- Οι κρυφές διεργασίες μπορεί να είναι κακόβουλο λογισμικό, υπηρεσίες συστήματος ή υπολείμματα λογισμικού που καταναλώνουν πόρους χωρίς να είναι σαφώς ορατά.
- Η Διαχείριση Εργασιών, μαζί με την καρτέλα Λεπτομέρειες και την Παρακολούθηση Πόρων, σάς επιτρέπει να εντοπίζετε ύποπτες διεργασίες και συνδέσεις.
- Προηγμένα εργαλεία όπως το Autoruns και το Process Explorer (με το VirusTotal) προσφέρουν πλήρη έλεγχο των διεργασιών, της εκκίνησης και των φανταστικών υπολειμμάτων.
- Ο συνδυασμός αυτών των εργαλείων με τον έλεγχο μητρώου και ένα καλό antivirus είναι το κλειδί για τη διατήρηση της απόδοσης και της ασφάλειας στα Windows.
Ο υπολογιστής λειτουργεί αργά χωρίς προφανή λόγο.Αν η χρήση της μνήμης RAM αυξάνεται απότομα ακόμα και όταν δεν έχετε τίποτα ανοιχτό ή αν αντιμετωπίζετε καθυστέρηση κατά τη διάρκεια παιχνιδιών, αυτό είναι συνήθως το πρώτο σημάδι ότι κάτι δεν πάει καλά. Συχνά, ανοίγουμε τη Διαχείριση Εργασιών αναζητώντας τον ένοχο... και δεν εμφανίζεται τίποτα ασυνήθιστο. Εκεί ξεκινά η υποψία: μπορεί να υπάρχουν κρυφές διεργασίες που εκτελούνται στο παρασκήνιο.
Τα Windows εκτελούν συνεχώς δεκάδες υπηρεσίες και διεργασίες. Στο παρασκήνιο εκτελούνται διάφορα προγράμματα, κάποια εντελώς νόμιμα και άλλα δυνητικά επικίνδυνα ή υπολείμματα λογισμικού που δεν έχει απεγκατασταθεί σωστά. Το να μάθετε να εντοπίζετε τι πραγματικά εκτελείται, πέρα από αυτά που αποκαλύπτει η τυπική Διαχείριση Εργασιών, είναι το κλειδί για τη βελτίωση της απόδοσης, την ενίσχυση της ασφάλειας και την ανίχνευση κακόβουλου λογισμικού που προσπαθεί να κρυφτεί. Ας μάθουμε τα πάντα για αυτό. Πώς να εντοπίσετε κρυφές διεργασίες που δεν εμφανίζονται στη Διαχείριση εργασιών.
Τι είναι οι κρυφές διεργασίες και γιατί δεν εμφανίζονται πάντα καθαρά;
Κάθε πρόγραμμα που εκτελείται στον υπολογιστή δημιουργεί τουλάχιστον μία διεργασία που παραμένει στη μνήμη για να λειτουργήσει: από το πρόγραμμα περιήγησης ή ένα παιχνίδι έως μικρές υπηρεσίες συστήματος. Το πρόβλημα είναι ότι πολλές από αυτές τις διεργασίες δεν έχουν «ανθρώπινο» όνομα όπως Chrome.exe ή Spotify.exe, αλλά μάλλον κρυπτικά αναγνωριστικά που δυσκολεύουν να γνωρίζουμε εάν ανήκουν στα Windows, σε ένα νόμιμο πρόγραμμα ή σε κακόβουλο λογισμικό.
Επιπλέον, υπάρχουν διαδικασίες που δεν φαίνονται με την πρώτη ματιά. στην καρτέλα "Διαδικασίες" της Διαχείρισης Εργασιών, επειδή ομαδοποιούνται, εμφανίζονται με γενικά ονόματα ή εξαρτώνται από υπηρεσίες συστήματος. Ορισμένοι τύποι κακόβουλου λογισμικού εκμεταλλεύονται αυτό το γεγονός, εισάγοντας κώδικα σε νόμιμες διαδικασίες ή κρύβοντας πίσω από ασαφείς υπηρεσίες, καθιστώντας τις εξαιρετικά δύσκολο να εντοπιστούν από τον μέσο χρήστη.
