Jak zjistit skryté procesy, které se nezobrazují ve Správci úloh

Počítač běží pomalu bez zjevného důvodu.Pokud se vám využití paměti RAM prudce zvýší, i když nemáte nic otevřeného, ​​nebo pokud se při hraní her objeví zpoždění, je to obvykle první známka toho, že je něco v nepořádku. Často otevřeme Správce úloh a hledáme viníka... a nic neobvyklého se neobjeví. A právě tam začíná podezření: na pozadí mohou běžet skryté procesy.

Systém Windows neustále spouští desítky služeb a procesů. Na pozadí běží různé programy, některé zcela legitimní a jiné potenciálně nebezpečné nebo zbytky nesprávně odinstalovaného softwaru. Naučit se detekovat, co skutečně běží, nad rámec toho, co odhaluje standardní Správce úloh, je klíčem ke zlepšení výkonu, posílení zabezpečení a odhalení malwaru, který se snaží skrýt. Pojďme se o tom všem dozvědět. Jak zjistit skryté procesy, které se nezobrazují ve Správci úloh.

Co jsou skryté procesy a proč se ne vždy jasně projevují?

Každý program běžící na počítači generuje alespoň jeden proces ...které zůstávají v paměti, aby fungovaly: od prohlížeče nebo hry až po malé systémové služby. Problém je v tom, že mnoho z těchto procesů nemá „lidský“ název jako Chrome.exe nebo Spotify.exe, ale spíše kryptické identifikátory, které ztěžují poznání, zda patří systému Windows, legitimnímu programu nebo malwaru.

Navíc existují procesy, které na první pohled nejsou viditelné. na kartě „Procesy“ ve Správci úloh, protože jsou seskupeny, zobrazeny pod obecnými názvy nebo závisí na systémových službách. Některé typy malwaru toho zneužívají k vkládání kódu do legitimních procesů nebo se skrývají za nejednoznačnými službami, což je pro běžného uživatele extrémně obtížné najít.

I po odinstalování programůMohou se vyskytovat „zbytky“: úlohy, služby nebo položky registru po spuštění, které se neustále pokoušejí spustit na pozadí. Nainstalovaný program neuvidíte, ale uvidíte obecný proces s názvem „Program“ nebo něco podobného, ​​který spotřebovává prostředky, aniž by poskytoval jakoukoli užitečnou službu.

Je také běžné, že skryté procesy ovlivňují síť.záhadná připojení, využití šířky pásma, když by se nemělo nic stahovat ani komunikovat s internetem, nebo nevysvětlitelné nárůsty spotřeby CPU a paměti, když je počítač teoreticky v klidu.

Využití Správce úloh naplno: co ve Windows skutečně vidíte

Než přejdeme k pokročilým nástrojůmStojí za to plně využít toho, co samotný Správce úloh nabízí. Ve Windows 10 a 11 je mnohem výkonnější, než se zdá, pokud víte, kde hledat a změnit některá výchozí nastavení.

Aby se to rychle otevřeloPoužijte klávesovou zkratku Ctrl + Shift + EscMůžete také kliknout pravým tlačítkem myši na hlavní panel a vybrat možnost „Správce úloh“. Pokud se otevře ve zjednodušeném režimu, kliknutím na „Další podrobnosti“ zobrazíte celé rozhraní se všemi kartami.

Na kartě „Procesy“ uvidíte přehled Využití CPU, RAM, disku, GPU a sítě podle aplikace. Zde můžete snadno identifikovat „velké hráče“ (hra, prohlížeč, editor videa...). Pokud ale chcete odhalit podezřelé procesy, musíte jít o něco dál.

Klíčovým krokem je aktivace možnosti „Zobrazit procesy od všech uživatelů“ (ve starších verzích systému Windows) nebo se ujistěte, že Správce úloh zobrazuje vše spuštěné pod různými účty a službami. Získáte tak úplnější seznam, včetně systémových služeb, které může někdy využívat malware.

