タスクマネージャーでウイルスを検出することは可能ですか?

10

システムでウイルスが実行されている場合、タスクマネージャーでプロセスを確認できますか?つまり、実行中のウイルスがタスクマネージャーを迂回して、プロセスがwindows7のタスクリストに表示されないようにすることは可能でしょうか?

または言い換えれば。タスクマネージャーのすべてのプロセスが本当に安全になるようにした場合、PCがクリーンであることもわかりますか?

windows-7  virus 
user1344545
ソース

回答:

7

いいえ、通常はありません。タスクマネージャ(およびオペレーティングシステムの他の部分)自体が侵害され、ウイルスを隠すことができます。これはルートキットと呼ばれます。

タスクマネージャーのすべてのプロセスを本当に安全にする場合

安全であるためには、タスクマネージャーのすべてのプロセスを知ることはできません。ウイルスは、理由によってシステムコンポーネントの名前を使用し、場合によってはそれらを置き換えます。

ウイルス対策を使用します。

ジョナサン・ボールドウィン
ソース
1
理解を深めるために:つまり、タスクマネージャーは、たとえば全体的に0%のCPU使用率(すべてのプロセスは0%)を示しますが、CPUを使用する非表示のプロセスがある可能性がありますが、タスクマネージャーに表示されませんか?
user1344545 2014
私はジョナサンの答えに同意します。
計算機
タスクマネージャーには、CPUアイドル時間中に実行される「システムアイドルプロセス」と呼ばれるプロセスが常に表示されます。それは実際にはありません、そしてウイルスではありません。しかし、はい、ウイルスはタスクマンに感染してCPU使用率を隠すことができます。
ジョナサンボールドウィン
これはWindows 7および8.xに適用されますか?
ファイズ、
@Faizの「アンチウイルスを使用する」の部分はそうです。常にウイルス対策を使用する必要があります(アバストウイルス対策などの無料のウイルス対策ソフトウェアがあります)。最近では、モバイルデバイスでウイルス対策ソフトウェアを使用する必要さえあります。
NH。
5

:アンチウイルス検出はそうとそんなに(ソース、「2011年第4四半期の間に、ウェブの33%が発生したマルウェアの遭遇時には、従来のシグネチャベースの手法では検出できないゼロデイマルウェアだった」http://blogs.cisco.com / security / cisco-4q11-global-threat-report /)。

多少のトレーニングを行うと、マルウェアがOSの通常の動作とは少し異なる特定の動作をするため、マルウェアを検出できます。ネットワークトラフィックの増加、CPUの使用量の増加、奇妙なディスクアクセスなどが考えられます。マルウェアは、タスクマネージャを介して検出可能な単一のバイナリとして利用できるだけでなく、他のプロセスに添付された動的ライブラリ(dll)としても利用できます。

あなたのようなタスクマネージャを使用してシステム上で実行されているかについての手がかりを得ることができますプロセスエクスプローラからSysinternalスイートを、あなたは物事のようなものを使用してシステム上で起こる見ることができるプロセスモニタ同じスイートの。ツールに慣れ、「奇妙さ」の兆候に注意してください。

  • 署名されていないバイナリ(実行可能ファイルまたはDLL)
  • 奇妙な奇妙なファイルへの書き込み
  • 奇妙なネットワーク活動

(「奇妙な」部分は、「それは正常」と「それは奇妙」を区別するために必要なトレーニングです)

Sysinternal Suiteの作成者は、上記のツールを使用するいくつかの巧妙な方法を示しています。

https://www.youtube.com/watch?v=7heEYEbFim4

したがって、はい、まともなタスクマネージャーを使用してマルウェアの一部を検出できます。マルウェアの洗練度が低いほど、検出が容易になります。マルウェアがプロセスエクスプローラーなどのタスクマネージャーの使用を検出しようとする場合、別の「セッション」を使用して奇妙な動作を検出するなどの高度な手順を実行する必要があるかもしれませんが、それでも可能です。

あきら
ソース
良いアドバイス(+1)ですが、Windowsマシンでは適切なアンチウイルスに代わるものはありません。これは(明らかに)その補足であり、システムを壊さないためには「奇妙な振る舞い」とは何かについての知識が必要です。多くのWindowsコンポーネントは、訓練されていない目には「奇妙」に作用します。
ジョナサンボールドウィン
また、感染している署名されていないバイナリよりも、正当な署名されていないバイナリが数桁多い。実際、ほとんどのWindowsソフトウェアは署名されていません。Windows8 SmartScreenが登場する前に、署名を気にしている開発者はほとんどいなかったためです。それ自体は素晴らしいベンチマークではありません。
ジョナサンボールドウィン
まあ、ほとんどの「通常の」ソフトウェアは署名されており、MSFT自体からのものは最も確実に署名されています。したがって、システムの一部であるものとシステムの一部ではないものについての手掛かりを得ることができます。AVソフトウェアは、通常のインターネットからカーネル権、ダウンロード新しい命令:)で実行されることをソフトウェアであるtwitter.com/thegrugq/status/297177182848049152 zdnet.com.au/blogs/securifythis/soa/...などがええ、それが何かをインストールする方が簡単です誰かが助けると主張すること。私見では。
akira
1
アキラ
2

タスクマネージャからウイルスを検出することはできません。

ウイルスにはいくつかの種類があります。ウイルス、トロイの木馬、ルートキット、アドウェア/プクなど。一部のウイルスは、タスクマネージャーから身を隠すため、タスクマネージャーには表示されません。

タスクマネージャーでの検索を停止し、ウイルス対策をインストールすることをお勧めします。

Windows®イベントビューアにアクセスするにはどうすればよいですか?

