Diese Frage hat hier bereits eine Antwort:
Ich frage dies, weil ich neugierig bin, ob auf dem Computer ein Virus vorhanden sein kann, ohne dass ich jemals davon erfahren kann. Genauer gesagt, ein Virus, der keinerlei Anzeichen von irgendetwas abgibt.
Antworten:
Es gibt eine Klasse von Malware, die sich vollständig vor dem Betriebssystem, dem so genannten Rootkit , verstecken kann .
Rootkits werden verwendet, um die Beweise anderer Malware bei der Arbeit zu verbergen und sind sehr tief in das Betriebssystem eingebettet. Aufgrund ihrer tiefen Einbettung können sie Prozesslisten, Dateisystemtabellen und andere wichtige Strukturen im laufenden Betrieb bearbeiten.
Durch die Manipulation von Dateisystemstrukturen im Speicher können falsche oder irreführende Ergebnisse für Verzeichnisse zurückgegeben werden, insbesondere werden keine Dateien angezeigt, die sich auf die Hauptschadsoftware selbst beziehen. Die Dateien sind dort und beim Booten in ein nicht infiziertes Betriebssystem wie eine Linux LiveCD werden die Dateien angezeigt, da sie irgendwo gespeichert werden müssen.
In ähnlicher Weise können Rootkits einfach verhindern, dass bestimmte Prozesse an Programme wie den Task-Manager gemeldet werden. Der Betriebssystemkern kennt sie, da er sie planen muss. Er wurde gerade daran gehindert, die Außenwelt über sie zu informieren.
shutdown -r -t 0keine Berechtigungen erforderlich) oder einfach warten, bis der Benutzer neu startet.
Alle normalen Programme werden dort angezeigt, aber ...
svchost (in den meisten Fällen) Prozess ausgeführt, sodass es keinen einfachen Punkt gibt, an dem der Dienst unter einer bestimmten svchost-Instanz ausgeführt wird.Es gibt einige Programme zur Erkennung von Rootkits. Dazu prüfen sie beispielsweise die Liste der zur Ausführung programmierten Threads und die Liste der Prozesse im System (ein Thread, der keinem Prozess angehört, ist ein Zeichen für einen verborgenen Prozess) oder die Liste der auf hoher Ebene angezeigten Dateien. und Vergleichen mit den Dateien, die manuell von der Festplattenpartition gelesen werden.
Wenn Sie jedoch infiziert sind, kann ein Virus sein Vorhandensein so gut verbergen, dass es fast unmöglich ist, es zu erkennen. Diese werden normalerweise als APTs (Advanced Persistent Threat) bezeichnet.
Das Betriebssystem verfügt über eine Komponente, die als Kernel bezeichnet wird. Eine der (vielen) Aufgaben des Kernels ist die Verwaltung des Systemspeichers (sowohl physisch als auch virtuell).
Dabei teilt der Kernel den verfügbaren Speicher in zwei verschiedene Bereiche auf, die als Benutzermodus und Kernelmodus bezeichnet werden. Der Kernel und die Treiber teilen sich den Kernel-Modus-Speicher, und Benutzerprogramme und weniger kritische Systemkomponenten befinden sich im Benutzermodus-Speicherbereich.
Prozesse im Benutzermodus können im Allgemeinen nicht mit denen im Kernelmodus kommunizieren, außer über speziell bezeichnete und gesteuerte Kanäle.
Der Vollständigkeit halber sollte erwähnt werden, dass Prozesse, die im Benutzermodus ausgeführt werden, auch voneinander isoliert sind, aber über vom Betriebssystem bereitgestellte Funktionen freier miteinander kommunizieren können, sofern die Programme dafür ausgelegt sind.
Der Kernel bietet die Möglichkeit, Prozesse im Benutzermodus zu starten. Wenn ein Prozess erstellt wird, wird er zu einer internen Liste der aktuell vorhandenen Prozesse hinzugefügt. Wenn ein Programm wie der Task-Manager nach einer Liste von Prozessen fragt, erhält es eine Teilmenge der Informationen in dieser Liste, gefiltert nach Benutzerberechtigungen.
Eine Möglichkeit für Malware wie ein Rootkit, seine Existenz zu verbergen, besteht darin, sich direkt aus dieser Tabelle zu entfernen. Anschließend kann es ausgeführt werden, wird jedoch nicht mehr in einer Prozessliste angezeigt, die mit normalen Mitteln abgerufen wurde.
Da diese Prozesse tatsächlich noch vorhanden sind und ausgeführt werden, können sie durch Überprüfung anderer Kerneldatenstrukturen, z. B. von Handletabellen, die Informationen zu Ressourcen enthalten, die ein Prozess geöffnet hat (z. B. Dateien), oder durch Überprüfung der Speicherzuordnungen, von denen es sich um mehr handelt, ermittelt werden schwer zu verbergen, ohne die Funktionsfähigkeit der Software zu beeinträchtigen.
Kernel-Modus-Treiber, die für viele Zwecke verwendet werden, einschließlich der Interaktion mit physischen Hardwaregeräten. Sie werden nach Bedarf unter der Kontrolle des Kernels ausgeführt. Da es sich jedoch nicht um einen Benutzermodus-Prozess handelt, werden sie nicht in der Prozesstabelle angezeigt. und wird daher nicht im Task-Manager oder in anderen Tools angezeigt, die sich ausschließlich mit Prozessen befassen.
