작업 관리자로 바이러스를 탐지 할 수 있습니까?

10

시스템에 바이러스가 실행중인 경우 작업 관리자에서 프로세스를 볼 수 있습니까? 실행중인 바이러스가 작업 관리자를 우회하여 프로세스가 Windows7의 작업 목록에 나타나지 않을 수 있습니까?

다른 말로하면 작업 관리자의 모든 프로세스를 안전하게 보호하려면 PC가 깨끗하다는 것도 알고 있습니까?

windows-7 virus

— 사용자 1344545
소스

7

아니요, 보통은 아닙니다. 작업 관리자 (및 운영 체제의 다른 부분) 자체가 손상되어 바이러스를 숨길 수 있습니다. 이것을 루트킷이라고합니다.

작업 관리자의 모든 프로세스를 안전하게 보호하려면

작업 관리자의 모든 프로세스가 안전하다는 것을 절대 알 수 없습니다. 바이러스는 이유 때문에 시스템 구성 요소의 이름을 사용하며 때로는 대체하기도합니다.

바이러스 백신을 사용하십시오.

— 조나단 볼드윈
소스

1

더 나은 이해를 위해 : 이것은 즉, taskmanager가 전체적으로 0 % CPU 사용량 (모든 프로세스 0 %)을 표시하지만 CPU를 사용하는 숨겨진 프로세스가있을 수 있지만 taskmanager에서 볼 수는 없습니까?

— user1344545

나는 Jonathan의 대답에 동의합니다.

— 계산 기계

작업 관리자는 항상 CPU 유휴 시간 동안 실행되는 "시스템 유휴 프로세스"라는 프로세스를 표시하여 CPU 사용량을 최대로 사용합니다. 실제로는 아니며 바이러스가 아닙니다. 그러나 그렇습니다. 바이러스는 CPU 사용량을 숨기도록 태스크 맨에 연결될 수 있습니다.

— Jonathan Baldwin

이것은 Windows 7 및 8.x에 적용됩니까?

— Faiz

@Faiz는 "바이러스 백신 사용"부분을 수행합니다. 항상 바이러스 백신 (Avast Antivirus와 같은 무료 바이러스 백신이 있음)을 사용해야하며 요즘에는 모바일 장치에서 바이러스 백신 소프트웨어를 사용해야합니다.

— NH.

5

안티 바이러스는 그저 많은 것을 탐지합니다 ( "4 분기 11 월, 발견 된 웹 맬웨어의 33 %는 발생시 기존의 서명 기반 방법론으로 탐지 할 수없는 제로 데이 맬웨어", 출처 : http://blogs.cisco.com / security / cisco-4q11-global-threat-report / ).

약간의 교육을 통해 일부 맬웨어가 OS의 일반적인 방식과 약간 다르게 작동하기 때문에 일부 맬웨어를 탐지 할 수 있습니다. 더 많은 네트워크 트래픽, 더 많은 CPU 사용량, 이상한 디스크 액세스 또는 다른 것일 수 있습니다. 멀웨어는 작업 관리자를 통해 탐지 할 수있는 단일 바이너리뿐만 아니라 다른 프로세스에 연결된 동적 라이브러리 (dll)로도 제공됩니다.

당신은 같은 윈도우 작업 관리자와 시스템에서 실행중인 작업에 대한 단서를 얻을 수 있습니다 프로세스 탐색기 로부터 Sysinternal 스위트 , 당신은 일이 같은 것을 사용하여 시스템에서 발생 볼 수있는 프로세스 모니터 같은 제품군의. 도구에 익숙해지고 "이상 함"의 징후를 관찰하십시오.

서명되지 않은 바이너리 (실행 파일 또는 dll)
이상한 파일에 이상한 쓰기
이상한 네트워크 활동

( "이상한"부분은 "정상적인 것"과 "이상한 것"을 구별하기 위해 필요한 훈련입니다)

Sysinternal Suite의 저자는 위에서 언급 한 도구를 사용하는 영리한 방법을 보여줍니다.

https://www.youtube.com/watch?v=7heEYEbFim4

예, 괜찮은 작업 관리자로 일부 맬웨어를 탐지 할 수 있습니다. 멀웨어가 덜 정교할수록 더 쉽게 탐지 할 수 있습니다. 맬웨어가 프로세스 탐색기와 같은 작업 관리자의 사용을 감지하려고하면 이상한 동작을 감지하기 위해 다른 " 세션 "을 사용하는 등의 고급 단계를 수행해야 하지만 여전히 가능합니다.

