É possível detectar um vírus com o taskmanager?

10

Se eu tivesse um vírus em execução no meu sistema, seria capaz de ver o processo no gerenciador de tarefas? Quero dizer, seria possível que um vírus em execução contornasse o gerenciador de tarefas para que o processo não apareça na lista de tarefas do windows7?

Ou em outras palavras. Se agora realmente todos os processos do gerenciador de tarefas estão seguros, também sei que meu PC está limpo?

windows-7 virus user1344545
fonte

Respostas:

7

Não, normalmente não. É possível que o Gerenciador de Tarefas (e outras partes do sistema operacional) sejam comprometidos, ocultando o vírus. Isso é chamado de rootkit.

Se eu realmente agora todos os processos no gerenciador de tarefas estiverem seguros

Você nunca pode conhecer todos os processos no gerenciador de tarefas para estar seguro. Os vírus usam nomes de componentes do sistema por um motivo, às vezes até os substituindo.

Use um antivírus.

Jonathan Baldwin
fonte
1
para melhor compreensão: Então, isso significa que o gerenciador de tarefas mostra, por exemplo, 0% de uso da CPU em geral (todos os processos 0%), mas pode ser que exista um processo oculto que use a CPU, mas não o vejo no gerenciador de tarefas?
precisa saber é o seguinte
Eu concordo com a resposta de Jonathan.
Máquina de calcular
O gerenciador de tarefas sempre mostrará um processo chamado "Sistema ocioso do sistema" que é executado durante o tempo ocioso da CPU, que parece maximizar o uso da CPU. Na verdade, não é e não é um vírus. Mas sim, um vírus pode se conectar ao taskman para ocultar o uso da CPU.
Jonathan Baldwin
Isso se aplica ao Windows 7 e 8.x?
Faiz
@ Faa a parte "Use um antivírus". Você deve sempre usar um antivírus (existem outros gratuitos, como o Avast Antivirus), e hoje em dia é necessário usar software antivírus em dispositivos móveis.
NH.
5

Um antivírus detecta apenas isso e muito ("Durante o 4T11, 33% dos malwares da Web encontrados foram malwares de dia zero, não detectáveis ​​pelas metodologias tradicionais baseadas em assinaturas no momento do encontro", fonte: http://blogs.cisco.com / security / cisco-4q11-global-ameaças-relatório / ).

Com um pouco de treinamento, você pode detectar alguns malwares porque eles se comportam de uma certa maneira que é um pouco diferente do que é usual no sistema operacional. Pode haver mais tráfego de rede, mais uso de CPU, acessos a disco estranhos ou outra coisa. O malware não está disponível apenas como binários únicos detectáveis ​​por um gerenciador de tarefas, mas também como bibliotecas dinâmicas (dll) anexadas a outros processos.

Você pode obter dicas sobre o que está sendo executado em seu sistema com um gerenciador de tarefas como o Process Explorer do Sysinternal Suite e pode ver as coisas acontecerem no seu sistema com algo como o Monitor de Processo do mesmo conjunto. Acostume-se às ferramentas e observe os sinais de "estranheza":

  • Binários não assinados (executáveis ​​ou dlls)
  • Gravações estranhas em arquivos estranhos
  • Atividade de rede estranha

(A parte "estranha" é o treinamento necessário para distinguir entre "isso é normal" e "isso é estranho")

O autor do Sysinternal Suite mostra algumas maneiras inteligentes de usar as ferramentas mencionadas acima:

https://www.youtube.com/watch?v=7heEYEbFim4

Portanto, sim, você pode detectar alguns dos malwares com um gerenciador de tarefas decente. Quanto menos sofisticado o malware, mais fácil será detectar. Se o malware tentar detectar o uso de gerenciadores de tarefas como o Process Explorer, talvez seja necessário executar etapas avançadas, como usar uma " Sessão " diferente para detectar um comportamento estranho, mas ainda é possível.

akira
fonte
Embora seja um bom conselho (+1), não há substituto para um antivírus decente em uma máquina Windows. Isso é (obviamente) um complemento para isso e requer algum conhecimento sobre o que é "comportamento estranho" para não danificar seu sistema. Muitos componentes do Windows agem "estranhos" aos olhos não treinados.
Jonathan Baldwin
Além disso, existem várias ordens de magnitude de binários não assinados legítimos do que binários não assinados infectados. Na verdade, a maioria dos softwares do Windows não tem assinatura, uma vez que poucos desenvolvedores se preocupavam em assinar antes do Windows 8 SmartScreen aparecer. Não é uma excelente referência por si só.
Jonathan Baldwin
Bem, a maioria dos softwares "normais" é assinada, e o próprio MSFT é certamente assinado. Portanto, você pode obter uma pista sobre o que faz parte do sistema e o que não faz parte do sistema. O software AV geralmente é um software que roda com direitos de kernel, baixa novas instruções dos internets :) twitter.com/thegrugq/status/297177182848049152 zdnet.com.au/blogs/securifythis/soa/… etc. Sim, é mais fácil instalar algo que alguém afirma ajudar. NA MINHA HUMILDE OPINIÃO.
Akira
1
FYI: lock.cmpxchg8b.com/sophailv2.pdf
akira
2

Não é possível detectar vírus no gerenciador de tarefas.