Das Ausführen von Code im Kernelmodus ist ein wichtiger Schritt, um das Vorhandensein von ausführendem Code effektiv zu verbergen. Unter normalen Umständen erfordert Windows, dass der Code im Kernel-Modus signiert ist, damit er ausgeführt werden kann. Daher muss Malware möglicherweise Exploits im Betriebssystem, anderer Software oder sogar Social Engineering verwenden, um hierher zu gelangen. Sobald der Code jedoch im Kernel-Modus ausgeführt wird, wird er ausgeblendet wird einfacher.
Zusammenfassend lässt sich sagen, dass es möglich ist, Beweise für die Existenz eines Prozesses zu verbergen. Es wird wahrscheinlich immer Anzeichen dafür geben, dass der Prozess existiert, da er im Allgemeinen immer irgendeine Form von Ressource verwenden muss, um das zu tun, wofür er entworfen wurde, wie schwierig Diese Erkennung hängt von der spezifischen Malware ab.
Viren sind heutzutage ziemlich raffiniert. Auf Ihrem Computer befindet sich möglicherweise ein Virus, der jedoch nicht im Task-Manager angezeigt wird . Es ist möglich, dass der Task-Manager (und andere Teile des Betriebssystems) selbst kompromittiert werden und so den Virus verbergen. Zum Beispiel ein Rootkit.
Wenn Sie sich darauf verlassen möchten, dass der Task-Manager nach Viren sucht, sollten Sie jetzt aufhören. Installieren Sie ein Antivirenprogramm, und selbst ein Antivirenprogramm erkennt manchmal keine Viren auf Ihrem PC.
Es gibt einen einfacheren Weg, einen Virus zu "verstecken", als andere, die bereits in anderen Antworten erklärt wurden:
Eine gefährdete DLL (dynamisch verknüpfte Bibliothek)
Viele Programme - fast alle untrivialen - benötigen eine oder mehrere DLLs, um ausgeführt zu werden. Einige gehören zum Betriebssystem selbst (z. B. hal.dll, das den Hardwarezugriff für Windows abstrahiert), andere werden nur von einem Programm verwendet, das in mehrere kleine Teile aufgeteilt ist (eine EXE-Datei und weitere DLL-Dateien mit Kernfunktionalität). Plugins usw.) Ihr Virus wird nicht wie ein gewöhnlicher Prozess oder Dienst die ganze Zeit ausgeführt, aber Ihr Virus wird sehr schwer zu finden sein, da er wie ein völlig unschuldiges Programm oder eine Programmkomponente aussieht.
Weitere Informationen: http://msitpros.com/?p=2012
Und eines ist an dieser Art von Viren sehr ansprechend: Es gibt Unmengen von Websites, die einen kostenlosen Download von DLLs (ohne Bezahlung) anbieten, die aus diesem oder jenem Grund auf Ihrem Computer fehlen können. Da die Möglichkeit, die Prüfsummen der ursprünglichen und der neuen DLL-Datei zu vergleichen, sehr begrenzt ist und sich kaum jemand darum kümmert, können die DLL-Viren unbemerkt in das System eindringen und dort für lange Zeit verbleiben (es sei denn, ein Antivirenprogramm erkennt dies natürlich Sie und der Benutzer stimmen dem Löschen zu - Sie sehen das Muster bereits).
Ich gehe davon aus, dass wir hier von Windows sprechen, aber diese Technik kann durchaus auch auf andere Betriebssysteme angewendet werden.
TL; DR: Windows-Task - Manager ist ziemlich begrenzt , was es tun kann, und es * nicht immer alle Prozesse zeigt , die auf dem System ausgeführt wird . Willst du einen Beweis? Zählen Sie (ungefähr) die Menge an RAM, die die im Task-Manager angezeigten Prozesse verbrauchen, und vergleichen Sie sie mit der RAM-Auslastung des Systems. Sie sollten über mindestens 100 MB RAM verfügen, das nicht berücksichtigt wird. Je nachdem, wofür Sie das System verwenden, steigt es manchmal auf etwa 1 GB. Grafikkarten können neben dem eigenen GDDR-RAM auch Speicher aus dem RAM beanspruchen. *
Um die Antwort von Pavel Petman zu erweitern, möchte ich hinzufügen, dass viele ausgefeilte Cheat-Engines für Spiele darauf angewiesen sind, Code in Spiel-DLLs einzufügen, die ihre Cheats ermöglichen.
Diese Art der Kompromittierung ist ziemlich schwer zu erkennen, und in dieser Frage kann dieselbe Technik angewendet werden. Wenn ein Virus beispielsweise unentdeckt bleiben möchte und sich als Windows-Update des Typs ausgibt, der sich in die Systemverzeichnisse extrahiert, kann der Virus eine kritische Systemdatei überschreiben. Die meisten Antivirenprogramme erkennen diese Art von Virus nicht. Dies bedeutet, dass der Virus den Viruscode in die wichtigen Windows-DLLs (und auch in die EXE-Dateien) einschleusen kann.
Wenn ein Client von mir auf ungewöhnliches Verhalten hinweist, starte ich immer den Process Explorer (Download von Microsoft), um Viren zu erkennen. Der Prozess-Explorer kann Ihnen genau sagen, welche Prozesse ausgeführt werden (auch diejenigen, die nicht im Task-Manager enthalten sind) und welche DLL-Module sie verwenden.