क्या टास्कमैनर के साथ वायरस का पता लगाना संभव है?

10

अगर मुझे अपने सिस्टम पर एक वायरस चल रहा है, तो क्या मैं कार्यपालिका में प्रक्रिया देख सकता हूं? मेरा मतलब है, क्या यह एक रनिंग वायरस के लिए टास्कमैन को दरकिनार करना संभव होगा, इसलिए यह प्रक्रिया विंडोज़ 7 की टास्कलिस्ट में दिखाई नहीं देती है?

या दूसरे शब्दों में। अगर मैं वास्तव में अब सभी कार्यक्षेत्रों में प्रक्रियाओं को सुरक्षित करने के लिए, मुझे यह भी पता है कि मेरा पीसी साफ है?

windows-7  virus 
user1344545
स्रोत

जवाबों:

7

नहीं, आमतौर पर नहीं। टास्क मैनेजर (और ऑपरेटिंग सिस्टम के अन्य हिस्सों) के लिए खुद से समझौता करना संभव है, इस प्रकार वायरस को छिपाना। इसे रूटकिट कहा जाता है।

अगर मैं वास्तव में अब सभी प्रक्रियाओं में कार्यपालक सुरक्षित हो

आप कार्यक्षेत्र में सभी प्रक्रियाओं को कभी भी सुरक्षित नहीं जान सकते। वायरस एक कारण के लिए सिस्टम घटकों के नामों का उपयोग करते हैं, कभी-कभी उन्हें विस्थापित भी करते हैं।

एक एंटीवायरस का उपयोग करें।

जोनाथन बाल्डविन
स्रोत
1
बेहतर समझ के लिए: तो इसका मतलब यह है, कि टास्कमैनगर उदाहरण के लिए दिखाता है 0% CPU उपयोग समग्र (सभी प्रक्रियाएं 0%), लेकिन यह हो सकता है कि एक छिपी हुई प्रक्रिया है जो CPU का उपयोग करती है, लेकिन मैं इसे taskmanager में नहीं देखता हूं?
user1344545
मैं जोनाथन के उत्तर से सहमत हूं।
मशीन
कार्य प्रबंधक हमेशा "आइडल आइडल प्रोसेस" नामक एक प्रक्रिया दिखाएगा जो CPU निष्क्रिय समय के दौरान चलती है, जो आपके CPU उपयोग को अधिकतम करने के लिए प्रकट होगी। यह वास्तव में नहीं है, और एक वायरस नहीं है। लेकिन हां, एक वायरस अपने सीपीयू उपयोग को छिपाने के लिए खुद को टास्कमैन से जोड़ सकता है।
जोनाथन बाल्डविन
क्या यह विंडोज 7 और 8.x पर लागू होता है?
फैज
@ फ़ायज़ "एक एंटीवायरस का उपयोग करें" भाग करता है। आपको हमेशा एक एंटीवायरस का उपयोग करना चाहिए (एवास्ट एंटीवायरस जैसे मुफ्त वाले हैं), और इन दिनों मोबाइल उपकरणों पर एंटीवायरस सॉफ़्टवेयर का उपयोग करना भी आवश्यक है।
एनएच।
5

एक एंटीवायरस केवल इतना और इतना पता लगाता है ("4Q11 के दौरान, 33 प्रतिशत वेब मैलवेयर का सामना करना पड़ा शून्य-दिन मैलवेयर था, जो मुठभेड़ के समय पारंपरिक हस्ताक्षर-आधारित कार्यप्रणाली द्वारा पता लगाने योग्य नहीं था", स्रोत: http://blogs.cisco.com / सुरक्षा / सिस्को -4q11- वैश्विक-खतरा-रिपोर्ट / )।

थोड़े से प्रशिक्षण के साथ आप कुछ मैलवेयर का पता लगा सकते हैं क्योंकि वे एक निश्चित तरीके से व्यवहार करते हैं जो ओएस पर सामान्य रूप से व्हाट्सएप से थोड़ा हटकर होता है। यह अधिक नेटवर्क ट्रैफ़िक, अधिक सीपीयू उपयोग, अजीब डिस्क एक्सेस या कुछ और हो सकता है। मैलवेयर न केवल एकल बायनेरिज़ के रूप में उपलब्ध हैं, जो एक कार्यपालक के माध्यम से पता लगाने योग्य हैं, बल्कि अन्य प्रक्रियाओं से जुड़े गतिशील पुस्तकालयों (डीएल) के रूप में भी हैं।

