Kijan pou detekte pwosesis kache ki pa parèt nan Manadjè Travay la

Odinatè a ap mache dousman san okenn rezon aparan.Si itilizasyon RAM ou a ogmante menm lè ou pa gen anyen louvri, oubyen si ou gen lag pandan w ap jwe jwèt videyo, anjeneral se premye siy ki montre yon bagay pa bon. Souvan, nou ouvri Manadjè Tâche a pou chèche koupab la... epi pa gen anyen ki dwòl ki parèt. Se la sispèk la kòmanse: gendwa gen pwosesis kache k ap fonksyone nan background nan.

Windows toujou ap egzekite plizyè douzèn sèvis ak pwosesis. Gen plizyè pwogram k ap fonksyone nan background nan, kèk ki totalman lejitim e lòt ki potansyèlman danjere oubyen ki rete nan lojisyèl ki pa byen dezenstale. Aprann detekte sa k ap fonksyone tout bon vre, pi lwen pase sa Manadjè Travay estanda a revele, se kle pou amelyore pèfòmans, ranfòse sekirite, epi chase malveyan ki eseye kache. Ann aprann tout bagay sou li. Kijan pou detekte pwosesis kache ki pa parèt nan Manadjè Travay la.

Ki sa ki pwosesis kache yo e poukisa yo pa toujou parèt klèman?

Chak pwogram ki fonksyone sou òdinatè a jenere omwen yon pwosesis ki rete nan memwa pou fonksyone: soti nan navigatè a oswa yon jwèt rive nan ti sèvis sistèm. Pwoblèm nan se ke anpil nan pwosesis sa yo pa gen yon non "imen" tankou Chrome.exe oswa Spotify.exe, men pito idantifikatè kript ki fè li difisil pou konnen si yo fè pati Windows, yon pwogram lejitim, oswa yon malveyan.

Anplis de sa, gen pwosesis ou pa ka wè nan premye gade. nan onglet "Pwosesis" nan Manadjè Tach paske yo gwoupe, yo parèt anba non jenerik, oswa yo depann de sèvis sistèm yo. Gen kèk kalite malveyan ki eksplwate sa, enjekte kòd nan pwosesis lejitim oswa kache dèyè sèvis anbigi, sa ki fè yo trè difisil pou itilizatè mwayèn nan lokalize.

Menm apre ou fin dezenstale pwogram yoKapab gen "rès fantom": travay demaraj, sèvis, oswa antre rejis ki kontinye ap eseye fonksyone nan background nan. Ou p ap wè pwogram ki enstale a, men w ap wè yon pwosesis jenerik yo rele "Pwogram" oswa yon bagay ki sanble, k ap konsome resous san l pa bay okenn sèvis itil.

Li komen tou pou pwosesis kache afekte rezo a.: koneksyon misterye, itilizasyon Pleasant lè ou pa ta dwe gen anyen k ap telechaje oswa k ap kominike avèk entènèt la, oswa pik san eksplikasyon nan konsomasyon CPU ak memwa lè òdinatè a, an teyori, an repo.

Sèvi ak Manadjè Tach la nan tout potansyèl li: sa ou ka aktyèlman wè nan Windows

Anvan nou ale nan zouti avanse yoLi vo lapenn pou pwofite tout avantaj sa Task Manager la li menm ofri. Nan Windows 10 ak 11, li pi puisan pase sa li sanble si ou konnen ki kote pou chèche epi chanje kèk nan paramèt defo yo.

Pou ouvri li byen vitSèvi ak rakoursi klavye a Ctrl + Shift + EscOu kapab tou klike sou ba travay la ak bouton dwat sourit la epi chwazi "Manadjè Travay". Si li ouvri nan mòd senplifye, klike sou "Plis detay" pou wè koòdone konplè a ak tout onglet yo.

Nan onglet "Pwosesis" la, ou pral wè yon apèsi sou Itilizasyon CPU, RAM, disk, GPU, ak rezo pa aplikasyon. Isit la ou ka fasilman idantifye "gwo jwè yo" (yon jwèt, navigatè a, yon editè videyo...). Men, si ou vle trape pwosesis sispèk, ou dwe ale yon ti kras pi lwen.

Yon etap enpòtan se aktive "Montre pwosesis tout itilizatè yo". (sou vèsyon Windows ki pi ansyen yo) oubyen asire w ke Task Manager la ap montre tout sa k ap fonksyone anba diferan kont ak sèvis yo. Sa ap ba w yon lis ki pi konplè, ki gen ladan sèvis sistèm ke malveyan yo ka itilize pafwa.