Karta Podrobnosti, Sledování zdrojů a analýza sítě

Karta „Podrobnosti“ ve Správci úloh Zde se skutečně zobrazí kompletní seznam spuštěných procesů. Každý spustitelný soubor se zde zobrazuje bez seskupení s použitím svého interního názvu. Je to zobrazení, které se nejvíce podobá tomu, co vidí samotný operační systém.

Na této kartě můžete vyhledat procesy, které vypadají podivně. Hledejte procesy, které nepoznáváte, které mají velmi obecné názvy nebo které abnormálně spotřebovávají zdroje. Pokud kliknete pravým tlačítkem myši na libovolný proces, můžete „Otevřít umístění souboru“, což je nezbytné pro zjištění, odkud daný spustitelný soubor skutečně pochází.

Dalším velmi užitečným sloupcem je sloupec „Název cesty k obrázku“. (V některých překladech se to zobrazuje jako „Cesta k obrázku“). Aktivujete ji kliknutím pravým tlačítkem myši na záhlaví sloupců, výběrem možnosti „Vybrat sloupce“ a zaškrtnutím této možnosti. Zobrazí se vám úplná cesta k souboru za každým procesem.

Hlouběji se ponořit do chování sítěOtevřete kartu „Výkon“ a poté klikněte na „Otevřít Sledování zdrojů“. Na kartě „Síť“ v Sledování zdrojů uvidíte, které procesy navazují připojení, kolik provozu odesílají a přijímají a na které IP adresy. Pokud zjistíte, že se k neobvyklým adresám připojuje neznámá aplikace, je to silný signál, že je něco v nepořádku.

Zkontrolujte programy spouštěné po spuštění a zbývající odinstalovaný software

Mnoho skrytých procesů se proplíží procesem spouštění systému Windows.takže se automaticky spouštějí pokaždé, když zapnete počítač. To vysvětluje, proč i po „zavření všeho“ zůstává využití RAM poměrně vysoké nebo proč systému trvá dlouho, než je použitelný.

Ve Správci úloh máte sekci „Po spuštění“ (Ve Windows 11 se zobrazuje v boční nabídce jako „Aplikace po spuštění“ a ve Windows 10 jako karta „Po spuštění“). Zde uvidíte všechny programy, které se automaticky spustí po přihlášení.

Je normální najít nástroje pro grafickou kartu (NVIDIA, AMD), zvukovou kartu nebo myš.A také aplikace, které raději otevíráte automaticky, protože je používáte denně. Pokud ale vidíte položky bez jasných názvů, obecné procesy jako „Program“ nebo odkazy na programy, které jste odinstalovali už dávno, zaslouží si vaši pozornost.

Kliknutím pravým tlačítkem myši můžete zakázat libovolnou položku po spuštění. které nechcete. Tím se program neodstraní, pouze se zabrání jeho spuštění s Windows. Je to rychlý způsob, jak zkontrolovat, zda byl tento záhadný proces příčinou zpoždění nebo nadměrného využití paměti RAM.

Když je program odinstalován nesprávněJe běžné, že systém Windows zanechává stopy v programech po spuštění, naplánovaných úlohách nebo službách, které se neustále pokouší spustit, i když spustitelný soubor již neexistuje. Tyto procesy se nazývají „duchové procesy“ nebo „zbytkové procesy“. K jejich správné identifikaci potřebujete specializovanější nástroj.

Autorun pro Windows: Vyhledávání a odstraňování fiktivních procesů a zbývajících materiálů

Společnost Microsoft nabízí zdarma velmi výkonný nástroj s názvem Autoruns pro Windows.Tato aplikace, která je součástí kolekce Sysinternals vytvořené Markem Russinovichem, zobrazuje absolutně VŠE, co se spouští při spuštění systému nebo se připojuje ke klíčovým bodům ve Windows.

Z oficiálních webových stránek Microsoft Sysinternals Autoruns si můžete stáhnout ve formátu ZIP. Po rozbalení jednoduše otevřete soubor „Autoruns.exe“ nebo „Autoruns64.exe“ v závislosti na vašem systému. Nevyžaduje žádnou instalaci; jedná se o přenositelný spustitelný soubor.

