Ist es möglich, einen Virus mit dem Taskmanager zu erkennen?

10

Wenn auf meinem System ein Virus ausgeführt wird, kann ich den Prozess dann im Task-Manager anzeigen? Ich meine, könnte ein laufender Virus den Taskmanager umgehen, damit der Prozess nicht in der Aufgabenliste von Windows 7 angezeigt wird?

Oder mit anderen Worten. Wenn ich jetzt wirklich alle Prozesse im Taskmanager sicher bin, weiß ich auch, dass mein PC sauber ist?

windows-7 virus user1344545
quelle

Antworten:

7

Nein, normalerweise nicht. Es ist möglich, dass der Task-Manager (und andere Teile des Betriebssystems) selbst kompromittiert werden und so den Virus verbergen. Dies wird als Rootkit bezeichnet.

Wenn ich jetzt wirklich alle Prozesse im Taskmanager sicher bin

Sie können niemals alle Prozesse im Taskmanager als sicher kennen. Viren verwenden aus einem bestimmten Grund Namen von Systemkomponenten und verschieben diese manchmal sogar.

Verwenden Sie ein Antivirenprogramm.

Jonathan Baldwin
quelle
1
zum besseren Verständnis: Das bedeutet also, dass der Taskmanager beispielsweise 0% CPU-Auslastung insgesamt anzeigt (alle Prozesse 0%), aber es könnte sein, dass es einen versteckten Prozess gibt, der CPU verwendet, aber ich sehe ihn nicht im Taskmanager?
user1344545
Ich stimme der Antwort von Jonathan zu.
Rechenmaschine
Der Task-Manager zeigt immer einen Prozess namens "System Idle Process" an, der während der CPU-Leerlaufzeit ausgeführt wird und anscheinend Ihre CPU-Auslastung maximiert. Es ist eigentlich kein Virus. Aber ja, ein Virus kann sich an den Taskman anhängen, um seine CPU-Auslastung zu verbergen.
Jonathan Baldwin
Gilt dies für Windows 7 und 8.x?
Faiz
@Faiz der Teil "Verwenden Sie ein Antivirenprogramm". Sie sollten immer ein Antivirenprogramm verwenden (es gibt kostenlose wie Avast Antivirus), und heutzutage ist es sogar erforderlich, Antivirensoftware auf Mobilgeräten zu verwenden.
NH.
5

Ein Antivirus erkennt nur so und so viel ("Während des vierten Quartals 11 waren 33 Prozent der angetroffenen Web-Malware Zero-Day-Malware, die zum Zeitpunkt der Begegnung mit herkömmlichen signaturbasierten Methoden nicht erkannt werden konnte", Quelle: http://blogs.cisco.com / security / cisco-4q11-globaler Bedrohungsbericht / ).

Mit ein wenig Schulung können Sie Malware erkennen, da sie sich auf eine bestimmte Art und Weise verhält, die etwas von den auf dem Betriebssystem üblichen abweicht. Es könnte mehr Netzwerkverkehr, mehr CPU-Auslastung, seltsame Festplattenzugriffe oder etwas anderes sein. Malware ist nicht nur als einzelne Binärdateien verfügbar, die über einen Taskmanager erkannt werden können, sondern auch als dynamische Bibliotheken (DLL), die an andere Prozesse angehängt sind.

Mit einem Taskmanager wie Process Explorer aus der Sysinternal Suite können Sie Hinweise darauf erhalten, was auf Ihrem System ausgeführt wird , und Sie können mit einem Prozessmonitor derselben Suite beobachten, wie auf Ihrem System etwas passiert . Gewöhnen Sie sich an die Werkzeuge und achten Sie auf Anzeichen von "Fremdheit":

  • Nicht signierte Binärdateien (ausführbare Dateien oder DLLs)
  • Seltsame Schreibvorgänge in seltsame Dateien
  • Seltsame Netzwerkaktivität

(Der "seltsame" Teil ist das Training, das Sie benötigen, um zwischen "das ist normal" und "das ist seltsam" zu unterscheiden.)