Ακόμα και μετά την απεγκατάσταση προγραμμάτωνΕνδέχεται να υπάρχουν "φανταστικά υπολείμματα": εργασίες εκκίνησης, υπηρεσίες ή καταχωρήσεις μητρώου που συνεχίζουν να προσπαθούν να εκτελούνται στο παρασκήνιο. Δεν θα δείτε το εγκατεστημένο πρόγραμμα, αλλά θα δείτε μια γενική διεργασία που ονομάζεται "Πρόγραμμα" ή κάτι παρόμοιο, η οποία καταναλώνει πόρους χωρίς να παρέχει καμία χρήσιμη υπηρεσία.
Είναι επίσης σύνηθες οι κρυφές διεργασίες να επηρεάζουν το δίκτυο.: μυστηριώδεις συνδέσεις, χρήση εύρους ζώνης όταν δεν θα έπρεπε να έχετε τίποτα να κατεβάζει ή να επικοινωνεί με το διαδίκτυο ή ανεξήγητες αιχμές στην κατανάλωση CPU και μνήμης όταν ο υπολογιστής είναι, θεωρητικά, σε κατάσταση ηρεμίας.
Χρήση της Διαχείρισης Εργασιών στο έπακρο: τι μπορείτε πραγματικά να δείτε από τα Windows
Πριν προχωρήσουμε σε προηγμένα εργαλείαΑξίζει να αξιοποιήσετε πλήρως όσα προσφέρει η ίδια η Διαχείριση Εργασιών. Στα Windows 10 και 11, είναι πολύ πιο ισχυρή από ό,τι φαίνεται, αν ξέρετε πού να ψάξετε και να αλλάξετε ορισμένες από τις προεπιλεγμένες ρυθμίσεις.
Για να το ανοίξετε γρήγοραΧρησιμοποιήστε τη συντόμευση πληκτρολογίου Ctrl + Shift + EscΜπορείτε επίσης να κάνετε δεξί κλικ στη γραμμή εργασιών και να επιλέξετε "Διαχείριση εργασιών". Εάν ανοίξει σε απλοποιημένη λειτουργία, κάντε κλικ στην επιλογή "Περισσότερες λεπτομέρειες" για να δείτε την πλήρη διεπαφή με όλες τις καρτέλες.
Στην καρτέλα «Διαδικασίες» θα δείτε μια επισκόπηση Χρήση CPU, RAM, δίσκου, GPU και δικτύου ανά εφαρμογή. Εδώ μπορείτε εύκολα να εντοπίσετε τους "μεγάλους παίκτες" (ένα παιχνίδι, το πρόγραμμα περιήγησης, ένα πρόγραμμα επεξεργασίας βίντεο...). Αλλά αν θέλετε να εντοπίσετε ύποπτες διεργασίες, πρέπει να προχωρήσετε λίγο περισσότερο.
Ένα βασικό βήμα είναι να ενεργοποιήσετε την επιλογή «Εμφάνιση διεργασιών από όλους τους χρήστες» (σε παλαιότερες εκδόσεις των Windows) ή βεβαιωθείτε ότι η Διαχείριση Εργασιών εμφανίζει όλα όσα εκτελούνται σε διαφορετικούς λογαριασμούς και υπηρεσίες. Αυτό θα σας δώσει μια πιο ολοκληρωμένη λίστα, συμπεριλαμβανομένων των υπηρεσιών συστήματος που ενδέχεται μερικές φορές να χρησιμοποιούνται από κακόβουλο λογισμικό.
Καρτέλα Λεπτομέρειες, Παρακολούθηση Πόρων και Ανάλυση Δικτύου
Η καρτέλα «Λεπτομέρειες» της Διαχείρισης Εργασιών Εδώ εμφανίζεται στην πραγματικότητα η πλήρης λίστα των διεργασιών που εκτελούνται. Κάθε εκτελέσιμο αρχείο εμφανίζεται εδώ, χωρίς να ομαδοποιείται, χρησιμοποιώντας το εσωτερικό του όνομα. Είναι η πιο κοντινή προβολή σε αυτό που βλέπει το ίδιο το λειτουργικό σύστημα.
Από αυτήν την καρτέλα μπορείτε να εντοπίσετε διεργασίες που φαίνονται περίεργες. Αναζητήστε διεργασίες που δεν αναγνωρίζετε, που έχουν πολύ γενικά ονόματα ή που καταναλώνουν πόρους σε ασυνήθιστο βαθμό. Εάν κάνετε δεξί κλικ σε οποιαδήποτε διεργασία, μπορείτε να επιλέξετε "Άνοιγμα τοποθεσίας αρχείου", κάτι που είναι απαραίτητο για να γνωρίζετε από πού προήλθε στην πραγματικότητα το εκτελέσιμο αρχείο.
