- Kaŝitaj procezoj povas esti malica programaro, sistemservoj aŭ programarrestaĵoj, kiuj konsumas rimedojn sen esti klare videblaj.
- La Task Manager, kune kun la langeto Detaloj kaj la Resource Monitor, permesas al vi malkovri suspektindajn procezojn kaj konektojn.
- Altnivelaj iloj kiel Autoruns kaj Process Explorer (kun VirusTotal) ofertas kompletan kontrolon super procezoj, ekfunkciigo kaj fantomaj restaĵoj.
- Kombini ĉi tiujn ilojn kun registro-kontrolado kaj bona antivirusilo estas ŝlosila por konservi rendimenton kaj sekurecon en Vindozo.
La komputilo funkcias malrapide sen ŝajna kialo.Se via RAM-uzado pliiĝas eĉ kiam vi ne havas ion malfermitan, aŭ se vi spertas malfruon dum ludado, tio kutime estas la unua signo, ke io estas malĝusta. Ofte, ni malfermas Task Manager serĉante la kulpulon... kaj nenio nekutima aperas. Jen kie komenciĝas la suspekto: eble estas kaŝitaj procezoj funkciantaj en la fono.
Vindozo konstante funkciigas dekojn da servoj kaj procezoj. En la fono funkcias diversaj programoj, kelkaj tute legitimaj kaj aliaj eble danĝeraj aŭ restantaj de neĝuste malinstalita programaro. Lerni detekti kio vere funkcias, preter tio, kion la norma Task Manager malkaŝas, estas ŝlosila por plibonigi rendimenton, plifortigi sekurecon kaj ĉasi malican programaron, kiu provas kaŝiĝi. Ni lernu ĉion pri tio. Kiel detekti kaŝitajn procezojn, kiuj ne aperas en la Task Manager.
Kio estas kaŝitaj procezoj kaj kial ili ne ĉiam aperas klare?
Ĉiu programo, kiu funkcias sur la komputilo, generas almenaŭ unu procezon kiu restas en la memoro por funkcii: de la retumilo aŭ ludo ĝis malgrandaj sistemaj servoj. La problemo estas, ke multaj el ĉi tiuj procezoj ne havas "homan" nomon kiel Chrome.exe aŭ Spotify.exe, sed prefere enigmajn identigilojn, kiuj malfaciligas scii, ĉu ili apartenas al Vindozo, legitima programo aŭ malica programaro.
Krome, ekzistas procezoj, kiujn vi ne povas vidi unuarigarde. en la langeto "Procezoj" de Task Manager ĉar ili estas grupigitaj, montrataj sub ĝeneralaj nomoj, aŭ dependas de sistemaj servoj. Iuj specoj de malica programaro ekspluatas tion, injektante kodon en legitimajn procezojn aŭ kaŝante sin malantaŭ ambiguaj servoj, igante ilin ekstreme malfacile lokeblaj por la averaĝa uzanto.
Eĉ post malinstalado de programojPovas esti "fantomaj restaĵoj": startigaj taskoj, servoj aŭ registro-eroj, kiuj daŭre provas funkcii en la fono. Vi ne vidos la instalitan programon, sed vi vidos ĝeneralan procezon nomatan "Programo" aŭ ion similan, konsumantan rimedojn sen provizi ian ajn utilan servon.
Estas ankaŭ ofte, ke kaŝitaj procezoj influas la reton: misteraj konektoj, uzado de bendolarĝo kiam vi ne devus havi ion ajn elŝutantan aŭ komunikantan kun la interreto, aŭ neklarigitaj pikoj en CPU- kaj memorkonsumo kiam la komputilo estas, teorie, en ripozo.
Uzante Task Manager laŭ ĝia plena potencialo: kion vi efektive povas vidi el Vindozo
Antaŭ ol ni transiros al progresintaj ilojIndas plene utiligi tion, kion la Task Manager mem ofertas. En Vindozo 10 kaj 11, ĝi estas multe pli potenca ol ŝajnas, se vi scias, kie serĉi kaj ŝanĝi iujn el la defaŭltaj agordoj.