आप अपने सिस्टम पर क्या चल रहा है, इसके बारे में सुराग प्राप्त कर सकते हैं जैसे Sysinternal सुइट से प्रोसेस एक्सप्लोरर जैसे कार्य , और आप अपने सिस्टम पर होने वाली चीजों को उसी सुइट के प्रोसेस मॉनिटर जैसे कुछ के साथ देख सकते हैं । उपकरण के लिए उपयोग किया जाता है और "विचित्रता" के संकेतों के लिए देखें:

  • निरुपित बायनेरिज़ (निष्पादनयोग्य या डीएलएस)
  • अजीब अजीब फाइलों को लिखता है
  • अजीब नेटवर्क गतिविधि

("अजीब" भाग वह प्रशिक्षण है जिसे आपको "सामान्य है" और "यह अजीब है" के बीच अंतर करने के लिए आवश्यक है)

Sysintern Suite के लेखक उपर्युक्त उपकरणों का उपयोग करने के कुछ चतुर तरीके दिखाते हैं:

https://www.youtube.com/watch?v=7heEYEbFim4

तो, हाँ, आप एक अच्छे कार्य प्रबंधक के साथ कुछ मैलवेयर का पता लगा सकते हैं। मैलवेयर जितना कम परिष्कृत होता है, उसका पता लगाना उतना ही आसान होगा। यदि मैलवेयर प्रोसेस मैनेजर जैसे कार्य प्रबंधकों के उपयोग का पता लगाने की कोशिश करता है, तो आपको अजीब व्यवहार का पता लगाने के लिए एक अलग " सत्र " का उपयोग करने जैसे उन्नत कदम उठाने की आवश्यकता हो सकती है, लेकिन यह अभी भी संभव है।

अकीरा
स्रोत
जबकि अच्छी सलाह (+1) एक विंडोज़ मशीन पर एक सभ्य एंटीवायरस के लिए कोई विकल्प नहीं है। यह (स्पष्ट रूप से) एक पूरक है, और आपके सिस्टम को नहीं तोड़ने के लिए "अजीब व्यवहार" पर कुछ ज्ञान की आवश्यकता है। कई विंडोज घटक अप्रशिक्षित आंख के लिए "अजीब" कार्य करते हैं।
जोनाथन बाल्डविन
इसके अलावा, संक्रमित अहस्ताक्षरित बायनेरिज़ की तुलना में अधिक वैध अहस्ताक्षरित बायनेरिज़ के कई आदेश हैं। वास्तव में, अधिकांश विंडोज सॉफ्टवेयर अहस्ताक्षरित हैं, क्योंकि बहुत कम देवों ने विंडोज 8 स्मार्टस्क्रीन के प्रदर्शित होने से पहले हस्ताक्षर करने की परवाह की है। अपने आप में एक महान बेंचमार्क नहीं।
जोनाथन बाल्डविन
खैर, सबसे "सामान्य" सॉफ़्टवेयर पर हस्ताक्षर किए गए हैं, एमएसएफटी से आने वाला सबसे निश्चित रूप से हस्ताक्षरित है। तो, आप इस बारे में एक सुराग प्राप्त कर सकते हैं कि सिस्टम का क्या हिस्सा है और क्या सिस्टम का हिस्सा नहीं है। ए वी सॉफ्टवेयर आमतौर पर सॉफ्टवेयर है जो कर्नेल अधिकारों के साथ चलता है, इंटर्नेट से नए निर्देश डाउनलोड करता है :) twitter.com/thegrugq/status/297177182848049152 zdnet.com.au/blogs/securththis/soa/… आदि। हाँ, यह कुछ स्थापित करना आसान है। किसी का दावा है कि मदद करता है। IMHO।
अकीरा
1
अकीरा
2

कार्य प्रबंधक से वायरस का पता लगाना संभव नहीं है।

कई तरह के वायरस होते हैं। वायरस, ट्रोजन, रूटकिट, एडवेयर / पुक आदि। कुछ वायरस टास्क मैनेजर से खुद को छिपाते हैं। इसलिए, यह टास्क मैनेजर में दिखाई नहीं देता है।

मैं आपको सुझाव दूंगा कि आप टास्क मैनेजर को देखना बंद करें और एंटीवायरस इंस्टॉल करें।

मैं कैसे कर सकता हूं: Windows® इवेंट व्यूअर तक पहुंचें?