Existem vários tipos de vírus. Vírus, Trojan, rootkit, adware / puk etc. Alguns vírus se escondem do gerenciador de tarefas. Portanto, ele não aparece no gerenciador de tarefas.

Eu sugiro que você pare de procurar no gerenciador de tarefas e instale o antivírus.

Como posso: Acessar o Windows® Event Viewer?

  1. Pressione Image + R e digite "eventvwr.msc" e clique em OK ou pressione Enter.
  2. Expanda Logs do Windows e selecione Segurança.
  3. No meio, você verá uma lista com Data e Hora, Origem, ID do Evento e Categoria da Tarefa. A categoria de tarefa explica praticamente o evento, logon, logon especial, logoff e outros detalhes.
Calculadora
fonte
Não tenho certeza de ter um vírus, mas tive uma mensagem suspeita quando desconectado ontem. Eu não poderia lê-lo completamente, porque foi muito rápido, mas a minha 'intuição', diz, que a mensagem disse que alguém ainda está logado.
user1344545
abra o gerenciador de tarefas - navegue até a guia do usuário e verifique quantas sessões existem. É o seu computador doméstico ou ingressou no domínio?
Máquina de calcular
Temos uma pequena rede em casa. Minha esposa e filhos Mas eu estava sozinho na rede, quando a mensagem apareceu durante o logout. Existe uma maneira de acionar uma mensagem quando alguém está acessando o meu PC local?
user1344545
1
O vírus é um programa simples para destruição. O provedor de serviços antivírus sempre verifica se há novas ameaças. Se eles encontraram alguma nova ameaça, lançam o arquivo de detecção (ide). Se você possui antivírus, isso não significa que o protegerá 100%. Mas posso dizer que sua máquina está protegida contra ameaças anteriores.
Máquina de calcular
1
e então eles assistem através de um monitor de processo / gerenciador de tarefas. o malware também gosta de se esconder do software antivírus ... o que torna o ponto de av ... bem, sem sentido.
Akira
0

Os vírus são bastante sofisticados hoje em dia. Isso significa que eles podem se esconder do Gerenciador de tarefas, executar várias cópias de si mesmos (caso uma cópia seja retirada) e muitos outros truques. Por definição, os vírus também se injetam nos processos do sistema para se ocultar.

Geralmente, o malware pode ser detectado facilmente, apenas identificando um processo incomum em execução. Porém, os vírus especificamente geralmente só podem ser identificados pela carga útil injetada no processo de destino.

Portanto, um antivírus é realmente a única coisa que pode detectar com precisão ... bem ... um vírus!

oldmud0
fonte
-1

Do ponto de vista de um programador, sugiro que você tente aprender programação usando a API do Windows e mais ainda - ganchos de API.

O kernel do sistema operacional mantém uma tabela dessas funções nativas da API que você precisa identificar e conectar . Seu gancho irá redirecionar e modificar / filtrar a saída. Esse pedaço de código deve ser executado no espaço do kernel e, para que você possa controlá-lo (ou seja, carregar / parar), você também precisará ter um pedaço de software no espaço do usuário. Embora isso também seja possível no espaço do usuário, provavelmente será sinalizado pelos antivírus modernos como algum tipo de atividade maliciosa.

A abordagem seria conectar um trecho de código para interceptar as chamadas da API (ou seja, NtQueryDirectoryFile ()), de modo que você modifique / filtre a saída - tipo de abordagem man-in-the-middle. Os processos em execução no espaço do usuário (por exemplo, TaskManager, Windows Explorer, Process Explorer) exibirão apenas a saída filtrada fornecida pelo seu gancho ... E NÃO, as ACLs não têm poder sobre essa camada

É claro que os AVs modernos também têm partes de código em execução no espaço do kernel e / ou PATTERN MATCHING (lembra quando as atualizações do AV são chamadas de Atualização de Padrões do AV?) - para detectar e impedir esses ganchos maliciosos.

mVincent
fonte
1
Não tenho certeza de como essa resposta realmente responde à pergunta proposta pelo autor.
Ramhound
Uma edição foi sugerida. Isso é supostamente publicado ( superuser.com/questions/821040/… ). Mas foi fechado por mods, apenas alguns minutos antes de clicar em postar.
MVincent 7/10
Isso ainda não explica como essa resposta aborda a questão colocada pela questão declarada. A pergunta à qual você vinculou foi encerrada uma hora antes de você enviar esta resposta. É claro que acredito que trarei o fato de que a duplicata vinculada é uma pergunta muito melhor do que esta.
Ramhound
Sim, de fato. E, como eu disse, isso supostamente será publicado nessa questão vinculada. No entanto, uma edição foi sugerida, para que eu apague a nota anexada. Essa resposta fornece uma visão da questão relevante e aborda a falsa sensação de segurança que um usuário possui se ele próprio não puder determinar a capacidade do software em que confia.
MVincent 7/10
Tentei entender como isso responde se o gerenciador de tarefas pode lista um vírus em execução, mas eu ainda não consigo vê-lo
Ramhound