— 아키라
소스

좋은 조언 (+1)이지만 Windows 컴퓨터에는 알맞은 바이러스 백신이 없습니다. 이것은 (분명히) 그것을 보완하는 것이며, "이상한 행동"이 당신의 시스템을 파괴하지 않는 것에 대한 지식이 필요합니다. 많은 Windows 구성 요소가 훈련되지 않은 눈에 "이상하게"작용합니다.

— Jonathan Baldwin

또한 감염된 서명되지 않은 바이너리보다 합법적 인 서명되지 않은 바이너리가 몇 배 더 많습니다. 실제로 Windows 8 SmartScreen이 나타나기 전에 서명에 관심을 가진 개발자는 거의 없기 때문에 대부분의 Windows 소프트웨어는 서명되지 않습니다. 그 자체로는 훌륭한 벤치 마크가 아닙니다.

— Jonathan Baldwin

대부분의 "정상적인"소프트웨어가 서명되어 있으며 MSFT 자체에서 제공되는 소프트웨어가 가장 확실하게 서명되어 있습니다. 따라서 시스템의 일부와 시스템의 일부가 아닌 것에 대한 힌트를 얻을 수 있습니다. AV 소프트웨어는 일반적으로 커널 권한으로 실행되는 소프트웨어이며 인터넷에서 새 지침을 다운로드합니다. :) twitter.com/thegrugq/status/297177182848049152 zdnet.com.au/blogs/securifythis/soa/… 등. 누군가가 도움이된다고 주장합니다. 이모.

— akira

1

참고 : lock.cmpxchg8b.com/sophailv2.pdf

— akira

2

작업 관리자에서 바이러스를 탐지 할 수 없습니다.

바이러스에는 여러 종류가 있습니다. 바이러스, 트로이 목마, 루트킷, 애드웨어 / 퍽 등 일부 바이러스는 작업 관리자에서 숨겨져 작업 관리자에 나타나지 않습니다.

작업 관리자 검색을 중지하고 바이러스 백신을 설치하는 것이 좋습니다.

방법 : Windows® 이벤트 뷰어에 액세스합니까?

Image + R을 누르고 "eventvwr.msc"를 입력하고 확인을 클릭하거나 Enter를 누르십시오.
Windows 로그를 펼치고 보안을 선택하십시오.
가운데에는 날짜 및 시간, 소스, 이벤트 ID 및 작업 범주가있는 목록이 표시됩니다. 작업 범주는 이벤트, 로그온, 특수 로그온, 로그 오프 및 기타 세부 사항을 거의 설명합니다.

— 계산기
소스

바이러스가 있는지 확실하지 않지만 어제 로그 아웃했을 때 의심스러운 메시지가 표시되었습니다. 매우 빠르기 때문에 완전히 읽을 수는 없었지만, '내가 느끼는 느낌'은 누군가가 여전히 로그인되어 있다는 메시지를 전했습니다.

— user1344545

작업 관리자를 열고 사용자 탭으로 이동하여 몇 개의 세션이 있는지 확인하십시오. 가정용 컴퓨터입니까 아니면 도메인에 가입되어 있습니까?

— 계산 기계

우리는 집에 작은 네트워크가 있습니다. 아내와 아이들. 그러나 로그 아웃 중에 메시지가 팝업 될 때 네트워크에 홀로있었습니다. 누군가 내 로컬 PC에 로그인 할 때 메시지를 트리거하는 방법이 있습니까?

— user1344545

1

바이러스는 간단한 파괴 프로그램입니다. 바이러스 백신 서비스 제공 업체는 항상 새로운 위협을 확인합니다. 새로운 위협을 발견하면 탐지 파일 (ide)을 해제합니다. 바이러스 백신이 있다고해서 100 %를 보호한다는 의미는 아닙니다. 그러나 나는 당신의 컴퓨터가 이전 위협에 대해 적어도 안전하다고 말할 수 있습니다.