Onglet Detay, Monitè Resous ak Analiz Rezo

Onglet "Detay" nan Manadjè Travay la Se la lis konplè pwosesis k ap kouri yo parèt vre. Chak ekzekisyonè parèt la, san gwoupe, lè l sèvi avèk non entèn li. Se vi ki pi pre sa sistèm operasyon an li menm wè.

Nan onglet sa a, ou ka lokalize pwosesis ki sanble dwòl. Chache pwosesis ou pa rekonèt, ki gen non trè jenerik, oubyen k ap konsome resous yon fason anòmal. Si ou klike sou nenpòt pwosesis ak bouton dwat sourit la, ou ka "Ouvri kote fichye a ye," ki esansyèl pou konnen ki kote fichye ekzekisyon an soti tout bon vre.

Yon lòt kolòn ki trè itil se kolòn "Non chemen imaj la". (Nan kèk tradiksyon, sa parèt kòm "Chemen Imaj"). Ou ka aktive li lè w klike sou tit kolòn yo ak bouton dwat sourit la, chwazi "Chwazi Kolòn" epi tcheke opsyon sa a. Sa ap montre w chemen konplè fichye ki dèyè chak pwosesis.

Pou fouye pi fon nan konpòtman rezo aLouvri onglet "Pèfòmans" lan epi klike sou "Louvri Monitè Resous". Nan onglet "Rezo" Monitè Resous la, w ap wè ki pwosesis k ap etabli koneksyon, konbyen trafik y ap voye ak resevwa, epi nan ki adrès IP. Si ou detekte yon aplikasyon ou pa konnen k ap konekte ak adrès ki pa nòmal, sa se yon gwo siy ke yon bagay pa bon.

Revize pwogram demaraj yo ak lojisyèl ki rete apre yo fin enstale yo

Anpil pwosesis kache pase an kachèt nan pwosesis demaraj Windows la.konsa yo kòmanse otomatikman chak fwa ou limen òdinatè w la. Sa eksplike poukisa, menm apre ou fin "fèmen tout bagay," itilizasyon RAM lan rete byen wo oubyen sistèm nan pran anpil tan pou l vin itil.

Nan Manadjè Tâch la ou gen seksyon "Demaraj" la. (Nan Windows 11, li parèt nan meni bò a kòm "Aplikasyon demaraj," epi nan Windows 10 kòm onglet "Demaraj"). La w ap wè tout pwogram ki lanse otomatikman lè w konekte.

Li nòmal pou jwenn zouti pou kat grafik la (NVIDIA, AMD), kat son an, oubyen sourit la.Epi tou aplikasyon ou prefere louvri otomatikman paske ou itilize yo chak jou. Men, si ou wè antre san non klè, pwosesis jenerik tankou "Pwogram," oswa referans a pwogram ou te dezenstale lontan, yo merite atansyon ou.

Ou ka enfim nenpòt atik demaraj lè w klike sou li ak bouton dwat sourit la. ke ou pa vle. Sa pa efase pwogram nan, li jis anpeche li kòmanse ak Windows. Se yon fason rapid pou tcheke si pwosesis misterye sa a te koupab dèyè lag la oswa itilizasyon twòp RAM lan.

Lè yon pwogram dezenstale malLi komen pou Windows kite tras nan pwogram demaraj, travay pwograme, oswa sèvis ke li kontinye ap eseye lanse menm si ekzekisyon an pa egziste ankò. Yo rele sa yo "pwosesis fantom" oswa "pwosesis rezidyèl". Pou idantifye yo byen, ou bezwen yon zouti ki pi espesyalize.

Autoruns pou Windows: Jwenn epi efase pwosesis fantom ak materyèl ki rete yo

Microsoft ofri yon zouti trè pwisan ki rele Autoruns pou Windows gratis.Aplikasyon sa a, ki fè pati koleksyon Sysinternals Mark Russinovich te kreye a, montre absoliman TOUT sa ki fonksyone lè sistèm nan demaraj oubyen ki konekte ak pwen kle nan Windows.

Soti nan sitwèb ofisyèl Microsoft Sysinternals la Ou ka telechaje Autoruns nan fòma ZIP. Yon fwa ou fin ekstrè li, jis ouvri "Autoruns.exe" oswa "Autoruns64.exe" selon sistèm ou an. Li pa bezwen enstalasyon; se yon dosye ekzekisyonab pòtab.

