Est-il possible de détecter un virus avec taskmanager?

10

Si j'avais un virus en cours d'exécution sur mon système, pourrais-je voir le processus dans le gestionnaire de tâches? Je veux dire, serait-il possible qu'un virus en cours d'exécution contourne le gestionnaire de tâches afin que le processus n'apparaisse pas dans la liste des tâches de windows7?

Ou en d'autres termes. Si j'ai vraiment maintenant tous les processus dans taskmanager pour être sécurisé, je sais aussi que mon PC est propre?

windows-7 virus user1344545
la source

Réponses:

7

Non, pas d'habitude. Il est possible que le Gestionnaire des tâches (et d'autres parties du système d'exploitation) soit lui-même compromis, cachant ainsi le virus. C'est ce qu'on appelle un rootkit.

Si j'ai vraiment maintenant tous les processus dans le gestionnaire de tâches pour être sécurisé

Vous ne pouvez jamais savoir que tous les processus de taskmanager sont sécurisés. Les virus utilisent des noms de composants système pour une raison, les déplaçant parfois même.

Utilisez un antivirus.

Jonathan Baldwin
la source
1
pour une meilleure compréhension: cela signifie donc que le gestionnaire de tâches affiche par exemple 0% d'utilisation du processeur dans l'ensemble (tous les processus 0%), mais il se pourrait qu'il existe un processus caché qui utilise le processeur, mais je ne le vois pas dans le gestionnaire de tâches?
user1344545
Je suis d'accord avec la réponse de Jonathan.
Machine à calculer
Le gestionnaire de tâches affichera toujours un processus appelé «Processus d'inactivité du système» qui s'exécute pendant le temps d'inactivité du processeur, qui semblera maximiser l'utilisation de votre processeur. Ce n'est pas le cas et ce n'est pas un virus. Mais oui, un virus peut s'attacher à taskman pour masquer son utilisation CPU.
Jonathan Baldwin
Est-ce que cela s'applique à Windows 7 et 8.x?
Faiz
@Faiz la partie "Utiliser un antivirus" le fait. Vous devez toujours utiliser un antivirus (il existe des antivirus gratuits comme Avast Antivirus), et de nos jours, il est même nécessaire d'utiliser un logiciel antivirus sur les appareils mobiles.
NH.
5

Un antivirus ne détecte que telle ou telle chose ("Au 4T11, 33% des logiciels malveillants Web rencontrés étaient des logiciels malveillants Zero Day non détectables par les méthodologies traditionnelles basées sur les signatures au moment de la rencontre", source: http://blogs.cisco.com / security / cisco-4q11-global-menace-report / ).

Avec un peu de formation, vous pouvez détecter certains logiciels malveillants, car ils se comportent d'une certaine manière, ce qui est un peu différent de ce qui est habituel sur le système d'exploitation. Il peut s'agir d'un trafic réseau plus important, d'une utilisation plus importante de l'unité centrale de traitement, d'étranges accès au disque ou d'autre chose. Les logiciels malveillants ne sont pas uniquement disponibles sous forme de binaires uniques détectables via un gestionnaire de tâches, mais également sous forme de bibliothèques dynamiques (dll) attachées à d'autres processus.

Vous pouvez obtenir des indices sur ce qui fonctionne sur votre système avec un gestionnaire de tâches comme Process Explorer de la suite Sysinternal , et vous pouvez regarder les choses se produire sur votre système avec quelque chose comme Process Monitor de la même suite. Habituez-vous aux outils et surveillez les signes "d'étrangeté":

  • Binaires non signés (exécutables ou DLL)
  • Strange écrit dans des fichiers étranges
  • Activité de réseau étrange

(La partie "étrange" est la formation dont vous avez besoin pour faire la distinction entre "c'est normal" et "c'est étrange")

L'auteur de la suite Sysinternal montre quelques façons intelligentes d'utiliser les outils mentionnés ci-dessus:

https://www.youtube.com/watch?v=7heEYEbFim4

Donc, oui, vous pouvez détecter certains logiciels malveillants avec un gestionnaire de tâches décent. Moins le malware est sophistiqué, plus il sera facile à détecter. Si le malware essaie de détecter l'utilisation de gestionnaires de tâches comme Process Explorer, vous devrez peut-être même prendre des mesures avancées telles que l'utilisation d'une « session » différente pour détecter un comportement étrange, mais cela reste possible.

akira
la source
Bien que de bons conseils (+1), il n'y a pas de substitut à un antivirus décent sur une machine Windows. C'est (évidemment) un complément à cela, et nécessite quelques connaissances sur ce qu'est un "comportement étrange" pour ne pas casser votre système. De nombreux composants Windows agissent de manière "étrange" à l'œil non averti.
Jonathan Baldwin
En outre, il existe plusieurs ordres de grandeur de binaires non signés plus légitimes que les binaires non signés infectés. En fait, la plupart des logiciels Windows ne sont pas signés, car très peu de développeurs se préoccupaient de la signature avant l'apparition de Windows 8 SmartScreen. Pas une grande référence en soi.
Jonathan Baldwin
Eh bien, la plupart des logiciels "normaux" sont signés, celui provenant de MSFT lui-même est très certainement signé. Ainsi, vous pouvez obtenir un indice sur ce qui fait partie du système et ce qui ne fait pas partie du système. Le logiciel AV est généralement un logiciel qui fonctionne avec les droits du noyau, télécharge de nouvelles instructions à partir des internets :) twitter.com/thegrugq/status/297177182848049152 zdnet.com.au/blogs/securifythis/soa/… etc. Oui, il est plus facile d'installer quelque chose que quelqu'un prétend aider. A MON HUMBLE AVIS.
akira
1
Pour info
akira
2

Il n'est pas possible de détecter un virus à partir du gestionnaire de tâches.