Μια άλλη πολύ χρήσιμη στήλη είναι η στήλη "Όνομα διαδρομής εικόνας". (Σε ορισμένες μεταφράσεις, αυτό εμφανίζεται ως "Διαδρομή εικόνας"). Μπορείτε να το ενεργοποιήσετε κάνοντας δεξί κλικ στις κεφαλίδες των στηλών, επιλέγοντας "Επιλογή στηλών" και επιλέγοντας αυτήν την επιλογή. Αυτό θα σας δείξει την πλήρη διαδρομή του αρχείου πίσω από κάθε διεργασία.
Για να εμβαθύνουμε στη συμπεριφορά του δικτύουΑνοίξτε την καρτέλα "Απόδοση" και, στη συνέχεια, κάντε κλικ στην επιλογή "Άνοιγμα Resource Monitor". Στην καρτέλα "Δίκτυο" του Resource Monitor, θα δείτε ποιες διεργασίες δημιουργούν συνδέσεις, πόση επισκεψιμότητα στέλνουν και λαμβάνουν και σε ποιες διευθύνσεις IP. Εάν εντοπίσετε μια άγνωστη εφαρμογή που συνδέεται με ασυνήθιστες διευθύνσεις, αυτό αποτελεί ισχυρή ένδειξη ότι κάτι δεν πάει καλά.
Ελέγξτε τα προγράμματα εκκίνησης και το υπολειπόμενο εγκατεστημένο λογισμικό
Πολλές κρυφές διεργασίες διαπερνούν τη διαδικασία εκκίνησης των Windows.έτσι ώστε να ξεκινούν αυτόματα κάθε φορά που ενεργοποιείτε τον υπολογιστή σας. Αυτό εξηγεί γιατί, ακόμα και μετά το "κλείσιμο όλων", η χρήση μνήμης RAM παραμένει αρκετά υψηλή ή το σύστημα χρειάζεται πολύ χρόνο για να γίνει χρησιμοποιήσιμο.
Στη Διαχείριση Εργασιών υπάρχει η ενότητα "Εκκίνηση" (Στα Windows 11, εμφανίζεται στο πλευρικό μενού ως "Εφαρμογές εκκίνησης" και στα Windows 10 ως καρτέλα "Εκκίνηση"). Εκεί θα δείτε όλα τα προγράμματα που ξεκινούν αυτόματα όταν συνδέεστε.
Είναι φυσιολογικό να βρείτε βοηθητικά προγράμματα για την κάρτα γραφικών (NVIDIA, AMD), την κάρτα ήχου ή το ποντίκι.Και επίσης εφαρμογές που προτιμάτε να ανοίγουν αυτόματα επειδή τις χρησιμοποιείτε καθημερινά. Αλλά αν δείτε καταχωρήσεις χωρίς σαφή ονόματα, γενικές διαδικασίες όπως "Πρόγραμμα" ή αναφορές σε προγράμματα που απεγκαταστήσατε πριν από πολύ καιρό, αξίζουν την προσοχή σας.
Μπορείτε να απενεργοποιήσετε οποιοδήποτε στοιχείο εκκίνησης κάνοντας δεξί κλικ. που δεν θέλετε. Αυτό δεν διαγράφει το πρόγραμμα, απλώς το εμποδίζει να ξεκινήσει με τα Windows. Είναι ένας γρήγορος τρόπος για να ελέγξετε αν αυτή η μυστηριώδης διαδικασία ήταν η αιτία πίσω από την καθυστέρηση ή την υπερβολική χρήση μνήμης RAM.
Όταν ένα πρόγραμμα απεγκατασταθεί εσφαλμέναΕίναι σύνηθες τα Windows να αφήνουν ίχνη σε προγράμματα εκκίνησης, προγραμματισμένες εργασίες ή υπηρεσίες που προσπαθούν συνεχώς να εκκινήσουν, παρόλο που το εκτελέσιμο αρχείο δεν υπάρχει πλέον. Αυτές ονομάζονται "διεργασίες-φαντάσματα" ή "υπόλοιπες διεργασίες". Για να τις αναγνωρίσετε σωστά, χρειάζεστε ένα πιο εξειδικευμένο εργαλείο.