Der Autor der Sysinternal Suite zeigt einige clevere Möglichkeiten, die oben genannten Tools zu verwenden:

https://www.youtube.com/watch?v=7heEYEbFim4

Ja, Sie können einen Teil der Malware mit einem anständigen Task-Manager erkennen. Je weniger ausgefeilt die Malware ist, desto leichter ist sie zu erkennen. Wenn die Malware versucht, die Verwendung von Task-Managern wie Process Explorer zu erkennen, müssen Sie möglicherweise sogar erweiterte Schritte ausführen, z. B. eine andere " Sitzung ", um seltsames Verhalten zu erkennen. Dies ist jedoch weiterhin möglich.

Akira
quelle
Während gute Ratschläge (+1) gibt es keinen Ersatz für ein anständiges Antivirenprogramm auf einem Windows-Computer. Dies ist (offensichtlich) eine Ergänzung dazu und erfordert einige Kenntnisse darüber, was "seltsames Verhalten" ist, um Ihr System nicht zu beschädigen. Viele Windows-Komponenten wirken für das ungeübte Auge "seltsam".
Jonathan Baldwin
Außerdem gibt es mehrere Größenordnungen legitimere nicht signierte Binärdateien als infizierte nicht signierte Binärdateien. Tatsächlich ist die meiste Windows-Software nicht signiert, da sich nur sehr wenige Entwickler um das Signieren kümmerten, bevor Windows 8 SmartScreen erschien. Kein großer Maßstab für sich.
Jonathan Baldwin
Nun, die meiste "normale" Software ist signiert, die von MSFT selbst ist mit Sicherheit signiert. So können Sie einen Hinweis darauf erhalten, was Teil des Systems ist und was nicht. AV-Software ist normalerweise Software, die mit Kernel-Rechten ausgeführt wird, neue Anweisungen aus dem Internet herunterlädt :) twitter.com/thegrugq/status/297177182848049152 zdnet.com.au/blogs/securifythis/soa/… usw. Ja, es ist einfacher, etwas zu installieren dass jemand behauptet, hilft. MEINER BESCHEIDENEN MEINUNG NACH.
Akira
1
Zu Ihrer
Information
2

Es ist nicht möglich, Viren im Task-Manager zu erkennen.

Es gibt verschiedene Arten von Viren. Virus, Trojaner, Rootkit, Adware / Puk usw. Einige Viren verstecken sich vor dem Task-Manager. Daher wird er nicht im Task-Manager angezeigt.

Ich würde Ihnen empfehlen, nicht mehr im Task-Manager zu suchen und Antivirus zu installieren.

Wie kann ich: auf die Windows®-Ereignisanzeige zugreifen?

  1. Drücken Sie Bild + R und geben Sie "eventvwr.msc" ein und klicken Sie auf "OK" oder drücken Sie die Eingabetaste.
  2. Erweitern Sie Windows-Protokolle und wählen Sie Sicherheit.
  3. In der Mitte sehen Sie eine Liste mit Datum und Uhrzeit, Quelle, Ereignis-ID und Aufgabenkategorie. Die Aufgabenkategorie erklärt ziemlich genau das Ereignis, die Anmeldung, die spezielle Anmeldung, die Abmeldung und andere Details.
Rechenmaschine
quelle
Ich bin mir nicht sicher, ob ich einen Virus habe, aber ich hatte eine verdächtige Nachricht, als ich gestern abgemeldet war. Ich konnte es nicht vollständig lesen, weil es sehr schnell war, aber mein "Bauchgefühl" besagt, dass die Nachricht besagt, dass noch jemand angemeldet ist.
user1344545
Öffnen Sie den Task-Manager. Navigieren Sie zur Registerkarte Benutzer und überprüfen Sie, wie viele Sitzungen vorhanden sind. Es ist Ihr Heimcomputer oder es ist in der Domäne verbunden?
Rechenmaschine
Wir haben ein kleines Netzwerk zu Hause. Meine Frau und meine Kinder. Aber ich war alleine im Netzwerk, als die Nachricht beim Abmelden auftauchte. Gibt es eine Möglichkeit, eine Nachricht auszulösen, wenn sich jemand bei meinem lokalen PC anmeldet?
user1344545
1
Virus ist ein einfaches Programm zur Zerstörung. Antiviren-Dienstanbieter suchen immer nach neuen Bedrohungen. Wenn sie eine neue Bedrohung gefunden haben, geben sie die Erkennungsdatei (ide) frei. Wenn Sie Antivirus haben, bedeutet dies nicht, dass Sie zu 100% geschützt sind. Aber ich kann sagen, dass Ihre Maschine zumindest für frühere Bedrohungen sicher ist.
Rechenmaschine
1
und dann beobachten sie es über einen Prozessmonitor / Taskmanager. Malware versteckt sich auch gerne vor Antivirensoftware ... was den Sinn von av ... na ja, sinnlos macht.
Akira
0