Por rapide malfermi ĝinUzu la klavarmallongigon Ctrl + Shift + EscVi ankaŭ povas dekstre alklaki la taskobreton kaj elekti "Task Manager". Se ĝi malfermiĝas en simpligita reĝimo, alklaku "Pli da detaloj" por vidi la plenan interfacon kun ĉiuj langetoj.
En la langeto "Procezoj" vi vidos superrigardon CPU, RAM, disko, GPU, kaj reto-uzado laŭ aplikaĵo. Ĉi tie vi povas facile identigi la "grandajn ludantojn" (ludo, la retumilo, videoredaktilo...). Sed se vi volas kapti suspektindajn procezojn, vi devas iri iom pluen.
Ŝlosila paŝo estas aktivigi "Montri procezojn de ĉiuj uzantoj". (en pli malnovaj versioj de Vindozo) aŭ certigu, ke Task Manager montras ĉion funkciantan sub malsamaj kontoj kaj servoj. Tio donos al vi pli kompletan liston, inkluzive de sistemaj servoj, kiujn povas foje uzi malica programaro.
Langeto Detaloj, Rimeda Monitorilo kaj Reta Analizo
La langeto "Detaloj" de Task Manager Jen kie efektive aperas la kompleta listo de kurantaj procezoj. Ĉiu rulebla dosiero estas montrata ĉi tie, sen grupigo, uzante sian internan nomon. Ĝi estas la plej proksima vido al tio, kion la operaciumo mem vidas.
De ĉi tiu langeto vi povas trovi procezojn, kiuj aspektas strangaj. Serĉu procezojn, kiujn vi ne rekonas, kiuj havas tre ĝeneralajn nomojn, aŭ kiuj konsumas rimedojn nenormale. Se vi dekstre alklakas iun ajn procezon, vi povas "Malfermi dosierlokon", kio estas esenca por scii, de kie tiu efektive venis la efektivigebla dosiero.
Alia tre utila kolumno estas la kolumno "Nomo de la bildvojo". (En iuj tradukoj, ĉi tio aperas kiel "Bilda Vojo"). Vi povas aktivigi ĝin per dekstra klako sur la kolumnaj titoloj, elektante "Elekti Kolumnojn", kaj markante ĉi tiun opcion. Ĉi tio montros al vi la plenan vojon de la dosiero malantaŭ ĉiu procezo.
Por pliprofunde esplori la konduton de la retoMalfermu la langeton "Efikeco" kaj poste alklaku "Malfermi Rimedan Monitorilon". En la langeto "Reto" de Rimeda Monitorilo, vi vidos, kiuj procezoj establas konektojn, kiom da trafiko ili sendas kaj ricevas, kaj al kiuj IP-adresoj. Se vi detektas nekonatan aplikaĵon konektantan al nekutimaj adresoj, tio estas forta indiko, ke io estas malĝusta.
Revizii startigajn programojn kaj restantan neinstalitan programaron
Multaj kaŝitaj procezoj ŝteliras tra la startprocezo de Vindozo.do ili aŭtomate ekfunkcias ĉiufoje kiam vi ŝaltas vian komputilon. Tio klarigas kial, eĉ post "fermo de ĉio", la RAM-uzado restas sufiĉe alta aŭ la sistemo bezonas longan tempon por fariĝi uzebla.
En Task Manager vi havas la sekcion "Startigo" (En Vindozo 11, ĝi aperas en la flanka menuo kiel "Ekfunkciigaj aplikaĵoj", kaj en Vindozo 10 kiel la langeto "Ekfunkciigo"). Tie vi vidos ĉiujn programojn, kiuj lanĉiĝas aŭtomate kiam vi ensalutas.
Estas normale trovi ilojn por la grafikkarto (NVIDIA, AMD), sonkarto aŭ muso.Kaj ankaŭ aplikaĵojn, kiujn vi preferas malfermi aŭtomate, ĉar vi uzas ilin ĉiutage. Sed se vi vidas enskribojn sen klaraj nomoj, ĝeneralajn procezojn kiel "Programo", aŭ referencojn al programoj, kiujn vi malinstalis antaŭ longe, ili meritas vian atenton.