Po otevření zobrazí Autoruns obrovský seznam položekProgramy spouštěné po spuštění, služby, rozšíření Průzkumníka, položky Office, ovladače, naplánované úlohy atd. V horní části můžete filtrovat podle kategorií (Office, služby, poskytovatelé sítě, LSA, tiskové služby…).

Zvláštní pozornost je třeba věnovat žlutě označeným vchodům.Ty často odpovídají procesům nebo cestám, které již v systému neexistují: zbytky narychlo odinstalovaného softwaru, automatizované procesy, které se neustále pokoušejí spustit, nebo poškozené cesty. Uvidíte také prvky v jiných barvách, které označují kritické nebo speciální komponenty.

Pokud objevíte zjevně zbytkový nebo podezřelý vchod (Například pokud se jedná o program, o kterém víte, že jste jej již odstranili, nebo o neznámou součást), můžete na něj kliknout pravým tlačítkem myši. Kontextová nabídka nabízí možnosti jako „Smazat“ pro jeho odstranění, otevření umístění souboru, kontrolu virů nebo vyhledání informací o spustitelném souboru online.

Autorun je velmi silný, ale také nebezpečný, pokud nevíte, co děláte.Sám autor doporučuje, aby se o to postaral technik nebo alespoň uživatel s určitými zkušenostmi. Smazání důležitých systémových položek, ovladačů grafické karty nebo hardwarových komponent může vést k tomu, že nebudete moci používat některé funkce nebo dokonce nebude možné správně spustit systém Windows.

Výhodou je, že s trochou opatrnosti můžete systém vyčistit Odstraňuje zbytky aplikací, které již nemáte, eliminuje procesy spouštění po virtuálním spuštění a detekuje podezřelé automatizace, které nejsou v tradičním Správci úloh tak zřejmé.

Process Explorer: „Vylepšený správce úloh“ od Microsoftu

Pokud vám Správce úloh nestačíPřímou a oficiální alternativou od Microsoftu je Process Explorer, další klenot ze sady Sysinternals. Je určen pro systémové administrátory a pokročilé uživatele, kteří potřebují úplnou kontrolu a velmi jemné podrobnosti o každém procesu.

Process Explorer si můžete stáhnout z webových stránek Sysinternals. Dodává se v komprimovaném souboru. Rozbalte jej do libovolné složky a spusťte soubor „procexp64.exe“, pokud máte 64bitový systém (nebo 32bitovou verzi, pokud je k dispozici). Nevyžaduje instalaci a pro zobrazení všech podrobností se doporučuje spustit jej jako správce.

Rozhraní zobrazuje hierarchický strom procesůkde jasně vidíte, který program spustil který, která vlákna má otevřená, kterou DLL používá a mnoho dalšího. Každý proces je zbarven podle svého typu a tyto barvy lze konfigurovat v nabídce Možnosti > Konfigurovat barvy.

Jednou z velkých výhod Process Exploreru Umožňuje otevřít umístění spustitelného souboru, zobrazit jeho bezpečnostní vlastnosti, interní textové řetězce, přístup k deskriptorům a dokonce s ním interagovat z příkazového řádku nebo generovat výpisy paměti pro pokročilou analýzu.

V případě, že chcete Správce úloh zcela nahraditV nabídce Možnosti můžete vybrat „Nahradit Správce úloh“. Poté se po použití klávesové zkratky Ctrl + Shift + Esc otevře Průzkumník procesů místo standardního Správce úloh systému Windows.

Integrace Process Exploreru s VirusTotal pro detekci malwaru

Process Explorer neslouží jen k zobrazení spuštěných procesů.Pomáhá také určit, zda je důvěryhodný. Jednou z jeho nejlepších funkcí, která byla zavedena před lety, je integrace s VirusTotal, známou službou, která analyzuje soubory desítkami antivirových programů současně.