  1. छवि + R दबाएँ और "eventvwr.msc" टाइप करें और ठीक पर क्लिक करें या Enter दबाएँ।
  2. Windows लॉग्स का विस्तार करें, और सुरक्षा का चयन करें।
  3. मध्य में आपको दिनांक और समय, स्रोत, इवेंट ID और कार्य श्रेणी के साथ एक सूची दिखाई देगी। टास्क श्रेणी सुंदर घटना, लोगन, विशेष लॉगऑन, लॉगऑफ और अन्य विवरणों के बारे में बहुत कुछ बताती है।
गणकयंत्र
स्रोत
मुझे वायरस नहीं है, लेकिन कल लॉग आउट होने पर मुझे एक संदिग्ध संदेश मिला था। मैं इसे पूरी तरह से नहीं पढ़ सका, क्योंकि यह बहुत तेज़ था, लेकिन मेरी 'आंत की भावना' कहती है, कि संदेश ने बताया कि कोई व्यक्ति अभी भी लॉग इन है।
user1344545
ओपन टास्क मैनेजर- यूजर टैब पर जाएं और देखें कि कितने सेशन हैं। यह आपके घर का कंप्यूटर है या यह डोमेन में शामिल हो गया है?
मशीन
हमारे पास घर में थोड़ा नेटवर्क है। मेरी पत्नी और बच्चे। लेकिन मैं नेटवर्क में अकेला था, जब लॉगआउट के दौरान संदेश पॉपअप हो गया। क्या संदेश को ट्रिगर करने का कोई तरीका है, जब कोई मेरे स्थानीय पीसी में प्रवेश कर रहा है?
user1344545
1
वायरस विनाश का एक सरल कार्यक्रम है। एंटीवायरस सेवा प्रदाता हमेशा नए खतरे के लिए जाँच करते हैं। अगर उन्हें कोई नया खतरा मिला तो वे डिटेक्शन फाइल (ide) जारी करते हैं। यदि आपके पास एंटीवायरस है तो इसका मतलब यह नहीं है कि यह आपकी 100% सुरक्षा करेगा। लेकिन मैं कह सकता हूं कि आपकी मशीन पिछले खतरे के लिए कम से कम सुरक्षित है।
मशीन
1
और फिर वे इसे एक प्रोसीमोनिटर / टास्कमैनगर के माध्यम से देखते हैं। मैलवेयर भी एंटीवायरस सॉफ़्टवेयर से खुद को छुपाना पसंद करता है ... जो एवी के बिंदु को प्रस्तुत करता है ... अच्छी तरह से, व्यर्थ।
अकीरा
0

वायरस आजकल काफी परिष्कृत हैं। इसका मतलब है कि वे टास्क मैनेजर से खुद को छिपा सकते हैं, खुद की कई प्रतियां चला सकते हैं (यदि एक कॉपी नीचे ले जाए), और कई और चालें। परिभाषा के अनुसार, वायरस खुद को छिपाने के लिए खुद को सिस्टम प्रक्रियाओं में भी इंजेक्ट करते हैं।

सामान्य तौर पर मैलवेयर को आमतौर पर केवल एक असामान्य प्रक्रिया की पहचान करके बहुत आसानी से पता लगाया जा सकता है। लेकिन विशेष रूप से वायरस को आमतौर पर केवल उनके पेलोड द्वारा लक्षित प्रक्रिया पर इंजेक्ट किया जा सकता है।

तो एक एंटीवायरस वास्तव में एकमात्र ऐसी चीज है जो सटीक रूप से पता लगा सकता है ... अच्छी तरह से ... एक वायरस!