Vi povas malŝalti ajnan startigan elementon per dekstra klako. kiun vi ne volas. Ĉi tio ne forigas la programon, ĝi nur malhelpas ĝin komenciĝi per Vindozo. Ĝi estas rapida maniero kontroli ĉu tiu mistera procezo estis la kulpulo malantaŭ la malfruo aŭ troa RAM-uzado.
Kiam programo estas malinstalita malĝusteEstas ofte, ke Vindozo lasas spurojn en startigaj programoj, planitaj taskoj aŭ servoj, kiujn ĝi daŭre provas lanĉi, kvankam la rulebla dosiero jam ne ekzistas. Ĉi tiuj nomiĝas "fantomaj procezoj" aŭ "restantaj procezoj". Por ĝuste identigi ilin, vi bezonas pli specialigitan ilon.
Aŭtorfunkciigoj por Vindozo: Trovu kaj forigu fantomajn procezojn kaj restantajn materialojn
Mikrosofto ofertas senpage tre potencan ilon nomatan Autoruns por Vindozo.Parto de la kolekto Sysinternals kreita de Mark Russinovich, ĉi tiu aplikaĵo montras absolute ĈION, kio funkcias ĉe sistemstarto aŭ konektiĝas al ŝlosilaj punktoj en Vindozo.
De la oficiala retejo de Microsoft Sysinternals Vi povas elŝuti Autoruns en ZIP-formato. Post eltiro, simple malfermu "Autoruns.exe" aŭ "Autoruns64.exe" depende de via sistemo. Ĝi ne postulas instaladon; ĝi estas portebla rulebla dosiero.
Kiam malfermita, Autoruns montras grandegan liston de enigojStartigaj programoj, servoj, Explorer-etendaĵoj, oficejaj eroj, peliloj, planitaj taskoj, ktp. Supre vi povas filtri laŭ kategorioj (oficejo, servoj, retprovizantoj, LSA, presservoj...).
Speciala atento estu donita al la enirejoj markitaj per flava koloro.Tiuj ofte respondas al procezoj aŭ vojoj, kiuj jam ne ekzistas en la sistemo: restaĵoj de haste malinstalita programaro, aŭtomataj procezoj, kiuj daŭre provas funkcii, aŭ koruptitaj vojoj. Vi ankaŭ vidos elementojn en aliaj koloroj, kiuj indikas kritikajn aŭ specialajn komponantojn.
Se vi trovas klare restan aŭ suspektindan enirejon (Ekzemple, se temas pri programo, kiun vi scias, ke vi jam forigis, aŭ nekonata komponanto), vi povas dekstre alklaki ĝin. La kunteksta menuo ofertas eblojn kiel "Forigi" por forigi ĝin, malfermi la dosierlokon, skani virusojn aŭ serĉi informojn interrete pri la efektivigebla dosiero.
Autoruns estas tre potenca, sed ankaŭ danĝera se vi ne scias, kion vi faras.La aŭtoro mem rekomendas, ke ĉi tion pritraktu teknikisto aŭ, almenaŭ, uzanto kun iom da sperto. Forigi esencajn sistemajn erojn, GPU-pelilojn aŭ aparatarajn komponantojn povas lasi vin sen iuj funkcioj aŭ eĉ kaŭzi, ke Vindozo ne povu ĝuste starti.
La avantaĝo estas, ke kun iom da zorgo, vi povas purigi la sistemon Ĝi forigas restaĵojn de aplikaĵoj, kiujn vi jam ne havas, eliminas fantomajn startajn procezojn, kaj detektas suspektindajn aŭtomatigojn, kiuj ne estas tiel klaraj en la tradicia Task Manager.
Procesa Esplorilo: La "Superŝargita Taskmanaĝero" de Mikrosofto
Se Task Manager ne sufiĉas por viLa rekta kaj oficiala alternativo de Microsoft estas Process Explorer, alia trezoro el la Sysinternals-pakaĵo. Ĝi estas destinita por sistemadministrantoj kaj progresintaj uzantoj, kiuj bezonas kompletan kontrolon kaj tre fajnajn detalojn pri ĉiu procezo.