Il existe plusieurs types de virus. Virus, cheval de Troie, rootkit, adware / puk, etc. Certains virus se cachent du gestionnaire de tâches. Il n'apparaît donc pas dans le gestionnaire de tâches.

Je vous suggère d'arrêter de chercher dans le gestionnaire de tâches et d'installer un antivirus.

Comment puis-je: accéder à l'Observateur d'événements Windows®?

  1. Appuyez sur Image + R et tapez "eventvwr.msc" et cliquez sur OK ou appuyez sur Entrée.
  2. Développez Journaux Windows et sélectionnez Sécurité.
  3. Au milieu, vous verrez une liste, avec la date et l'heure, la source, l'ID d'événement et la catégorie de tâche. La catégorie de tâches explique à peu près l'événement, l'ouverture de session, l'ouverture de session spéciale, la fermeture de session et d'autres détails.
Machine à calculer
la source
Je ne suis pas sûr d'avoir un virus, mais j'ai reçu un message suspect lorsque je me suis déconnecté hier. Je ne pouvais pas le lire complètement, car c'était très rapide, mais mon «intuition» dit que le message disait que quelqu'un était toujours connecté.
user1344545
ouvrez le gestionnaire de tâches - accédez à l'onglet utilisateur et vérifiez le nombre de sessions. C'est votre ordinateur personnel ou il est joint au domaine?
Machine à calculer
Nous avons un petit réseau à la maison. Ma femme et mes enfants. Mais j'étais seul dans le réseau, lorsque le message s'est affiché lors de la déconnexion. Existe-t-il un moyen de déclencher un message lorsque quelqu'un se connecte à mon PC local?
user1344545
1
Virus est un programme simple de destruction. Le fournisseur de services antivirus recherche toujours une nouvelle menace. S'ils ont trouvé une nouvelle menace, ils libèrent un fichier de détection (ide). Si vous avez un antivirus, cela ne signifie pas qu'il vous protégera à 100%. Mais je peux dire que votre machine est au moins sûre pour la menace précédente.
Machine à calculer
1
puis ils le regardent via un moniteur de processus / gestionnaire de tâches. les logiciels malveillants aiment également se cacher des logiciels antivirus ... ce qui rend le point d'av ... enfin, inutile.
akira
0

Les virus sont assez sophistiqués de nos jours. Cela signifie qu'ils peuvent se cacher du Gestionnaire des tâches, exécuter plusieurs copies d'eux-mêmes (au cas où une copie serait supprimée) et bien d'autres astuces. Par définition, les virus s'injectent également dans les processus système afin de se cacher.

Les logiciels malveillants en général peuvent généralement être détectés assez facilement simplement en identifiant un processus inhabituel en cours d'exécution. Mais les virus en particulier ne peuvent généralement être identifiés que par leur charge utile injectée dans le processus cible.

Un antivirus est donc vraiment la seule chose qui puisse détecter avec précision ... eh bien ... un virus!

oldmud0
la source
-1

Du point de vue d'un programmeur, je vous suggère d'essayer d'apprendre la programmation à l'aide de l'API Windows, et plus encore - les crochets API.

Le noyau du système d'exploitation conserve un tableau de ces fonctions API natives que vous devez identifier et connecter . Votre hook redirigera et modifiera / filtrera ensuite la sortie. Ce morceau de code doit fonctionner sur l'espace noyau, et pour que vous puissiez le contrôler (c'est-à-dire charger / arrêter), vous devez également avoir un logiciel sur l'espace utilisateur. Bien que cela soit également possible sur l'espace utilisateur, il sera très probablement signalé par les AV modernes comme une sorte d'activité malveillante.

L'approche consisterait à accrocher un morceau de code pour intercepter les appels d'API (ieNtQueryDirectoryFile ()) de telle sorte que vous modifiez / filtrez la sortie - sorte d'approche man-in-the-middle. Les processus s'exécutant sur l'espace utilisateur (ie TaskManager, Windows Explorer, Process Explorer), afficheront simplement la sortie filtrée fournie par votre hook ... Et NON, les ACL n'ont aucun pouvoir sur cette couche

Bien sûr, les AV modernes ont également des morceaux de code fonctionnant sur l'espace du noyau et / ou MATCHING MATCHING (rappelez-vous quand les mises à jour AV sont appelées AV Patterns Update?) - pour détecter et empêcher de tels hooks malveillants.

mVincent
la source
1
Je ne sais pas comment cette réponse répond réellement à la question proposée par l'auteur.
Ramhound
Une modification a été suggérée. Ceci est censé être publié ( superuser.com/questions/821040/… ). Mais a été fermé par des mods, quelques minutes avant que je clique sur le post.
mVincent
Cela n'explique toujours pas comment cette réponse répond à la question posée par la question posée. La question à laquelle vous avez lié a été fermée une heure avant de soumettre cette réponse. Bien sûr, je crois que je soulèverai le fait que le doublon lié est une bien meilleure question que celle-ci.
Ramhound
Oui en effet. Et comme je l'ai dit, cela devrait être publié sur cette question liée. Cependant, une modification a été suggérée, que j'efface la note jointe. Cette réponse donne un aperçu de la question pertinente et résout le faux sentiment de sécurité d'un utilisateur s'il ne peut pas lui-même déterminer la capacité du logiciel sur lequel il s'appuie.
mVincent
J'ai essayé de comprendre comment cela répond si le gestionnaire de tâches peut répertorier un virus en cours d'exécution mais je ne le vois toujours pas
Ramhound