如果我的系统上有正在运行的病毒,我能否在任务管理器中看到该进程?我的意思是,正在运行的病毒是否有可能绕过任务管理器,因此该进程不会出现在 windows7 的任务列表中?
或者换句话说。如果我真的现在任务管理器中的所有进程都是安全的,我也知道我的电脑是干净的吗?
不,通常不会。任务管理器(和操作系统的其他部分)本身可能会受到威胁,从而隐藏病毒。这称为rootkit。
如果我真的现在任务管理器中的所有进程都是安全的
您永远无法知道任务管理器中的所有进程都是安全的。病毒使用系统组件的名称是有原因的,有时甚至会取代它们。
使用防病毒软件。
防病毒软件只能检测这么多(“在 2011 年第 4 季度,遇到的 Web 恶意软件中有 33% 是在遇到时无法通过基于签名的传统方法检测到的零日恶意软件”,来源:http : //blogs.cisco.com /security/cisco-4q11-global-threat-report/)。
通过一些培训,您可以检测到一些恶意软件,因为它们的行为方式与操作系统上的通常情况略有不同。可能是更多的网络流量、更多的 CPU 使用率、奇怪的磁盘访问或其他原因。恶意软件不仅可用作可通过任务管理器检测的单个二进制文件,还可用作附加到其他进程的动态库 (dll)。
您可以使用Sysinternal Suite 中的Process Explorer 之类的任务管理器获取有关系统上正在运行的内容的线索,并且您可以使用同一套件的Process Monitor之类的东西来观察系统上发生的事情。习惯这些工具并注意“奇怪”的迹象:
(“奇怪”部分是为了区分“那是正常的”和“那是奇怪的”所需的训练)
Sysinternal Suite 的作者展示了使用上述工具的一些巧妙方法:
https://www.youtube.com/watch?v=7heEYEbFim4
因此,是的,您可以使用合适的任务管理器检测一些恶意软件。恶意软件越不复杂,就越容易被检测到。如果恶意软件试图检测进程资源管理器等任务管理器的使用,您甚至可能需要采取高级步骤,例如使用不同的“会话”来检测奇怪的行为,但仍然有可能。
| 归档时间: |
|
| 查看次数: |
33892 次 |
| 最近记录: |