Lè ou louvri li, Autoruns montre yon gwo lis antre.Pwogram demaraj, sèvis, ekstansyon Explorer, atik Office, chofè, travay pwograme, elatriye. Anlè a ou ka filtre pa kategori (Office, sèvis, founisè rezo, LSA, sèvis enprime...).

Fòk ou peye atansyon espesyal sou antre ki make an jòn yo.Souvan, sa yo koresponn ak pwosesis oswa chemen ki pa egziste nan sistèm nan ankò: rès lojisyèl ki te dezenstale twò vit, pwosesis otomatik ki kontinye ap eseye fonksyone, oswa chemen ki pèvèti. Ou pral wè tou eleman nan lòt koulè ki endike konpozan kritik oswa espesyal.

Si ou jwenn yon antre ki klèman rezidyèl oswa sispèk (Pa egzanp, si se yon pwogram ou konnen ou te deja retire oswa yon konpozan enkoni), ou ka klike sou li ak bouton dwat sourit la. Meni kontèks la ofri opsyon tankou "Efase" pou efase li, ouvri kote fichye a ye, chèche viris, oswa chèche enfòmasyon sou entènèt sou fichye ekzekisyon an.

Autoruns trè pwisan, men li danjere tou si ou pa konnen sa w ap fè.Otè a li menm rekòmande pou yon teknisyen oswa omwen yon itilizatè ki gen yon ti eksperyans fè sa. Si ou efase antre sistèm esansyèl, chofè GPU, oswa konpozan pyès ki nan konpitè, sa ka kite ou san kèk fonksyon oswa menm lakòz Windows pa demarre kòrèkteman.

Avantaj la se ke, avèk kèk swen, ou ka netwaye sistèm nan Li retire rès aplikasyon ou pa genyen ankò, elimine pwosesis demaraj fantom, epi detekte automatisation sispèk ki pa tèlman klè nan Manadjè Tach tradisyonèl la.

Eksploratè Pwosesis: "Manadjè Travay Sipèchaje" Microsoft la

Si Manadjè Travay la pa bon pou ouAltènatif dirèk ak ofisyèl Microsoft la se Process Explorer, yon lòt bijou nan suite Sysinternals la. Li fèt pou administratè sistèm ak itilizatè avanse ki bezwen kontwòl total ak detay trè presi sou chak pwosesis.

Ou ka telechaje Process Explorer sou sitwèb Sysinternals la. Li vini nan yon fichye konprese. Dekonprese l nan nenpòt dosye epi egzekite "procexp64.exe" si sistèm ou an se 64-bit (oswa vèsyon 32-bit la si sa aplikab). Li pa bezwen enstalasyon, epi li rekòmande pou egzekite l kòm administratè pou wè tout detay yo.

Entèfas la montre yon pyebwa pwosesis yerarchikkote ou ka wè klèman ki pwogram ki lanse kilès, ki fil li louvri, ki DLL li itilize, ak anpil lòt bagay ankò. Chak pwosesis gen koulè selon kalite li, epi koulè sa yo konfigirab nan meni Opsyon > Konfigire Koulè.

Youn nan gwo avantaj Process Explorer yo Li pèmèt ou ouvri kote egzekisyon an ye, wè pwopriyete sekirite li yo, chèn tèks entèn yo, deskriptè aksè yo, e menm kominike avèk li nan liy kòmand lan oswa jenere depo memwa pou analiz avanse.

Si ou vle ranplase Manadjè Travay la nètNan meni Opsyon yo, ou ka chwazi "Ranplase Jesyonè Travay yo". Apre sa, lè ou itilize rakoursi Ctrl + Shift + Esc la, Eksploratè Pwosesis la ap louvri olye Jesyonè Travay Windows estanda a.

Entegrasyon Process Explorer ak VirusTotal pou detekte malveyan

Process Explorer pa sèlman pou wè sa k ap mache.Li ede tou detèmine si li fyab. Youn nan pi bon karakteristik li yo, ki te enkòpore depi plizyè ane, se entegrasyon li ak VirusTotal, sèvis byen koni ki analize dosye ak plizyè douzèn motè antivirus an menm tan.