oldmud0
स्रोत
-1

एक प्रोग्रामर के दृष्टिकोण से, मैं विंडोज़ एपीआई का उपयोग करके आपके सीखने की प्रोग्रामिंग का सुझाव दूंगा, और आगे - एपीआई हुक।

ओएस कर्नेल इन मूल एपीआई कार्यों की एक तालिका रखता है जिसे आपको पहचानने और हुक करने की आवश्यकता होती है । आपका हुक तब आउटपुट को रीडायरेक्ट और संशोधित / फ़िल्टर करेगा। कोड के इस टुकड़े को कर्नेल-स्थान पर चलाना है, और आपको इसे (यानी लोड / स्टॉप) नियंत्रित करने के लिए, आपको उपयोगकर्ता-स्थान पर सॉफ़्टवेयर का एक टुकड़ा भी रखना होगा। यद्यपि ये उपयोगकर्ता-स्थान पर भी संभव हैं, यह संभवतः आधुनिक AV द्वारा किसी प्रकार की दुर्भावनापूर्ण गतिविधि के रूप में चिह्नित किया जाएगा।

एपीआई कोड को कॉल करने के लिए दृष्टिकोण को कोड के एक टुकड़े को हुक करना होगा (जैसे कि NNTDDirectoryFile ()) जैसे कि आप आउटपुट को संशोधित करते हैं / फ़िल्टर करते हैं - जैसे-इन-द-मिडल अप्रोच। उपयोगकर्ता-अंतरिक्ष (यानी टास्कमैन, विंडोज एक्सप्लोरर, प्रोसेस एक्सप्लोरर) पर चलने वाली प्रक्रियाएं, आपके हुक द्वारा प्रदान किए गए फ़िल्टर्ड आउटपुट को प्रदर्शित करेंगी ... और नहीं, ACLs की इस परत पर कोई शक्ति नहीं है

बेशक, आधुनिक AV के पास कर्नेल-स्थान पर चलने वाले कोड के टुकड़े भी होते हैं, और / या पैटर्न मिलान (याद रखें जब AV अपडेट को AV पैटर्न अपडेट कहा जाता है?) - ऐसे दुर्भावनापूर्ण हुक का पता लगाने और रोकने के लिए।

mVincent
स्रोत
1
मुझे यकीन नहीं है कि यह उत्तर वास्तव में लेखक के प्रस्तावित प्रश्न का उत्तर कैसे देता है।
रामहाउंड
एक संपादन का सुझाव दिया गया था। यह माना जाता है कि पोस्ट किया गया है ( superuser.com/questions/821040/… )। लेकिन मैं पोस्ट पर क्लिक करने से कुछ ही मिनट पहले मॉड्स द्वारा बंद कर दिया गया था।
18
यह अभी भी स्पष्ट नहीं करता है कि यह उत्तर बताए गए प्रश्न के द्वारा पूछे गए प्रश्न को कैसे संबोधित करता है। आपके द्वारा इस प्रश्न को प्रस्तुत करने से एक घंटे पहले जुड़ा हुआ प्रश्न बंद हो गया। निश्चित रूप से मुझे विश्वास है कि मैं इस तथ्य को सामने लाऊंगा कि लिंक डुप्लिकेट एक बेहतर सवाल है।
रामऔंध
हाँ सचमुच। और जैसा मैंने कहा, उस लिंक किए गए प्रश्न पर माना जाता है। हालाँकि एक संपादन का सुझाव दिया गया था, कि मैं संलग्न नोट को मिटा देता हूँ। यह उत्तर प्रासंगिक प्रश्न को एक अंतर्दृष्टि प्रदान करता है और एक उपयोगकर्ता के पास सुरक्षा की झूठी भावना को संबोधित करता है यदि वह स्वयं उस सॉफ़्टवेयर की क्षमता का पता नहीं लगा सकता है जिस पर वह निर्भर करता है।
mVincent
मैंने यह समझने की कोशिश की कि यह कैसे काम करता है अगर कार्य प्रबंधक एक चल रहे वायरस को सूचीबद्ध कर सकता है लेकिन मैं अभी भी इसे नहीं देख सकता हूं
रामहाउंड
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.