Ist es möglich, einen Virus mit dem Taskmanager zu erkennen?

Wenn auf meinem System ein Virus ausgeführt wird, kann ich den Prozess dann im Task-Manager anzeigen? Ich meine, könnte ein laufender Virus den Taskmanager umgehen, damit der Prozess nicht in der Aufgabenliste von Windows 7 angezeigt wird?

Oder mit anderen Worten. Wenn ich jetzt wirklich alle Prozesse im Taskmanager sicher bin, weiß ich auch, dass mein PC sauber ist?

Nein, normalerweise nicht. Es ist möglich, dass der Task-Manager (und andere Teile des Betriebssystems) selbst kompromittiert werden und so den Virus verbergen. Dies wird als Rootkit bezeichnet.

Wenn ich jetzt wirklich alle Prozesse im Taskmanager sicher bin

Sie können niemals alle Prozesse im Taskmanager als sicher kennen. Viren verwenden aus einem bestimmten Grund Namen von Systemkomponenten und verschieben diese manchmal sogar.

Verwenden Sie ein Antivirenprogramm.

Ein Antivirus erkennt nur so und so viel ("Während des vierten Quartals 11 waren 33 Prozent der angetroffenen Web-Malware Zero-Day-Malware, die zum Zeitpunkt der Begegnung mit herkömmlichen signaturbasierten Methoden nicht erkannt werden konnte", Quelle: http://blogs.cisco.com / security / cisco-4q11-globaler Bedrohungsbericht / ).

Mit ein wenig Schulung können Sie Malware erkennen, da sie sich auf eine bestimmte Art und Weise verhält, die etwas von den auf dem Betriebssystem üblichen abweicht. Es könnte mehr Netzwerkverkehr, mehr CPU-Auslastung, seltsame Festplattenzugriffe oder etwas anderes sein. Malware ist nicht nur als einzelne Binärdateien verfügbar, die über einen Taskmanager erkannt werden können, sondern auch als dynamische Bibliotheken (DLL), die an andere Prozesse angehängt sind.

Mit einem Taskmanager wie Process Explorer aus der Sysinternal Suite können Sie Hinweise darauf erhalten, was auf Ihrem System ausgeführt wird , und Sie können mit einem Prozessmonitor derselben Suite beobachten, wie auf Ihrem System etwas passiert . Gewöhnen Sie sich an die Werkzeuge und achten Sie auf Anzeichen von "Fremdheit":

• Nicht signierte Binärdateien (ausführbare Dateien oder DLLs)
• Seltsame Schreibvorgänge in seltsame Dateien
• Seltsame Netzwerkaktivität

(Der "seltsame" Teil ist das Training, das Sie benötigen, um zwischen "das ist normal" und "das ist seltsam" zu unterscheiden.)

Der Autor der Sysinternal Suite zeigt einige clevere Möglichkeiten, die oben genannten Tools zu verwenden:

https://www.youtube.com/watch?v=7heEYEbFim4

Ja, Sie können einen Teil der Malware mit einem anständigen Task-Manager erkennen. Je weniger ausgefeilt die Malware ist, desto leichter ist sie zu erkennen. Wenn die Malware versucht, die Verwendung von Task-Managern wie Process Explorer zu erkennen, müssen Sie möglicherweise sogar erweiterte Schritte ausführen, z. B. eine andere " Sitzung ", um seltsames Verhalten zu erkennen. Dies ist jedoch weiterhin möglich.

Es ist nicht möglich, Viren im Task-Manager zu erkennen.

Es gibt verschiedene Arten von Viren. Virus, Trojaner, Rootkit, Adware / Puk usw. Einige Viren verstecken sich vor dem Task-Manager. Daher wird er nicht im Task-Manager angezeigt.

Ich würde Ihnen empfehlen, nicht mehr im Task-Manager zu suchen und Antivirus zu installieren.

Wie kann ich: auf die Windows®-Ereignisanzeige zugreifen?

1. Drücken Sie Bild + R und geben Sie "eventvwr.msc" ein und klicken Sie auf "OK" oder drücken Sie die Eingabetaste.
2. Erweitern Sie Windows-Protokolle und wählen Sie Sicherheit.
3. In der Mitte sehen Sie eine Liste mit Datum und Uhrzeit, Quelle, Ereignis-ID und Aufgabenkategorie. Die Aufgabenkategorie erklärt ziemlich genau das Ereignis, die Anmeldung, die spezielle Anmeldung, die Abmeldung und andere Details.

Viren sind heutzutage ziemlich hoch entwickelt. Das bedeutet, dass sie sich möglicherweise vor dem Task-Manager verstecken, mehrere Kopien von sich selbst ausführen (falls eine Kopie entfernt wird) und viele weitere Tricks. Per Definition injizieren sich Viren auch in Systemprozesse, um sich zu verbergen.

Malware im Allgemeinen kann normalerweise recht einfach erkannt werden, indem ein ungewöhnlicher Prozess identifiziert wird, der gerade ausgeführt wird. Viren können jedoch normalerweise nur anhand ihrer Nutzlast identifiziert werden, die in den Zielprozess injiziert wird.

Ein Antivirus ist also wirklich das einzige, was einen Virus genau erkennen kann!

Aus Sicht eines Programmierers würde ich vorschlagen, dass Sie versuchen, das Programmieren mit der Windows-API zu lernen, und darüber hinaus - API-Hooks.

Der Betriebssystemkern führt eine Tabelle dieser nativen API-Funktionen, die Sie identifizieren und einbinden müssen . Ihr Hook leitet dann die Ausgabe um und ändert / filtert sie. Dieser Code muss auf dem Kernel-Space ausgeführt werden, und damit Sie ihn steuern können (dh Laden / Stoppen), müssen Sie auch eine Software im User-Space haben. Obwohl diese auch im Benutzerbereich möglich sind, werden sie von modernen AV-Geräten höchstwahrscheinlich als böswillige Aktivitäten gekennzeichnet.

Der Ansatz wäre, Haken ein Stück Code zum Abfangen API - Aufrufe (ieNtQueryDirectoryFile ()) , so dass Sie ändern / Filter die Ausgabe - eine Art Mann-in-the-Middle - Ansatz. Prozesse, die im Benutzerbereich ausgeführt werden (z. B. TaskManager, Windows Explorer, Process Explorer), zeigen nur die gefilterte Ausgabe an, die von Ihrem Hook bereitgestellt wird ... Und NEIN, ACLs haben auf dieser Ebene keine Stromversorgung

Natürlich haben moderne AVs auch Code-Teile, die im Kernel-Space ausgeführt werden, und / oder PATTERN MATCHING (erinnern Sie sich, wenn AV-Updates als AV Patterns Update bezeichnet werden?) - um solche böswilligen Hooks zu erkennen und zu verhindern.