Αυτόματες Εκτελέσεις για Windows: Εντοπισμός και διαγραφή φανταστικών διεργασιών και υπολειμματικών υλικών
Η Microsoft προσφέρει ένα πολύ ισχυρό εργαλείο που ονομάζεται Autoruns για Windows δωρεάν.Μέρος της συλλογής Sysinternals που δημιουργήθηκε από τον Mark Russinovich, αυτή η εφαρμογή εμφανίζει απολύτως ΟΛΑ όσα εκτελούνται κατά την εκκίνηση του συστήματος ή συνδέεται με βασικά σημεία των Windows.
Από την επίσημη ιστοσελίδα του Microsoft Sysinternals Μπορείτε να κατεβάσετε το Autoruns σε μορφή ZIP. Μόλις εξαχθεί, απλώς ανοίξτε το "Autoruns.exe" ή το "Autoruns64.exe" ανάλογα με το σύστημά σας. Δεν απαιτεί εγκατάσταση. Είναι ένα φορητό εκτελέσιμο αρχείο.
Όταν ανοίξει, το Autoruns εμφανίζει μια τεράστια λίστα καταχωρήσεωνΠρογράμματα εκκίνησης, υπηρεσίες, επεκτάσεις Explorer, στοιχεία του Office, προγράμματα οδήγησης, προγραμματισμένες εργασίες κ.λπ. Στο επάνω μέρος μπορείτε να φιλτράρετε ανά κατηγορίες (Office, υπηρεσίες, πάροχοι δικτύου, LSA, υπηρεσίες εκτύπωσης…).
Ιδιαίτερη προσοχή πρέπει να δοθεί στις εισόδους που σημειώνονται με κίτρινο χρώμα.Αυτά συχνά αντιστοιχούν σε διεργασίες ή διαδρομές που δεν υπάρχουν πλέον στο σύστημα: υπολείμματα λογισμικού που απεγκαταστάθηκε βιαστικά, αυτοματοποιημένες διεργασίες που προσπαθούν συνεχώς να εκτελεστούν ή κατεστραμμένες διαδρομές. Θα δείτε επίσης στοιχεία σε άλλα χρώματα που υποδεικνύουν κρίσιμα ή ειδικά στοιχεία.
Εάν εντοπίσετε μια σαφώς υπολειμματική ή ύποπτη είσοδο (Για παράδειγμα, εάν πρόκειται για ένα πρόγραμμα που γνωρίζετε ότι έχετε ήδη καταργήσει ή για ένα άγνωστο στοιχείο), μπορείτε να κάνετε δεξί κλικ πάνω του. Το μενού περιβάλλοντος προσφέρει επιλογές όπως "Διαγραφή" για να το διαγράψετε, να ανοίξετε τη θέση του αρχείου, να σαρώσετε για ιούς ή να αναζητήσετε πληροφορίες στο διαδίκτυο σχετικά με το εκτελέσιμο αρχείο.
Το Autoruns είναι πολύ ισχυρό, αλλά και επικίνδυνο αν δεν ξέρετε τι κάνετε.Ο ίδιος ο συγγραφέας συνιστά αυτό να γίνει από έναν τεχνικό ή, τουλάχιστον, από έναν χρήστη με κάποια εμπειρία. Η διαγραφή βασικών καταχωρήσεων συστήματος, προγραμμάτων οδήγησης GPU ή στοιχείων υλικού μπορεί να σας αφήσει χωρίς ορισμένες λειτουργίες ή ακόμα και να προκαλέσει την αποτυχία σωστής εκκίνησης των Windows.
Το πλεονέκτημα είναι ότι, με λίγη προσοχή, μπορείτε να καθαρίσετε το σύστημα Αφαιρεί τα υπολείμματα εφαρμογών που δεν έχετε πλέον, εξαλείφει τις ψευδείς διαδικασίες εκκίνησης και εντοπίζει ύποπτους αυτοματισμούς που δεν είναι τόσο σαφείς στον παραδοσιακό Διαχειριστή Εργασιών.
Εξερεύνηση Διαδικασιών: Ο "Υπερτροφοδοτούμενος Διαχειριστής Εργασιών" της Microsoft
Αν η Διαχείριση Εργασιών δεν σας εξυπηρετεί,Η άμεση και επίσημη εναλλακτική λύση της Microsoft είναι η Process Explorer, ένα ακόμη διαμάντι της σουίτας Sysinternals. Έχει σχεδιαστεί για διαχειριστές συστημάτων και προχωρημένους χρήστες που χρειάζονται πλήρη έλεγχο και πολύ λεπτομερείς πληροφορίες για κάθε διεργασία.