Viren sind heutzutage ziemlich hoch entwickelt. Das bedeutet, dass sie sich möglicherweise vor dem Task-Manager verstecken, mehrere Kopien von sich selbst ausführen (falls eine Kopie entfernt wird) und viele weitere Tricks. Per Definition injizieren sich Viren auch in Systemprozesse, um sich zu verbergen.

Malware im Allgemeinen kann normalerweise recht einfach erkannt werden, indem ein ungewöhnlicher Prozess identifiziert wird, der gerade ausgeführt wird. Viren können jedoch normalerweise nur anhand ihrer Nutzlast identifiziert werden, die in den Zielprozess injiziert wird.

Ein Antivirus ist also wirklich das einzige, was einen Virus genau erkennen kann!

oldmud0
quelle
-1

Aus Sicht eines Programmierers würde ich vorschlagen, dass Sie versuchen, das Programmieren mit der Windows-API zu lernen, und darüber hinaus - API-Hooks.

Der Betriebssystemkern führt eine Tabelle dieser nativen API-Funktionen, die Sie identifizieren und einbinden müssen . Ihr Hook leitet dann die Ausgabe um und ändert / filtert sie. Dieser Code muss auf dem Kernel-Space ausgeführt werden, und damit Sie ihn steuern können (dh Laden / Stoppen), müssen Sie auch eine Software im User-Space haben. Obwohl diese auch im Benutzerbereich möglich sind, werden sie von modernen AV-Geräten höchstwahrscheinlich als böswillige Aktivitäten gekennzeichnet.

Der Ansatz wäre, Haken ein Stück Code zum Abfangen API - Aufrufe (ieNtQueryDirectoryFile ()) , so dass Sie ändern / Filter die Ausgabe - eine Art Mann-in-the-Middle - Ansatz. Prozesse, die im Benutzerbereich ausgeführt werden (z. B. TaskManager, Windows Explorer, Process Explorer), zeigen nur die gefilterte Ausgabe an, die von Ihrem Hook bereitgestellt wird ... Und NEIN, ACLs haben auf dieser Ebene keine Stromversorgung

Natürlich haben moderne AVs auch Code-Teile, die im Kernel-Space ausgeführt werden, und / oder PATTERN MATCHING (erinnern Sie sich, wenn AV-Updates als AV Patterns Update bezeichnet werden?) - um solche böswilligen Hooks zu erkennen und zu verhindern.

mVincent
quelle
1
Ich bin nicht sicher, wie diese Antwort tatsächlich die vorgeschlagene Frage des Autors beantwortet.
Ramhound
Eine Bearbeitung wurde vorgeschlagen. Dies wird angeblich gepostet ( superuser.com/questions/821040/… ). Wurde aber durch Mods geschlossen, nur wenige Minuten bevor ich auf Post geklickt habe.
mVincent
Das erklärt immer noch nicht, wie diese Antwort die von der angegebenen Frage gestellte Frage anspricht. Die Frage, mit der Sie verlinkt haben, wurde eine volle Stunde vor dem Absenden dieser Antwort geschlossen. Natürlich glaube ich, dass ich die Tatsache ansprechen werde, dass das verknüpfte Duplikat eine viel bessere Frage ist als diese.
Ramhound
Ja, in der Tat. Und wie gesagt, das soll auf dieser verlinkten Frage stehen. Es wurde jedoch eine Bearbeitung vorgeschlagen, bei der ich die angehängte Notiz lösche. Diese Antwort bietet einen Einblick in die relevante Frage und befasst sich mit dem falschen Sicherheitsgefühl eines Benutzers, wenn er selbst die Leistungsfähigkeit der Software, auf die er sich verlässt, nicht feststellen kann.
mVincent
Ich habe versucht zu verstehen, wie dies antwortet, wenn der Task-Manager einen laufenden Virus auflisten kann, aber ich kann ihn immer noch nicht sehen
Ramhound