Process Explorer estas elŝutebla de la retejo Sysinternals. Ĝi venas en kunpremita dosiero. Malzipu ĝin al iu ajn dosierujo kaj lanĉu "procexp64.exe" se via sistemo estas 64-bita (aŭ la 32-bita versio se aplikeble). Ĝi ne postulas instaladon, kaj estas rekomendinde lanĉi ĝin kiel administranto por vidi ĉiujn detalojn.
La interfaco montras hierarkian procezarbonkie vi povas klare vidi kiu programo lanĉis kiun, kiujn fadenojn ĝi malfermis, kiun DLL-dosieron ĝi uzas, kaj multe pli. Ĉiu procezo estas kolorigita laŭ sia tipo, kaj ĉi tiuj koloroj estas agordeblaj el la menuo Opcioj > Agordi Kolorojn.
Unu el la grandaj avantaĝoj de Process Explorer Ĝi permesas al vi malfermi la lokon de la efektivigebla dosiero, vidi ĝiajn sekurecajn ecojn, internajn tekstajn ĉenojn, alirpriskribojn, kaj eĉ interagi kun ĝi de la komandlinio aŭ generi memorrubejojn por altnivela analizo.
Se vi volas tute anstataŭigi la Task ManagerEl la menuo Opcioj, vi povas elekti "Anstataŭigi Task Manager". Post tio, kiam vi uzas la klavaron Ctrl + Shift + Esc, Process Explorer malfermiĝos anstataŭ la norma Windows Task Manager.
Integriĝo de Process Explorer kun VirusTotal por detekti malican programaron
Procesa Esplorilo ne nur celas vidi kio funkcias.Ĝi ankaŭ helpas determini ĉu ĝi estas fidinda. Unu el ĝiaj plej bonaj trajtoj, enkorpigita antaŭ jaroj, estas ĝia integriĝo kun VirusTotal, la konata servo kiu analizas dosierojn per dekoj da antivirusiloj samtempe.
Por aktivigi ĉi tiun integriĝonMalfermu Procesesplorilon kaj iru al la menuo Opcioj > VirusTotal. Ebligu la opcion sendi procezajn haŝojn al VirusTotal por analizo (en la nuna versio, tio estas farata sekure sendante nur la dosierfingrospuron).
Fari tion aldonos novan kolumnon al la ĉefa fenestro. kun la rezulto de la analizo de ĉiu procezo. Vi vidos ion kiel "0/70", "1/70", ktp., indikante kiom da antivirusiloj markas ĝin kiel suspektindan el la tuto.
Procezoj kiuj aperas verdkoloraj aŭ kun 0 detektoj Ili ĝenerale estas konsiderataj puraj, kvankam falsaj negativoj ĉiam eblas. Se procezo aperas ruĝe aŭ kun pluraj detektoj, ĝi estas tre verŝajne malica programaro aŭ, almenaŭ, io inda esplori.
Se vi alklakas la rezulton de VirusTotalLa analiza paĝo tiam malfermiĝos kun pliaj informoj: kiuj motoroj detektis ĝin, al kiu familio de malica programaro ĝi eble apartenas, observita konduto, ktp. Ĉi tiu informo estas valorega por decidi ĉu fini la procezon kaj fari pli profundan purigadon per via antivirusilo.
Kiel uzi Process Explorer por malkovri la vojon de malica programaro
En laboratorio-medioj aŭ virtualaj maŝinojEstas ofte, ke studentoj kaj sekurecanalizistoj uzas Process Explorer por trovi malican programaron kaj studi ĝian konduton. Tipa tasko estas trovi la precizan vojon de la malica rulebla dosiero por poste ŝargi ĝin en malmuntilon.