Το Process Explorer μπορεί να ληφθεί από την ιστοσελίδα του Sysinternals. Έρχεται σε συμπιεσμένο αρχείο. Αποσυμπιέστε το σε οποιονδήποτε φάκελο και εκτελέστε το "procexp64.exe" εάν το σύστημά σας είναι 64-bit (ή την έκδοση 32-bit, εάν υπάρχει). Δεν απαιτεί εγκατάσταση και συνιστάται να το εκτελέσετε ως διαχειριστής για να δείτε όλες τις λεπτομέρειες.
Η διεπαφή εμφανίζει ένα ιεραρχικό δέντρο διεργασιώνόπου μπορείτε να δείτε καθαρά ποιο πρόγραμμα έχει ξεκινήσει ποιο, ποια νήματα έχει ανοιχτά, ποιο DLL χρησιμοποιεί και πολλά άλλα. Κάθε διεργασία χρωματίζεται ανάλογα με τον τύπο της και αυτά τα χρώματα μπορούν να διαμορφωθούν από το μενού Επιλογές > Διαμόρφωση χρωμάτων.
Ένα από τα μεγάλα πλεονεκτήματα του Process Explorer Σας επιτρέπει να ανοίξετε την τοποθεσία του εκτελέσιμου αρχείου, να δείτε τις ιδιότητες ασφαλείας του, τις εσωτερικές συμβολοσειρές κειμένου, τους περιγραφείς πρόσβασης, ακόμη και να αλληλεπιδράσετε με αυτό από τη γραμμή εντολών ή να δημιουργήσετε αρχεία μνήμης για προηγμένη ανάλυση.
Σε περίπτωση που θέλετε να αντικαταστήσετε πλήρως τη Διαχείριση ΕργασιώνΑπό το μενού Επιλογές, μπορείτε να επιλέξετε «Αντικατάσταση Διαχείρισης Εργασιών». Στη συνέχεια, όταν χρησιμοποιείτε τη συντόμευση Ctrl + Shift + Esc, θα ανοίξει η Εξερεύνηση Επεξεργασιών αντί για την τυπική Διαχείριση Εργασιών των Windows.
Ενσωμάτωση του Process Explorer με το VirusTotal για την ανίχνευση κακόβουλου λογισμικού
Η Εξερεύνηση Διαδικασιών δεν προορίζεται μόνο για να βλέπει τι εκτελείται.Βοηθά επίσης να προσδιοριστεί εάν είναι αξιόπιστο. Ένα από τα καλύτερα χαρακτηριστικά του, που ενσωματώθηκε πριν από χρόνια, είναι η ενσωμάτωσή του με το VirusTotal, τη γνωστή υπηρεσία που αναλύει αρχεία με δεκάδες μηχανές προστασίας από ιούς ταυτόχρονα.
Για να ενεργοποιήσετε αυτήν την ενσωμάτωσηΑνοίξτε την Εξερεύνηση Διεργασιών και μεταβείτε στο μενού Επιλογές > VirusTotal. Ενεργοποιήστε την επιλογή αποστολής hashes διεργασιών στο VirusTotal για ανάλυση (στην τρέχουσα έκδοση, αυτό γίνεται με ασφάλεια στέλνοντας μόνο το δακτυλικό αποτύπωμα αρχείου).
Με αυτόν τον τρόπο θα προστεθεί μια νέα στήλη στο κύριο παράθυρο. με το αποτέλεσμα της ανάλυσης κάθε διεργασίας. Θα δείτε κάτι όπως "0/70", "1/70" κ.λπ., που υποδεικνύει πόσες μηχανές προστασίας από ιούς την έχουν επισημάνει ως ύποπτη από το σύνολο.
Διεργασίες που εμφανίζονται με πράσινο χρώμα ή με 0 ανιχνεύσεις Γενικά θεωρούνται καθαρά, αν και τα ψευδώς αρνητικά αποτελέσματα είναι πάντα πιθανά. Εάν μια διεργασία εμφανίζεται με κόκκινο χρώμα ή με πολλαπλές ανιχνεύσεις, πιθανότατα πρόκειται για κακόβουλο λογισμικό ή, τουλάχιστον, για κάτι που αξίζει να διερευνηθεί.
