarahkan dan memodifikasi / memfilter output. Sepotong kode ini harus dijalankan di ruang kernel, dan agar Anda dapat mengendalikannya (mis. Memuat / menghentikan), Anda juga harus memiliki perangkat lunak di ruang pengguna. Meskipun ini dimungkinkan pada ruang pengguna juga, kemungkinan besar akan ditandai oleh AV modern sebagai semacam aktivitas berbahaya.
Pendekatannya adalah dengan mengaitkan sepotong kode untuk mencegat panggilan API (ieNtQueryDirectoryFile ()) sehingga Anda memodifikasi / memfilter output - semacam pendekatan man-in-the-middle. Proses berjalan pada ruang pengguna (yaitu TaskManager, Windows Explorer, Process Explorer), hanya akan menampilkan output yang difilter yang disediakan oleh kait Anda ... Dan TIDAK, ACL tidak memiliki daya pada lapisan ini
Tentu saja, AV modern memiliki potongan kode yang berjalan di ruang kernel juga, dan / atau POLA PENCOCOKAN (ingat ketika pembaruan AV disebut Pembaruan Pola AV?) - untuk mendeteksi dan mencegah kait berbahaya seperti itu.
sumber