  1. Image + Rを押して「eventvwr.msc」と入力し、[OK]をクリックするか、Enterキーを押します。
  2. [Windowsログ]を展開し、[セキュリティ]を選択します。
  3. 中央には、日付と時刻、ソース、イベントID、タスクカテゴリのリストが表示されます。タスクカテゴリは、イベント、ログオン、特別なログオン、ログオフ、およびその他の詳細をかなり説明します。
計算機
ソース
ウイルスに感染していることはわかりませんが、昨日ログアウトしたときに疑わしいメッセージがありました。メッセージは、その誰かがまだログインしていることを告げ、それは非常に高速だったので、私は、それを完全に読むことができませんでしたが、私の「直感」は述べています。
user1344545
タスクマネージャーを開き、ユーザータブに移動して、そこにあるセッションの数を確認します。それはあなたの自宅のコンピュータですか、それともドメインに参加していますか?
計算機
家には小さなネットワークがあります。私の妻と子供たち。しかし、ログアウト中にメッセージがポップアップしたとき、私はネットワークで一人でした。誰かが私のローカルPCにログインしているときにメッセージをトリガーする方法はありますか?
user1344545 2014
1
ウイルスは破壊のための単純なプログラムです。ウイルス対策サービスプロバイダーは常に新しい脅威をチェックします。新しい脅威が見つかった場合は、検出ファイルをリリースします。ウイルス対策を使用している場合でも、100%保護されるわけではありません。しかし、私はあなたのマシンが以前の脅威に対して少なくとも安全であると言えるでしょう。
計算機
1
そして、彼らはprocessmonitor / taskmanagerを介してそれを監視します。マルウェアはまた、ウイルス対策ソフトウェアから身を隠すことを好みます... AVのポイントをレンダリングします...まあ、無意味です。
akira
0

ウイルスは今日非常に洗練されています。つまり、タスクマネージャーから身を隠し、複数のコピーを実行し(1つのコピーが削除された場合)、さらに多くのトリックを実行します。定義により、ウイルスはまた、システムプロセスに侵入して自分自身を隠蔽します。

通常、マルウェアは、実行中の異常なプロセスを特定するだけで簡単に検出できます。しかし、ウイルスは通常、ターゲットプロセスに注入されたペイロードによってのみ特定できます。

したがって、アンチウイルスは正確に検出できる唯一のものです...まあ...ウイルス!

oldmud0
ソース
-1

プログラマーの観点からは、Windows APIを使用してプログラミングを学んでみることをお勧めします。APIフック。

OSカーネルは、これらのネイティブAPI関数のテーブルを保持しており、これらを識別してフックする必要があります。あなたのフックは、出力をリダイレクトし、変更/フィルタされます。このコードはカーネル空間で実行する必要があり、それを制御(ロード/停止)するには、ユーザー空間にもソフトウェアを配置する必要があります。これらはユーザー空間でも可能ですが、最近のAVによって何らかの悪意のあるアクティビティとして報告される可能性があります。

アプローチは、コードをフックしてAPI呼び出し(つまり、NtQueryDirectoryFile())をインターセプトし、出力を変更/フィルタリングすることです-中間者アプローチのようなものです。ユーザー空間で実行されているプロセス(つまり、タスクマネージャー、Windowsエクスプローラー、プロセスエクスプローラー)は、フックによって提供されるフィルターされた出力を表示するだけです。

もちろん、最新のAVにはカーネルスペースで実行されるコードの一部やパターンマッチング(AVの更新がAVパターンの更新と呼ばれることを覚えていますか?)-このような悪意のあるフックを検出して防止します。

mVincent
ソース
1
この回答が、著者が提案した質問に実際にどのように答えるかはわかりません。
ラムハウンド2014年
編集が提案されました。これはおそらく投稿されていますsuperuser.com/questions/821040/…)。しかし、私が投稿をクリックする少し前に、改造によって閉じられました。
mVincent 2014年
それでも、この回答が述べられた質問によって提起された質問にどのように対処するかを説明していません。リンクした質問は、この回答を送信する1時間前に締め切られました。もちろん、私はリンクされた複製がこれよりもはるかに良い質問であるという事実を私は持ち出すと信じています。
ラムハウンド2014年
はい、そうです。そして、私が言ったように、それはおそらくそのリンクされた質問に投稿されるはずです。ただし、添付されたメモを削除するように編集が提案されました。この回答は、関連する質問への洞察を提供し、ユーザー自身が依存しているソフトウェアの機能を確認できない場合にユーザーが持つ誤った安心感に対処します。
mVincent 2014年
タスクマネージャーが実行中のウイルスを一覧表示できるが、それがまだ表示されない場合、これがどのように応答するかを理解しようとしました
Ramhound
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.