— 계산 기계

1

그런 다음 프로세스 모니터 / 작업 관리자를 통해 감시합니다. 또한 맬웨어는 바이러스 백신 소프트웨어에서 자신을 숨기는 것을 좋아합니다.

— akira

0

오늘날 바이러스는 매우 정교합니다. 즉, 작업 관리자에서 자신을 숨기고 여러 복사본을 실행 (한 복사본이 중단 된 경우)하고 더 많은 트릭을 수행 할 수 있습니다. 정의에 따르면 바이러스는 자신을 감추기 위해 시스템 프로세스에 자신을 주입합니다.

일반적으로 악성 코드는 일반적으로 실행중인 비정상적인 프로세스를 식별하여 쉽게 탐지 할 수 있습니다. 그러나 바이러스는 일반적으로 대상 프로세스에 주입 된 페이로드로만 식별 할 수 있습니다.

안티 바이러스는 실제로 정확하게 ... 바이러스를 정확하게 탐지 할 수있는 유일한 것입니다!

— 오래된 진흙
소스

-1

프로그래머의 관점에서 볼 때 Windows API를 사용하여 프로그래밍을 배우고 API 후크를 더 제안하는 것이 좋습니다.

OS 커널은 식별하고 연결 해야하는 이러한 고유 API 함수 테이블을 유지합니다 . 그러면 후크 가 출력을 리디렉션하고 수정 / 필터링합니다. 이 코드 조각은 커널 공간에서 실행해야하며,이를 제어하려면 (예 :로드 / 정지) 사용자 공간에도 소프트웨어 조각이 있어야합니다. 이것들은 사용자 공간에서도 가능하지만 현대 AV에서는 일종의 악의적 인 활동으로 표시 될 가능성이 큽니다.

이 방법은 API 호출 (예 : NtQueryDirectoryFile ())을 가로 채어 출력을 수정 / 필터링하는 일종의 중간자 (man-in-the-middle) 방식으로 코드 조각 을 연결 하는 것입니다. 사용자 공간에서 실행되는 프로세스 (예 : TaskManager, Windows 탐색기, 프로세스 탐색기)는 후크에서 제공하는 필터링 된 출력 만 표시합니다. 아니요, ACL은이 계층에 전원이 공급되지 않습니다.

물론 최신 AV에는 커널 공간에서도 실행되는 코드 조각 및 / 또는 PATTERN MATCHING (AV 업데이트가 AV 패턴 업데이트?라고도 함)이있어 악의적 인 후크를 감지하고 방지합니다.

— mVincent
소스

1

이 답변이 실제로 저자가 제안한 질문에 어떻게 대답하는지 잘 모르겠습니다.

— Ramhound

편집이 제안되었습니다. 이것은 아마도 superuser.com/questions/821040/…에 게시되어 있습니다. 그러나 게시물을 클릭하기 몇 분 전에 개조에 의해 폐쇄되었습니다.

— mVincent

그래도이 답변이 명시된 질문에 의해 제기 된 질문을 어떻게 다루는 지 설명하지 않습니다. 링크 된 질문은이 답변을 제출하기 1 시간 전에 종료되었습니다. 물론 연결된 복제본이 이것보다 훨씬 더 나은 질문이라는 사실을 알 수 있다고 생각합니다.

— Ramhound

네 확실합니다. 그리고 내가 말했듯이, 그것은 링크 된 질문에 게시되어야합니다. 그러나 첨부 된 메모를 지우는 편집이 제안되었습니다. 이 답변은 관련 질문에 대한 통찰력을 제공하고 사용자가 자신이 의존하는 소프트웨어의 기능을 스스로 확인할 수없는 경우 사용자가 가지고있는 잘못된 보안 감각을 해결합니다.

— mVincent

작업 관리자가 실행중인 바이러스를 나열 할 수 있지만 여전히 바이러스를 볼 수없는 경우이 방법을 이해하려고 노력했습니다.

— Ramhound