- Ferburgen prosessen kinne malware, systeemtsjinsten of software-oerbliuwsels wêze dy't boarnen ferbrûke sûnder dúdlik sichtber te wêzen.
- De Taakbehearder, tegearre mei it ljepblêd Details en de Boarnenmonitor, lit jo fertochte prosessen en ferbiningen ûntdekke.
- Avansearre ark lykas Autoruns en Process Explorer (mei VirusTotal) biede folsleine kontrôle oer prosessen, opstarten en fantoomresten.
- It kombinearjen fan dizze ark mei registerkontrôle en in goede antivirus is de kaai foar it behâld fan prestaasjes en feiligens yn Windows.
De PC rint stadich sûnder dúdlike reden.As jo RAM-gebrûk omheech giet, sels as jo neat iepen hawwe, of as jo fertraging ûnderfine by it gamen, is dat meastal it earste teken dat der wat mis is. Faak iepenje wy Taakbehearder op syk nei de skuldige ... en ferskynt der neat ûngewoans. Dêr begjint it fermoeden: der kinne ferburgen prosessen op 'e eftergrûn rinne.
Windows rint konstant tsientallen tsjinsten en prosessen út. Op 'e eftergrûn rinne ferskate programma's, guon folslein legitiem en oaren potinsjeel gefaarlik of oerbliuwsels fan ferkeard deynstallearre software. Learje te detektearjen wat der echt rint, bûten wat de standert Taakbehearder sjen lit, is de kaai foar it ferbetterjen fan prestaasjes, it fersterkjen fan feiligens en it opspoaren fan malware dy't besiket te ferbergjen. Litte wy der alles oer leare. Hoe kinne jo ferburgen prosessen detektearje dy't net ferskine yn Taakbehearder.
Wat binne ferburgen prosessen en wêrom ferskine se net altyd dúdlik?
Elk programma dat op 'e kompjûter rint genereart teminsten ien proses dat yn it ûnthâld bliuwt om te funksjonearjen: fan 'e browser of in spultsje oant lytse systeemtsjinsten. It probleem is dat in protte fan dizze prosessen gjin "minsklike" namme hawwe lykas Chrome.exe of Spotify.exe, mar earder kryptyske identifikaasjes dy't it lestich meitsje om te witten oft se ta Windows, in legitiem programma of malware hearre.
Fierder binne der prosessen dy't jo op it earste each net sjogge. yn it ljepblêd "Prosessen" fan Taakbehearder, om't se groepearre binne, werjûn binne ûnder generike nammen, of ôfhinklik binne fan systeemtsjinsten. Guon soarten malware meitsje hjir gebrûk fan, ynjeksjearje koade yn legitime prosessen of ferbergje har efter dûbelsinnige tsjinsten, wêrtroch't se ekstreem lestich te finen binne foar de gemiddelde brûker.
Sels nei it deynstallearjen fan programma'sDer kinne "spoekresten" wêze: opstarttaken, tsjinsten of registeryngongen dy't op 'e eftergrûn bliuwe besykje te rinnen. Jo sille it ynstalleare programma net sjen, mar jo sille in generyk proses sjen mei de namme "Programma" of soksawat, dat boarnen brûkt sûnder in nuttige tsjinst te leverjen.
It is ek gewoan dat ferburgen prosessen it netwurk beynfloedzje: mysterieuze ferbiningen, bânbreedtegebrûk as jo neat downloade of kommunisearje moatte mei it ynternet, of ûnferklearbere pieken yn CPU- en ûnthâldgebrûk as de kompjûter, yn teory, yn rêst is.
Taakbehearder folslein brûke: wat jo eins kinne sjen fanút Windows
Foardat wy trochgean nei avansearre arkIt is de muoite wurdich om folslein gebrûk te meitsjen fan wat de Task Manager sels biedt. Yn Windows 10 en 11 is it folle machtiger as it liket as jo witte wêr't jo sykje moatte en guon fan 'e standertynstellingen feroarje moatte.
Om it gau te iepenjenBrûk de toetseboerdkoarting Ctrl + Shift + EscJo kinne ek mei de rjochtermûsknop op de taakbalke klikke en "Taakbehearder" kieze. As it yn ferienfâldige modus iepenet, klik dan op "Mear details" om de folsleine ynterface mei alle ljepblêden te sjen.
Yn it ljepblêd "Prosessen" sjogge jo in oersjoch CPU-, RAM-, skiif-, GPU- en netwurkgebrûk per applikaasje. Hjir kinne jo maklik de "grutte spilers" identifisearje (in spultsje, de browser, in fideoredakteur...). Mar as jo fertochte prosessen fange wolle, moatte jo wat fierder gean.