Αν κάνετε κλικ στο αποτέλεσμα VirusTotalΣτη συνέχεια, θα ανοίξει η σελίδα ανάλυσης με εκτεταμένες πληροφορίες: ποιες μηχανές το εντόπισαν, σε ποια οικογένεια κακόβουλου λογισμικού μπορεί να ανήκει, παρατηρούμενη συμπεριφορά κ.λπ. Αυτές οι πληροφορίες είναι ανεκτίμητες για να αποφασίσετε εάν θα τερματίσετε τη διαδικασία και θα πραγματοποιήσετε έναν πιο βαθύ καθαρισμό με το λογισμικό προστασίας από ιούς.
Πώς να χρησιμοποιήσετε την Εξερεύνηση Διαδικασιών για να εντοπίσετε τη διαδρομή του κακόβουλου λογισμικού
Σε εργαστηριακά περιβάλλοντα ή εικονικές μηχανέςΕίναι σύνηθες για τους φοιτητές και τους αναλυτές ασφαλείας να χρησιμοποιούν το Process Explorer για να εντοπίσουν κακόβουλο λογισμικό και να μελετήσουν τη συμπεριφορά του. Μια τυπική εργασία είναι να βρουν την ακριβή διαδρομή του κακόβουλου εκτελέσιμου αρχείου, προκειμένου στη συνέχεια να το φορτώσουν σε ένα πρόγραμμα αποσυναρμολόγησης.
Συνήθως, αρκεί να εντοπίσουμε την ύποπτη διαδικασία. Στη λίστα, κάντε δεξί κλικ και χρησιμοποιήστε τις "Ιδιότητες" ή "Άνοιγμα τοποθεσίας αρχείου" για να μάθετε σε ποιον φάκελο βρίσκεται το δυαδικό αρχείο. Από εκεί, μπορείτε να το αντιγράψετε σε ένα άλλο ελεγχόμενο περιβάλλον για να το αναλύσετε με εργαλεία όπως το IDA, το Ghidra ή άλλα προγράμματα αποσυναρμολόγησης.
Το πρόβλημα προκύπτει όταν η κακόβουλο λογισμικό προσπαθεί να κρύψει την πορεία τουΑυτό μπορεί να συμβεί είτε επειδή χειραγωγεί το σύστημα είτε επειδή εισάγει τον κώδικά του σε νόμιμες διεργασίες. Σε αυτές τις περιπτώσεις, η Εξερεύνηση Διεργασιών μπορεί να σας δείξει τη διεργασία αλλά να μην προσδιορίσει με σαφήνεια το εκτελέσιμο αρχείο προέλευσης ή μπορεί απλώς να εμφανίσει ελλιπείς πληροφορίες.
Όταν συμβεί αυτό, συνιστάται να συνδυάσετε πολλά εργαλεία.: ελέγξτε το μητρώο (κλειδιά HKCU και HKLM Run και RunOnce), ελέγξτε τις προγραμματισμένες εργασίες, χρησιμοποιήστε το Autoruns για να δείτε τι εκκινείται κατά την εκκίνηση και, εάν είναι απαραίτητο, καταφύγετε σε συγκεκριμένα εργαλεία ανάλυσης κακόβουλου λογισμικού ή εικονικές μηχανές με προηγμένη παρακολούθηση συστήματος.
Σε κάθε περίπτωση, εάν εντοπίσετε μια διεργασία με ύποπτη συμπεριφορά Εάν το VirusTotal επισημάνει το αρχείο ως κακόβουλο, το πρώτο βήμα είναι να απομονώσετε τον επηρεαζόμενο υπολογιστή από το δίκτυο, να τερματίσετε τη διαδικασία, εάν είναι δυνατόν, και στη συνέχεια να σαρώσετε ή να καταργήσετε το δείγμα με μια εξειδικευμένη λύση ασφαλείας. Για περισσότερες πληροφορίες σχετικά με την Εξερεύνηση Διαδικασιών, ανατρέξτε στα εξής: επίσημη ιστοσελίδα των Windows.