Pou aktive entegrasyon sa aLouvri Eksploratè Pwosesis la epi ale nan meni Opsyon > VirusTotal. Aktive opsyon pou voye done hach ​​pwosesis bay VirusTotal pou analiz (nan vèsyon aktyèl la, sa fèt yon fason ki an sekirite lè yo voye sèlman anprent fichye a).

Lè w fè sa, w ap ajoute yon nouvo kolòn nan fenèt prensipal la. avèk rezilta analiz chak pwosesis la. Ou ap wè yon bagay tankou "0/70", "1/70", elatriye, ki endike konbyen motè antivirus ki make li kòm sispèk pami total la.

Pwosesis ki parèt an vèt oubyen ki pa gen okenn deteksyon Anjeneral, yo konsidere yo kòm pwòp, byenke fo negatif yo toujou posib. Si yon pwosesis parèt an wouj oswa avèk plizyè deteksyon, li gen anpil chans pou se yon malveyan oswa, omwen, yon bagay ki vo lapenn envestige.

Si ou klike sou rezilta VirusTotal laPaj analiz la ap ouvri apre sa avèk enfòmasyon detaye: ki motè ki te detekte li, ki fanmi malveyan li ka fè pati, konpòtman yo obsève, elatriye. Enfòmasyon sa a gen anpil valè pou deside si wi ou non pou fini pwosesis la epi fè yon netwayaj pi pwofon ak lojisyèl antivirus ou a.

Kijan pou itilize Process Explorer pou dekouvri chemen malveyan an

Nan anviwònman laboratwa oswa machin vityèlLi komen pou etidyan ak analis sekirite yo itilize Process Explorer pou lokalize malveyan epi etidye konpòtman li. Yon travay tipik se jwenn chemen egzak ekzekisyon move a pou answit chaje li nan yon dezasanbleur.

Anjeneral, li sifi pou lokalize pwosesis sispèk la. Nan lis la, klike sou bouton dwat sourit la epi sèvi ak "Pwopriyete" oswa "Ouvri kote fichye a" pou w konnen nan ki dosye binè a ye. Apati de la, ou ka kopye li nan yon lòt anviwònman kontwole pou analize li ak zouti tankou IDA, Ghidra, oswa lòt dezasanblè.

Pwoblèm nan rive lè malveyan san fil ap eseye kache wout liSa ka rive swa paske li manipile sistèm nan oswa paske li enjekte kòd li nan pwosesis lejitim yo. Nan ka sa yo, Process Explorer ka montre w pwosesis la men li pa idantifye klèman sous ekzekisyon an, oswa li ka tou senpleman montre enfòmasyon ki pa konplè.

Lè sa rive, li rekòmande pou konbine plizyè zouti.: revize rejis la (kle HKCU ak HKLM Run ak RunOnce), tcheke travay pwograme yo, sèvi ak Autoruns pou wè sa ki lanse nan demaraj epi, si sa nesesè, itilize zouti analiz malveyan espesifik oswa machin vityèl ak siveyans sistèm avanse.

Nan nenpòt ka, si ou detekte yon pwosesis ki gen konpòtman sispèk Si VirusTotal make fichye a kòm move, premye etap la se izole machin ki afekte a nan rezo a, mete fen nan pwosesis la si sa posib, epi answit eskane oswa retire echantiyon an ak yon solisyon sekirite espesyalize. Pou plis enfòmasyon sou Process Explorer, gade sitwèb ofisyèl Windows la.

Dekouvri fichye ak dosye kache: yon egzanp reyèl lè l sèvi avèk malveyan "Streamerdata" a

Gen kèk malveyan ki pa jis kache kòm pwosesisYo pa sèlman kache dosye ak fichye yo pou fè retire yo pi difisil, men yo kache yo tou. Yon egzanp tipik se enfeksyon ki kreye anyè kache nan anyè rasin disk la, tankou "C:\Streamerdata", epi ki replike rakoursi vid nan tout sistèm nan.

Nan kalite senaryo sa a, antivirus la detekte menas la kontinyèlman. (pa egzanp, Win64:Malware-gen), li voye l nan achiv yo epi li efase l... men li reaparèt byen vit. Pandansetan, ou remake sistèm nan ap mache dousman, gen dosye ak rakoursi dwòl, e menm yon pwosesis ak yon fo non "zouti antivirus" parèt nan Manadjè Travay la.