In wichtige stap is om "Prosessen fan alle brûkers sjen litte" te aktivearjen (op âldere ferzjes fan Windows) of soargje derfoar dat Taakbehearder alles werjout dat ûnder ferskate akkounts en tsjinsten rint. Dit sil jo in folsleinere list jaan, ynklusyf systeemtsjinsten dy't soms brûkt wurde kinne troch malware.
Tabblêd Details, Boarnemonitor en Netwurkanalyse
It ljepblêd "Details" fan Taakbehearder Hjir ferskynt de folsleine list mei rinnende prosessen eins. Elk útfierber bestân wurdt hjir werjûn, sûnder groepearre te wêzen, mei syn ynterne namme. It is de tichtste werjefte dy't by it bestjoeringssysteem sels past.
Fanút dit ljepblêd kinne jo prosessen fine dy't der frjemd útsjogge. Sykje nei prosessen dy't jo net werkenne, dy't tige generike nammen hawwe, of dy't abnormaal boarnen brûke. As jo mei de rjochtermûsknop op in proses klikke, kinne jo "Triemlokaasje iepenje", wat essensjeel is om te witten wêr't dat útfierbere bestân eins weikomt.
In oare tige nuttige kolom is de kolom "Ofbyldingspadnamme". (Yn guon oersettings ferskynt dit as "Ofbyldingspad"). Jo kinne it aktivearje troch mei de rjochtermûsknop te klikken op de kolomkoppen, "Kolommen selektearje" te kiezen en dizze opsje oan te vinken. Dit sil jo it folsleine paad fan it bestân efter elk proses sjen litte.
Om djipper te dûken yn netwurkgedrachIepenje it ljepblêd "Prestaasjes" en klik dan op "Iepenje Boarnemonitor". Yn it ljepblêd "Netwurk" fan Boarnemonitor sille jo sjen hokker prosessen ferbiningen meitsje, hoefolle ferkear se ferstjoere en ûntfange, en nei hokker IP-adressen. As jo in ûnbekende applikaasje fernimme dy't ferbining makket mei ûngewoane adressen, is dat in sterke oanwizing dat der wat mis is.
Kontrolearje opstartprogramma's en oerbleaune net-ynstalleare software
In protte ferburgen prosessen slupe troch it opstartproses fan Windows.sadat se automatysk begjinne elke kear as jo jo kompjûter oansette. Dit ferklearret wêrom't, sels nei it "sluten fan alles", it RAM-gebrûk frij heech bliuwt of it systeem lang duorret foardat it brûkber wurdt.
Yn Taakbehearder hawwe jo de seksje "Opstarten" (Yn Windows 11 ferskynt it yn it sydmenu as "Opstart-apps", en yn Windows 10 as it ljepblêd "Opstart"). Dêr sjogge jo alle programma's dy't automatysk starte as jo ynlogge.
It is normaal om hulpprogramma's te finen foar de grafyske kaart (NVIDIA, AMD), lûdskaart of mûs.En ek apps dy't jo leaver automatysk iepenje wolle, om't jo se deistich brûke. Mar as jo yngongen sûnder dúdlike nammen sjogge, generike prosessen lykas "Programma", of ferwizings nei programma's dy't jo lang lyn deynstallearre hawwe, fertsjinje se jo oandacht.
Jo kinne elk opstartitem útskeakelje troch mei de rjochtermûsknop te klikken. dat jo net wolle. Dit wisket it programma net, it foarkomt allinich dat it mei Windows opstart. It is in rappe manier om te kontrolearjen oft dat mysterieuze proses de skuldige wie efter de fertraging of it oermjittige RAM-gebrûk.
As in programma ferkeard deynstallearre wurdtIt is gewoan dat Windows spoaren efterlit yn opstartprogramma's, plande taken of tsjinsten dy't it bliuwt besykje te starten, sels as it útfierbere bestân net mear bestiet. Dizze wurde "spoekprosessen" of "oerbleaune prosessen" neamd. Om se goed te identifisearjen, hawwe jo in mear spesjalisearre ark nedich.
Autoruns foar Windows: Sykje en wiskje fantoomprosessen en oerbleaune materialen
Microsoft biedt in heul krêftige ark oan mei de namme Autoruns foar Windows fergees.Dizze applikaasje, ûnderdiel fan 'e Sysinternals-kolleksje makke troch Mark Russinovich, lit absolút ALLES sjen dat rint by it opstarten fan it systeem of ferbynt mei wichtige punten yn Windows.