Aktivace této integraceOtevřete Průzkumník procesů a přejděte do nabídky Možnosti > VirusTotal. Povolte možnost odesílání hashů procesů do VirusTotal k analýze (v aktuální verzi se to provádí bezpečně odesíláním pouze otisku souboru).

Tímto způsobem přidáte do hlavního okna nový sloupec. s výsledkem analýzy každého procesu. Uvidíte něco jako „0/70“, „1/70“ atd., což značí, kolik antivirových programů jej z celkového počtu označilo jako podezřelý.

Procesy, které se zobrazují zeleně nebo s 0 detekcemi Obecně se považují za čisté, i když falešně negativní výsledky jsou vždy možné. Pokud se proces zobrazí červeně nebo s více detekcemi, je velmi pravděpodobné, že se jedná o malware nebo přinejmenším o něco, co stojí za prozkoumání.

Pokud kliknete na výsledek VirusTotalPoté se otevře stránka analýzy s rozšířenými informacemi: které vyhledávací moduly jej detekovaly, do které malwarové rodiny může patřit, pozorované chování atd. Tyto informace jsou neocenitelné pro rozhodnutí, zda proces ukončit a provést důkladnější čištění pomocí antivirového softwaru.

Jak pomocí Process Exploreru odhalit cestu malwaru

V laboratorních prostředích nebo na virtuálních strojíchStudenti a bezpečnostní analytici běžně používají Process Explorer k lokalizaci malwaru a studiu jeho chování. Typickým úkolem je najít přesnou cestu ke škodlivému spustitelnému souboru a poté jej načíst do disassembleru.

Obvykle stačí lokalizovat podezřelý proces. V seznamu klikněte pravým tlačítkem myši a pomocí nabídky „Vlastnosti“ nebo „Otevřít umístění souboru“ zjistěte, ve které složce se binární soubor nachází. Odtud jej můžete zkopírovat do jiného kontrolovaného prostředí a analyzovat ho pomocí nástrojů, jako jsou IDA, Ghidra nebo jiné disassemblery.

Problém nastává, když se malware bez souborů snaží se skrýt svou trasuK tomu může dojít buď proto, že manipuluje se systémem, nebo proto, že vkládá svůj kód do legitimních procesů. V těchto případech vám Process Explorer může zobrazit proces, ale jasně neidentifikovat zdrojový spustitelný soubor, nebo může jednoduše zobrazit neúplné informace.

V takovém případě je vhodné kombinovat několik nástrojů.Zkontrolujte registr (klíče HKCU a HKLM Run a RunOnce), zkontrolujte naplánované úlohy, použijte automatické spouštění k zobrazení toho, co se spouští při spuštění, a v případě potřeby se uchýlejte k specifickým nástrojům pro analýzu malwaru nebo virtuálním počítačům s pokročilým monitorováním systému.

V každém případě, pokud zjistíte proces s podezřelým chováním Pokud VirusTotal označí soubor jako škodlivý, prvním krokem je izolace postiženého počítače od sítě, pokud možno ukončení procesu a následná kontrola nebo odstranění vzorku pomocí specializovaného bezpečnostního řešení. Další informace o Process Exploreru naleznete v následujících bodech: oficiální webové stránky Windows.

Odhalení skrytých souborů a složek: reálný příklad použití malwaru „Streamerdata“

Některý malware se neschovává jen jako procesyNejenže skrývají své složky a soubory, aby ztížily jejich odstranění, ale také je utajují. Typickým příkladem jsou infekce, které vytvářejí skryté adresáře v kořenovém adresáři disku, například „C:\Streamerdata“, a replikují prázdné zástupce v celém systému.

V tomto typu scénáře antivirus neustále detekuje hrozbu (například Win64:Malware-gen), odešle ho do archivu a smaže… ale brzy se znovu objeví. Mezitím si všimnete, že systém je pomalý, že se v něm nacházejí podivné složky a zástupci a dokonce se ve Správci úloh objevuje proces s falešným názvem „antivirový nástroj“.