Αποκάλυψη κρυφών αρχείων και φακέλων: ένα παράδειγμα από τον πραγματικό κόσμο χρησιμοποιώντας το κακόβουλο λογισμικό «Streamerdata»
Κάποια κακόβουλα προγράμματα δεν κρύβονται απλώς ως διεργασίεςΔεν κρύβουν μόνο τους φακέλους και τα αρχεία τους για να κάνουν την αφαίρεση πιο δύσκολη, αλλά τα αποκρύπτουν επίσης. Ένα τυπικό παράδειγμα είναι οι μολύνσεις που δημιουργούν κρυφούς καταλόγους στον ριζικό κατάλογο του δίσκου, όπως "C:\Streamerdata", και αναπαράγουν κενές συντομεύσεις σε όλο το σύστημα.
Σε αυτό το είδος σεναρίου, το antivirus ανιχνεύει συνεχώς την απειλή. (για παράδειγμα, Win64:Malware-gen), το στέλνει στα αρχεία και το διαγράφει... αλλά σύντομα επανεμφανίζεται. Εν τω μεταξύ, παρατηρείτε ότι το σύστημα είναι αργό, ότι υπάρχουν περίεργοι φάκελοι και συντομεύσεις, ακόμη και ότι μια διεργασία με ψεύτικο όνομα "εργαλείο προστασίας από ιούς" εμφανίζεται στη Διαχείριση εργασιών.
Μια τεχνική που έχουν χρησιμοποιήσει ορισμένοι χρήστες Περιλαμβάνει τη δημιουργία ενός αρχείου .bat με εντολές που καταργούν τα κρυφά, τα χαρακτηριστικά συστήματος και τα χαρακτηριστικά μόνο για ανάγνωση από όλα τα αρχεία σε μια μονάδα δίσκου. Κάτι παρόμοιο με:
attrib -r -a -h -s U:\*.* /S /D (όπου U είναι η μονάδα δίσκου που θα απολυμανθεί). Αυτό, όταν εκτελείται ως διαχειριστής, αναγκάζει τα πάντα να είναι ορατά, συμπεριλαμβανομένου του κακόβουλου φακέλου που προηγουμένως ήταν εντελώς κρυμμένος, επιτρέποντάς του να διαγραφεί χειροκίνητα.
Το μειονέκτημα της υπερβολικής χρήσης αυτών των τύπων σεναρίων Αυτό εκθέτει επίσης πολλούς φακέλους και αρχεία συστήματος που συνήθως είναι κρυμμένα για λόγους ασφαλείας: φακέλους ρυθμίσεων, αρχεία desktop.ini κ.λπ. Εάν δεν είστε προσεκτικοί και διαγράψετε ό,τι δεν πρέπει, μπορεί να κάνετε το σύστημά σας ασταθές.
Στο παράδειγμα «Streamerdata», αποκαλύπτοντας τα πάντα Αρχεία "desktop" (desktop.ini) άρχισαν να εμφανίζονται σε επιτραπέζιους υπολογιστές και σε διάφορους φακέλους και το ίδιο το σύστημα εμφάνιζε σφάλματα κατά την εκκίνηση, ενώ προσπαθούσε να εντοπίσει τον φάκελο κακόβουλου λογισμικού, ο οποίος είχε ήδη διαγραφεί. Αυτό είναι ένα σαφές παράδειγμα του πώς ο μη αυτόματος καθαρισμός χωρίς σωστή κατανόηση του τι κάνετε μπορεί να έχει απρόβλεπτες συνέπειες.
Αν βρεθείτε σε παρόμοια κατάστασηΗ συνιστώμενη προσέγγιση είναι να συνδυάσετε μια καλή σουίτα antivirus ή antimalware (Malwarebytes, ένα καλά ενημερωμένο Windows Defender κ.λπ.), ένα εργαλείο καθαρισμού εκκίνησης όπως το Autoruns και, εάν έχετε τροποποιήσει εκτενώς τα χαρακτηριστικά, να επαναρυθμίσετε τις επιλογές φακέλων ή να χρησιμοποιήσετε εργαλεία όπως Winaero Tweaker για να αποκρύψετε ξανά κρίσιμα αρχεία συστήματος που δεν πρέπει να τα βλέπετε ή να τα αγγίζετε σε καθημερινή βάση.
Έλεγχος του αρχείου και άλλες συμπληρωματικές τεχνικές
Κρυφές διεργασίες και επίμονο κακόβουλο λογισμικό Συχνά βασίζονται στο μητρώο των Windows για επανειλημμένη εκκίνηση. Η γνώση των πιο συνηθισμένων κλειδιών μητρώου βοηθάει πολύ στον εντοπισμό τους όταν άλλα εργαλεία δεν είναι σαφή.