Yon teknik kèk itilizatè te itilize Li enplike kreye yon fichye .bat avèk kòmand ki retire atribi kache, sistèm, ak lekti sèlman nan tout fichye ki sou yon disk. Yon bagay ki sanble ak:

atribi -r -a -h -s U:\*.* /S /D (kote U se kondwi a pou dezenfekte). Lè w egzekite l kòm administratè, sa fòse tout bagay vizib, menm dosye move a ki te konplètman kache anvan, sa ki pèmèt ou efase l manyèlman.

Dezavantaj twòp itilizasyon kalite script sa yo Sa ekspoze tou yon pakèt dosye ak fichye sistèm ki nòmalman kache pou rezon sekirite: dosye konfigirasyon, fichye desktop.ini, elatriye. Si ou pa fè atansyon epi ou efase sa ou pa ta dwe efase, ou ka fè sistèm ou an vin enstab.

Nan egzanp "Streamerdata" a, lè w dekouvri tout bagay Fichye "desktop" yo (desktop.ini) te kòmanse parèt sou òdinatè yo ak nan plizyè dosye, epi sistèm nan li menm te montre erè nan demaraj pandan l ap eseye lokalize dosye malveyan an, ki te deja efase. Sa a se yon egzanp klè sou kijan netwayaj manyèl san yon bon konpreyansyon sou sa w ap fè a ka gen konsekans enprevizib.

Si ou twouve w nan yon sitiyasyon sanblabApwòch ki rekòmande a se konbine yon bon seri antivirus oswa antimalware (Malwarebytes, yon Windows Defender byen mete ajou, elatriye), yon zouti netwayaj demaraj tankou Autoruns, epi, si ou te modifye atribi yo anpil, rekonfigure opsyon dosye yo oswa itilize zouti tankou Winaero Tweaker pou kache dosye sistèm kritik ankò ke moun pa ta dwe wè oswa touche chak jou.

Kontwole dosye a ak lòt teknik konplemantè

Pwosesis kache ak malveyan pèsistan Souvan yo konte sou rejis Windows la pou yo demarre plizyè fwa. Konnen kle rejis ki pi komen yo ede anpil pou lokalize yo lè lòt zouti yo pa klè.

Sèvi ak kòmandman Win + R epi tape "regedit"Apre sa, ou jwenn aksè nan Editè Rejis la (sèvi ak zouti sa a avèk anpil prekosyon). Chemen ki pi komen kote pwogram ki kòmanse ak sistèm nan anrejistre yo se:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run y HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runkote aplikasyon yo estoke ki lanse lè itilizatè aktyèl la oswa nenpòt itilizatè konekte, respektivman. Epitou enpòtan pou note RunOnce, ki egzekite antre yo yon sèl fwa nan pwochen demaraj la.

Revize kle sa yo ka revele antre enkoni ak chemen dwòl oswa sa yo ki montre dosye tanporè, anyè pwofil itilizatè ki pa dwòl, oswa non fichye o aza. Nan ka sa yo, li rezonab pou w sispèk epi, apre w fin fè yon backup, efase antre a oswa dezaktive li pandan w ap eskane ak lojisyèl antivirus la.

Yon lòt fason ki trè efikas se sèvi ak liy kòmand lanLè w egzekite "tasklist" nan yon fenèt kòmand avèk privilèj administratè, w ap wè yon lis konplè pwosesis yo. Ou ka konbine sa avèk filtè (pa non, PID, elatriye) oubyen avèk lòt zouti tankou "wmic" oubyen "powershell" pou jwenn plis detay.

Finalman, nou pa dwe bliye wòl lojisyèl antivirus la.Kenbe li ajou epi fè analiz sistèm konplè ede detekte pwosesis kache ki degize kòm sèvis lejitim. Anpil pwodwi aktyèl kontwole konpòtman an tan reyèl tou, bloke pwosesis ki konpòte yo tankou malveyan menm si dosye a li menm poko siyen nan baz done yo.

Gen yon vrè kontwòl sou sa k ap fonksyone sou òdinatè w la Li enplike konbine tout bagay ki anwo yo: itilize Task Manager efektivman, itilize Autoruns ak Process Explorer, siveye rejis la, epi konte sou solisyon antivirus solid. Avèk zouti sa yo, lokalize pwosesis kache ki pa parèt touswit epi deside kisa pou fè avèk yo sispann yon mistè epi li vin tounen yon travay ke, avèk yon ti pratik, ou ka metrize san ou pa bezwen yon pwofesyonèl enfòmatik.