Fan 'e offisjele Microsoft Sysinternals-webside Jo kinne Autoruns downloade yn ZIP-formaat. Sadree't it útpakt is, iepenje gewoan "Autoruns.exe" of "Autoruns64.exe" ôfhinklik fan jo systeem. It fereasket gjin ynstallaasje; it is in draachber útfierber bestân.
As it iepene wurdt, toant Autoruns in enoarme list mei yngongenOpstartprogramma's, tsjinsten, Explorer-útwreidings, Office-items, stjoerprogramma's, plande taken, ensfh. Boppe-oan kinne jo filterje op kategoryen (Office, tsjinsten, netwurkproviders, LSA, printtsjinsten...).
Spesjale oandacht moat bestege wurde oan de yngongen dy't yn giel markearre binne.Dizze komme faak oerien mei prosessen of paden dy't net mear yn it systeem besteane: oerbliuwsels fan hastich deynstallearre software, automatisearre prosessen dy't bliuwe besykje te rinnen, of beskeadige paden. Jo sille ek eleminten yn oare kleuren sjen dy't krityske of spesjale komponinten oanjaan.
As jo in dúdlik oerbleaune of fertochte yngong fine (Bygelyks, as it in programma is dat jo witte dat jo al fuortsmiten hawwe of in ûnbekende komponint), kinne jo der mei de rjochtermûsknop op klikke. It kontekstmenu biedt opsjes lykas "Wiskje" om it te wiskjen, de bestânslokaasje te iepenjen, te scannen op firussen, of online te sykjen nei ynformaasje oer it útfierbere bestân.
Autoruns is tige krêftich, mar ek gefaarlik as jo net witte wat jo dogge.De auteur sels advisearret dat dit dien wurdt troch in technikus of, op syn minst, in brûker mei wat ûnderfining. It wiskjen fan essensjele systeemynfieringen, GPU-stjoerprogramma's of hardwarekomponinten kin jo sûnder funksjes litte of sels feroarsaakje dat Windows net goed opstart.
It foardiel is dat jo, mei wat soarch, it systeem skjinmeitsje kinne It ferwideret oerbliuwsels fan applikaasjes dy't jo net mear hawwe, elimineert fantoomopstartprosessen en detektearret fertochte automatisearrings dy't net sa dúdlik binne yn 'e tradisjonele Taakbehearder.
Process Explorer: Microsoft's "Supercharged Task Manager"
As Taakbehearder tekoart komt foar joMicrosoft's direkte en offisjele alternatyf is Process Explorer, in oar juwiel út 'e Sysinternals-suite. It is ûntworpen foar systeembehearders en avansearre brûkers dy't folsleine kontrôle en heul fyn details oer elk proses nedich binne.
Process Explorer kin ynladen wurde fan 'e Sysinternals-webside. It komt yn in komprimearre bestân. Pak it út nei in map en fier "procexp64.exe" út as jo systeem 64-bit is (of de 32-bit ferzje as fan tapassing). It fereasket gjin ynstallaasje, en it is oan te rieden om it as behearder út te fieren om alle details te sjen.
De ynterface toant in hiërargyske prosesbeamwêr't jo dúdlik kinne sjen hokker programma hokker programma lansearre hat, hokker threads it iepen hat, hokker DLL it brûkt, en folle mear. Elk proses is kleurd neffens syn type, en dizze kleuren binne konfigurearber fanút it menu Opsjes > Kleuren ynstelle.
Ien fan 'e grutte foardielen fan Process Explorer It lit jo de lokaasje fan it útfierbere bestân iepenje, de feiligenseigenskippen en ynterne tekststrings besjen, tagong krije ta deskriptoren, en sels mei it ynteraksje fanút de kommandorigel of ûnthâlddumps generearje foar avansearre analyze.
As jo de Task Manager folslein ferfange wolleFanút it menu Opsjes kinne jo "Taakbehearder ferfange" selektearje. Dêrnei, as jo de fluchtoets Ctrl + Shift + Esc brûke, sil Process Explorer iepenje ynstee fan 'e standert Windows Taakbehearder.
Yntegraasje fan Process Explorer mei VirusTotal om malware te detektearjen
Process Explorer is net allinich om te sjen wat der rint.It helpt ek te bepalen oft it betrouber is. Ien fan syn bêste funksjes, jierren lyn yntegrearre, is syn yntegraasje mei VirusTotal, de bekende tsjinst dy't bestannen tagelyk analysearret mei tsientallen antivirusmotors.
Om dizze yntegraasje te aktivearjenIepenje Process Explorer en gean nei it menu Opsjes > VirusTotal. Skeakelje de opsje yn om proseshashes nei VirusTotal te stjoeren foar analyze (yn 'e hjoeddeiske ferzje wurdt dit feilich dien troch allinich de bestânsfingerprint te ferstjoeren).