Χρησιμοποιώντας την εντολή Win + R και πληκτρολογώντας "regedit"Στη συνέχεια, αποκτάτε πρόσβαση στον Επεξεργαστή Μητρώου (χρησιμοποιήστε αυτό το εργαλείο με εξαιρετική προσοχή). Οι πιο συνηθισμένες διαδρομές όπου καταχωρούνται προγράμματα που ξεκινούν με το σύστημα είναι:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run y HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Runόπου αποθηκεύονται εφαρμογές που ξεκινούν όταν συνδέεται ο τρέχων χρήστης ή οποιοσδήποτε χρήστης, αντίστοιχα. Αξίζει επίσης να σημειωθεί RunOnce, η οποία εκτελεί καταχωρήσεις μόνο μία φορά κατά την επόμενη εκκίνηση.
Η αναθεώρηση αυτών των κλειδιών ενδέχεται να αποκαλύψει άγνωστες καταχωρήσεις με ασυνήθιστες διαδρομές ή διαδρομές που οδηγούν σε προσωρινούς φακέλους, ασυνήθιστους καταλόγους προφίλ χρηστών ή τυχαία ονόματα αρχείων. Σε αυτές τις περιπτώσεις, είναι λογικό να είστε καχύποπτοι και, αφού δημιουργήσετε ένα αντίγραφο ασφαλείας, να διαγράψετε την καταχώρηση ή να την απενεργοποιήσετε ενώ σαρώνετε με λογισμικό προστασίας από ιούς.
Ένας άλλος πολύ αποτελεσματικός τρόπος είναι να χρησιμοποιήσετε τη γραμμή εντολών.Η εκτέλεση της εντολής "tasklist" σε ένα παράθυρο γραμμής εντολών με δικαιώματα διαχειριστή θα εμφανίσει μια πλήρη λίστα διεργασιών. Μπορείτε να τη συνδυάσετε με φίλτρα (με όνομα, PID, κ.λπ.) ή με άλλα εργαλεία όπως το "wmic" ή το "powershell" για να λάβετε πρόσθετες λεπτομέρειες.
Τέλος, δεν πρέπει να ξεχνάμε τον ρόλο του λογισμικού προστασίας από ιούς.Η διατήρησή του ενημερωμένου και η εκτέλεση πλήρων σαρώσεων συστήματος βοηθά στην ανίχνευση κρυφών διεργασιών που μεταμφιέζονται σε νόμιμες υπηρεσίες. Πολλά τρέχοντα προϊόντα παρακολουθούν επίσης τη συμπεριφορά σε πραγματικό χρόνο, αποκλείοντας διεργασίες που συμπεριφέρονται σαν κακόβουλο λογισμικό, ακόμη και αν το ίδιο το αρχείο δεν έχει ακόμη υπογραφεί στις βάσεις δεδομένων.
Αποκτήστε πραγματικό έλεγχο σε ό,τι εκτελείται στον υπολογιστή σας Περιλαμβάνει τον συνδυασμό όλων των παραπάνω: αποτελεσματική χρήση του Task Manager, αξιοποίηση του Autoruns και του Process Explorer, παρακολούθηση του μητρώου και εξάρτηση από ισχυρές λύσεις προστασίας από ιούς. Με αυτά τα εργαλεία, ο εντοπισμός κρυφών διεργασιών που δεν είναι άμεσα εμφανείς και η απόφαση για το τι θα κάνετε με αυτές παύει να είναι μυστήριο και γίνεται μια εργασία που, με λίγη εξάσκηση, μπορείτε να κατακτήσετε χωρίς να χρειάζεται να είστε επαγγελματίας χάκερ.
Παθιασμένος με την τεχνολογία από μικρός. Μου αρέσει να είμαι ενημερωμένος στον τομέα και, πάνω απ' όλα, να τον επικοινωνώ. Γι' αυτό έχω αφοσιωθεί στην επικοινωνία σε ιστότοπους τεχνολογίας και βιντεοπαιχνιδιών εδώ και πολλά χρόνια. Μπορείτε να με βρείτε να γράφω για Android, Windows, MacOS, iOS, Nintendo ή οποιοδήποτε άλλο σχετικό θέμα σας έρχεται στο μυαλό.