Kutime, sufiĉas lokalizi la suspektindan procezon. En la listo, dekstre-klaku kaj uzu "Propraĵoj" aŭ "Malfermi dosierlokon" por ekscii en kiu dosierujo troviĝas la duuma dosiero. De tie, vi povas kopii ĝin al alia kontrolita medio por analizi ĝin per iloj kiel IDA, Ghidra aŭ aliaj malmuntiloj.
La problemo ekestas kiam la sendosiera malica programaro provas kaŝi sian itineronTio povas okazi aŭ ĉar ĝi manipulas la sistemon aŭ ĉar ĝi injektas sian kodon en legitimajn procezojn. En tiaj kazoj, Process Explorer eble montros al vi la procezon sed ne klare identigos la fontan efektivigeblan dosieron, aŭ ĝi eble simple montros nekompletajn informojn.
Kiam tio okazas, estas konsilinde kombini plurajn ilojn.: reviziu la registron (ŝlosilojn HKCU kaj HKLM Run kaj RunOnce), kontrolu planitajn taskojn, uzu Autoruns por vidi kio lanĉiĝas ĉe la starto kaj, se necese, uzu specifajn ilojn por analizi malicajn programojn aŭ virtualajn maŝinojn kun altnivela sistemmonitorado.
Ĉiukaze, se vi detektas procezon kun suspektinda konduto Se VirusTotal markas la dosieron kiel malican, la unua paŝo estas izoli la trafitan maŝinon de la reto, ĉesigi la procezon se eble, kaj poste skani aŭ forigi la specimenon per specialigita sekureca solvo. Por pliaj informoj pri Process Explorer, vidu la jenon: oficiala retejo de Vindozo.
Malkaŝi kaŝitajn dosierojn kaj dosierujojn: real-monda ekzemplo uzante la malica programaro "Streamerdata"
Iuj malica programaro ne nur kaŝiĝas kiel procezojIli ne nur kaŝas siajn dosierujojn kaj dosierojn por malfaciligi forigon, sed ili ankaŭ kaŝas ilin. Tipa ekzemplo estas infektoj kiuj kreas kaŝitajn dosierujojn en la radika dosierujo de la disko, kiel ekzemple "C:\Streamerdata", kaj ripetas malplenajn mallongigojn tra la tuta sistemo.
En ĉi tiu speco de scenaro, la antivirusilo kontinue detektas la minacon (ekzemple, Win64:Malware-gen), ĝi sendas ĝin al la arkivoj kaj forigas ĝin… sed ĝi baldaŭ reaperas. Dume, vi rimarkas, ke la sistemo estas malvigla, ke estas strangaj dosierujoj kaj mallongigoj, kaj eĉ ke procezo kun falsa nomo "kontraŭvirusilo" aperas en la Taskadministrilo.
Tekniko, kiun iuj uzantoj uzis Ĝi implicas krei .bat-dosieron kun komandoj kiuj forigas kaŝitajn, sistemajn kaj nurlegeblajn atributojn de ĉiuj dosieroj sur disko. Io simila al:
atributo -r -a -h -s U:\*.* /S /D (kie U estas la disko desinfektenda). Ĉi tio, kiam funkciigata kiel administranto, devigas ĉion esti videbla, inkluzive de la malica dosierujo kiu antaŭe estis tute kaŝita, permesante ĝian forigon permane.
La malavantaĝo de trouzado de ĉi tiuj specoj de skriptoj Tio ankaŭ malkaŝas multajn sistemajn dosierujojn kaj dosierojn, kiuj normale estas kaŝitaj pro sekurecaj kialoj: agordaj dosierujoj, desktop.ini dosieroj, ktp. Se vi ne estas singarda kaj forigas tion, kion vi ne devus, vi povas igi vian sistemon malstabila.
En la ekzemplo de "Streamerdata", malkovrante ĉion Dosieroj "desktop" (desktop.ini) komencis aperi sur labortabloj kaj en diversaj dosierujoj, kaj la sistemo mem montris erarojn ĉe la starto provante trovi la dosierujon de malica programaro, kiu jam estis forigita. Jen klara ekzemplo de kiel mana purigo sen ĝusta kompreno pri tio, kion vi faras, povas havi neintencitajn sekvojn.