As jo dit dogge, wurdt in nije kolom tafoege oan it haadfinster. mei it resultaat fan 'e analyze fan elk proses. Jo sille soksawat sjen as "0/70", "1/70", ensfh., wat oanjout hoefolle antivirus-motors it as fertocht markearje fan it totaal.
Prosessen dy't yn grien ferskine of mei 0 deteksjes Se wurde oer it algemien as skjin beskôge, hoewol falske negativen altyd mooglik binne. As in proses yn read ferskynt of mei meardere deteksjes, is it tige wierskynlik malware of, op syn minst, wat it ûndersykjen wurdich is.
As jo op it VirusTotal-resultaat klikkeDe analyseside sil dan iepenje mei útwreide ynformaasje: hokker motors it ûntdutsen hawwe, ta hokker malwarefamylje it heart, waarnommen gedrach, ensfh. Dizze ynformaasje is fan ûnskatbere wearde om te besluten oft jo it proses moatte beëinigje en in djippere skjinmeitsing moatte útfiere mei jo antivirussoftware.
Hoe kinne jo Process Explorer brûke om it paad fan malware te ûntdekken
Yn laboratoariumomjouwings of firtuele masinesIt is gewoan foar studinten en feiligensanalysten om Process Explorer te brûken om malware te lokalisearjen en it gedrach dêrfan te bestudearjen. In typyske taak is om it krekte paad fan it kweade útfierbere bestân te finen om it dan yn in disassembler te laden.
Meastentiids is it genôch om it fertochte proses te lokalisearjen. Klik yn 'e list mei rjochts en brûk "Eigenskippen" of "Triemlokaasje iepenje" om út te finen yn hokker map it binêre bestân is. Fan dêrút kinne jo it kopiearje nei in oare kontroleare omjouwing om it te analysearjen mei ark lykas IDA, Ghidra of oare disassemblearders.
It probleem ûntstiet wannear't de fileless malware besiket syn rûte te ferbergjenDit kin barre om't it it systeem manipulearret of om't it syn koade yn legitime prosessen ynjektearret. Yn dizze gefallen kin Process Explorer jo it proses sjen litte, mar de boarneútfierbere net dúdlik identifisearje, of it kin gewoan ûnfolsleine ynformaasje werjaan.
As dit bart, is it oan te rieden om ferskate ark te kombinearjen.: kontrolearje it register (HKCU en HKLM Run en RunOnce kaaien), kontrolearje plande taken, brûk Autoruns om te sjen wat der by opstarten lansearre wurdt en, as it nedich is, brûk spesifike malware-analyse-ark of firtuele masines mei avansearre systeemmonitoring.
Yn alle gefallen, as jo in proses mei fertocht gedrach detektearje As VirusTotal it bestân as kwea-aardich markearret, is de earste stap om de troffen masine fan it netwurk te isolearjen, it proses te beëinigjen as it mooglik is, en dan it foarbyld te scannen of te ferwiderjen mei in spesjalisearre befeiligingsoplossing. Foar mear ynformaasje oer Process Explorer, sjoch it folgjende: offisjele Windows-webside.
Ferburgen bestannen en mappen iepenbierje: in foarbyld út 'e praktyk mei de malware "Streamerdata"
Guon malware ferberget him net allinich as prosessenSe ferbergje net allinich har mappen en bestannen om it fuortheljen dreger te meitsjen, mar se ferbergje se ek. In typysk foarbyld binne ynfeksjes dy't ferburgen mappen oanmeitsje yn 'e rootmap fan' e skiif, lykas "C:\Streamerdata", en lege fluchtoetsen troch it heule systeem replikearje.
Yn dit soarte senario detektearret de antivirus de bedriging kontinu (bygelyks Win64:Malware-gen), it stjoert it nei it argyf en wisket it ... mar it ferskynt al gau wer. Underwilens fernimme jo dat it systeem traach is, dat d'r frjemde mappen en fluchtoetsen binne, en sels dat in proses mei in falske "antivirus-ark"-namme ferskynt yn 'e Taakbehearder.
In technyk dy't guon brûkers brûkt hawwe It giet om it meitsjen fan in .bat-bestân mei kommando's dy't ferburgen, systeem- en allinich-lêzen-attributen fuortsmite fan alle bestannen op in skiif. Iets fergelykber mei:
attribút -r -a -h -s U:\*.* /S /D (wêrby't U de skiif is dy't desinfisearre wurde moat). Dit, as it as behearder útfierd wurdt, twingt alles om sichtber te wêzen, ynklusyf de kweade map dy't earder folslein ferburgen wie, wêrtroch't it manuell wiske wurde kin.