Technika, kterou někteří uživatelé používají Zahrnuje vytvoření souboru .bat s příkazy, které odstraní atributy skryté, systémové a pouze pro čtení ze všech souborů na disku. Něco podobného:

atribut -r -a -h -s U:\*.* /S /D (kde U je disk, který má být dezinfikován). Při spuštění jako správce se vše zviditelní, včetně dříve zcela skryté škodlivé složky, což umožňuje její ruční odstranění.

Nevýhodou nadužívání těchto typů skriptů Tím se také odhalí mnoho systémových složek a souborů, které jsou z bezpečnostních důvodů obvykle skryté: konfigurační složky, soubory desktop.ini atd. Pokud nebudete opatrní a smažete, co byste neměli, můžete systém znehodnotit.

V příkladu „Streamerdata“ odhalením všeho Soubory „desktop“ (desktop.ini) se začaly objevovat na plochách a v různých složkách a samotný systém při spouštění zobrazoval chyby při pokusu o nalezení složky s malwarem, která již byla smazána. Toto je jasný příklad toho, jak může mít ruční čištění bez řádného pochopení toho, co děláte, nezamýšlené důsledky.

Pokud se ocitnete v podobné situaciDoporučeným přístupem je kombinace dobrého antivirového nebo antimalwarového balíčku (Malwarebytes, aktualizovaný Windows Defender atd.), nástroje pro čištění spouštění systému, jako je Autoruns, a pokud jste rozsáhle upravili atributy, překonfigurujte možnosti složky nebo použijte nástroje jako Winaero Tweaker znovu skrýt důležité systémové soubory, které by se neměly denně zobrazovat ani se jich dotýkat.

Řízení záznamu a další doplňkové techniky

Skryté procesy a přetrvávající malware Často se při opakovaném spouštění spoléhají na registr systému Windows. Znalost nejběžnějších klíčů registru velmi pomáhá při jejich nalezení, když jsou jiné nástroje nejednoznačné.

Použití příkazu Win + R a zadání příkazu „regedit“Poté otevřete Editor registru (tento nástroj používejte s maximální opatrností). Nejběžnější cesty, kde jsou registrovány programy, které se spouštějí se systémem, jsou:

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run y HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Runkde jsou uloženy aplikace, které se spustí při přihlášení aktuálního uživatele, respektive libovolného uživatele. Za zmínku stojí také SpustitOnce, který provede položky pouze jednou při dalším spuštění.

Kontrola těchto klíčů může odhalit neznámé položky s neobvyklými cestami nebo těmi, které odkazují na dočasné složky, neobvyklé adresáře uživatelských profilů nebo náhodné názvy souborů. V těchto případech je rozumné být podezřívavý a po vytvoření zálohy položku smazat nebo ji zakázat, zatímco provádíte antivirovou kontrolu.

Dalším velmi efektivním způsobem je použití příkazového řádkuSpuštěním příkazu „tasklist“ v příkazovém řádku s oprávněními správce zobrazíte kompletní seznam procesů. Můžete jej kombinovat s filtry (podle názvu, PID atd.) nebo s jinými nástroji, jako je „wmic“ nebo „powershell“, a získat tak další podrobnosti.

A konečně nesmíme zapomenout na roli antivirového softwaru.Pravidelná aktualizace a provádění úplných systémových kontrol pomáhá odhalovat skryté procesy maskované jako legitimní služby. Mnoho současných produktů také monitoruje chování v reálném čase a blokuje procesy, které se chovají jako malware, i když samotný soubor ještě nebyl podepsán v databázích.

Mějte skutečnou kontrolu nad tím, co běží na vašem počítači Zahrnuje to kombinaci všech výše uvedených kroků: efektivní používání Správce úloh, využívání funkcí Autoruns a Process Explorer, monitorování registru a spoléhání se na robustní antivirová řešení. S těmito nástroji přestává být nalezení skrytých procesů, které nejsou na první pohled patrné, a rozhodování o tom, co s nimi dělat, záhadou a stává se úkolem, který s trochou cviku zvládnete, aniž byste museli být profesionálním hackerem.