Se vi trovas vin en simila situacioLa rekomendinda aliro estas kombini bonan antivirusan aŭ kontraŭmalican programaron (Malwarebytes, bone ĝisdatigita Windows Defender, ktp.), ilon por purigi noventreprenojn kiel Autoruns, kaj, se vi multe modifis atributojn, reagordi dosierujajn opciojn aŭ uzi ilojn kiel Winaero Tweaker por denove kaŝi kritikajn sistemdosierojn, kiujn oni ne devus vidi aŭ tuŝi ĉiutage.
Kontrolado de la rekordo kaj aliaj komplementaj teknikoj
Kaŝitaj procezoj kaj persista malica programaro Ili ofte dependas de la Vindoza registro por plurfoje starti. Scii la plej oftajn registroŝlosilojn multe helpas trovi ilin kiam aliaj iloj estas nekonkludeblaj.
Uzante la komandon Win + R kaj tajpante "regedit"Vi tiam aliras la Registro-Redaktilon (uzu ĉi tiun ilon kun ekstrema singardo). La plej oftaj vojoj kie programoj kiuj komenciĝas per la sistemo estas registritaj estas:
HKEY_CURRENT_USER \ Programaro \ Microsoft \ Windows \ CurrentVersion \ Run y HKEY_LOCAL_MACHINE \ Programaro \ Microsoft \ Windows \ CurrentVersion \ Runkie estas konservitaj aplikaĵoj kiuj lanĉiĝas kiam la nuna uzanto aŭ iu ajn uzanto ensalutas, respektive. Ankaŭ rimarkinda RunOnce, kiu efektivigas enigojn nur unufoje ĉe la sekva startigo.
Revizio de ĉi tiuj ŝlosiloj povas malkaŝi nekonatajn enirojn kun nekutimaj vojoj aŭ tiuj, kiuj montras al provizoraj dosierujoj, nekutimaj dosierujoj de uzantoprofiloj aŭ hazardaj dosiernomoj. En tiaj kazoj, estas racie esti suspektema kaj, post fari sekurkopion, forigi la eniron aŭ malŝalti ĝin dum vi skanas per antivirusa programaro.
Alia tre efika maniero estas uzi la komandlinionRuli "tasklist" en komandlinia fenestro kun administrantaj rajtoj montros kompletan liston de procezoj. Vi povas kombini tion kun filtriloj (laŭ nomo, PID, ktp.) aŭ kun aliaj iloj kiel "wmic" aŭ "powershell" por akiri pliajn detalojn.
Fine, ni ne devas forgesi la rolon de antivirusa programaroĜisdatigita kaj plenumado de plenaj sistemskanadoj helpas detekti kaŝitajn procezojn kaŝitajn kiel legitimaj servoj. Multaj nunaj produktoj ankaŭ monitoras konduton en reala tempo, blokante procezojn, kiuj kondutas kiel malica programaro, eĉ se la dosiero mem ankoraŭ ne estas subskribita en la datumbazoj.
Havu veran kontrolon pri tio, kio funkcias sur via komputilo Ĝi implicas kombini ĉion supre menciitan: efike uzi Task Manager, utiligi Autoruns kaj Process Explorer, monitori la registron, kaj fidi je fortikaj antivirusaj solvoj. Per ĉi tiuj iloj, trovi kaŝitajn procezojn, kiuj ne estas tuj evidentaj, kaj decidi, kion fari kun ili, ĉesas esti mistero kaj fariĝas tasko, kiun, kun iom da praktiko, vi povas majstri sen devi esti profesia retpirato.
Pasiigita pri teknologio ekde li estis malgranda. Mi amas esti ĝisdatigita en la sektoro kaj ĉefe komuniki ĝin. Tial mi jam de multaj jaroj dediĉas min al komunikado en teknologiaj kaj videoludaj retejoj. Vi povas trovi min skribante pri Android, Vindozo, MacOS, iOS, Nintendo aŭ ajna alia rilata temo, kiu venas al la menso.