It neidiel fan it oermjittich brûken fan dit soarte skripts Dit bleatstelt ek in protte systeemmappen en bestannen dy't normaal ferburgen binne om feiligensredenen: konfiguraasjemappen, desktop.ini-bestannen, ensfh. As jo net foarsichtich binne en wiskje wat jo net wiskje moatte, kinne jo jo systeem ynstabyl meitsje.
Yn it foarbyld fan "Streamerdata", troch alles te ûntdekken "Desktop"-bestannen (desktop.ini) begûnen te ferskinen op buroblêden en yn ferskate mappen, en it systeem sels liet flaters sjen by it opstarten by it besykjen om de malware-map te finen, dy't al wiske wie. Dit is in dúdlik foarbyld fan hoe't hânmjittich opromjen sûnder in goed begryp fan wat jo dogge ûnbedoelde gefolgen hawwe kin.
As jo josels yn in ferlykbere situaasje fineDe oanrikkemandearre oanpak is om in goede antivirus- of antimalware-suite (Malwarebytes, in goed bywurke Windows Defender, ensfh.) te kombinearjen, in opstart-opruimingsark lykas Autoruns, en, as jo attributen wiidweidich oanpast hawwe, mapopsjes opnij te konfigurearjen of ark te brûken lykas Winaero Tweaker om krityske systeembestannen wer te ferbergjen dy't net deistich sjoen of oanrekke wurde moatte.
Kontrôle fan it rekord en oare komplementêre techniken
Ferburgen prosessen en oanhâldende malware Se fertrouwe faak op it Windows-register om werhelle op te starten. It kennen fan 'e meast foarkommende registerkaaien helpt tige by it finen fan har as oare ark net dúdlik binne.
Mei it kommando Win + R en it typen fan "regedit"Jo krije dan tagong ta de Register-editor (brûk dit ark mei ekstreme foarsichtigens). De meast foarkommende paden wêr programma's dy't mei it systeem begjinne registrearre wurde binne:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run y HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Runwêr applikaasjes opslein wurde dy't starte as de hjoeddeiske brûker of in oare brûker oanmeldt, respektivelik. Ek opmerklik RunOnce, dy't yngongen mar ien kear útfiert by de folgjende opstart.
It besjen fan dizze kaaien kin ûnbekende yngongen oan it ljocht bringe mei ûngewoane paden of paden dy't ferwize nei tydlike mappen, ûngewoane brûkersprofylmappen of willekeurige bestânsnammen. Yn dizze gefallen is it ridlik om achterdochtich te wêzen en, nei it meitsjen fan in reservekopy, de yngong te wiskjen of út te skeakeljen wylst jo scannen mei antivirussoftware.
In oare tige effektive manier is om de kommandorigel te brûkenIt útfieren fan "tasklist" yn in kommandorigelfinster mei beheardersrjochten sil in folsleine list mei prosessen werjaan. Jo kinne dit kombinearje mei filters (op namme, PID, ensfh.) of mei oare ark lykas "wmic" of "powershell" om ekstra details te krijen.
Ta beslút, wy moatte de rol fan antivirussoftware net ferjitteIt bywurke hâlden en folsleine systeemscans útfiere helpt om ferburgen prosessen te detektearjen dy't ferklaaid binne as legitime tsjinsten. In protte hjoeddeistige produkten kontrolearje ek gedrach yn realtime, wêrtroch prosessen blokkearre wurde dy't har gedrage as malware, sels as it bestân sels noch net ûndertekene is yn 'e databases.
Hawwe echte kontrôle oer wat der op jo PC rint It giet om it kombinearjen fan al it boppesteande: it effektyf brûken fan Task Manager, it brûken fan Autoruns en Process Explorer, it kontrolearjen fan it register, en it fertrouwen op robuuste antivirusoplossingen. Mei dizze ark is it finen fan ferburgen prosessen dy't net direkt dúdlik binne en beslute wat dermei te dwaan gjin mystearje mear en wurdt it in taak dy't jo, mei in bytsje oefening, behearskje kinne sûnder in profesjonele hacker te wêzen.
Hertstochtlik oer technology sûnt hy lyts wie. Ik hâld fan op 'e hichte te wêzen yn' e sektor en boppe alles, it kommunisearjen. Dêrom bin ik in protte jierren wijd oan kommunikaasje op websides foar technology en fideospultsjes. Jo kinne my fine skriuwe oer Android, Windows, MacOS, iOS, Nintendo of in oar relatearre ûnderwerp dat yn 't sin komt.