- A rejtett folyamatok lehetnek rosszindulatú programok, rendszerszolgáltatások vagy szoftvermaradványok, amelyek erőforrásokat fogyasztanak anélkül, hogy jól láthatóak lennének.
- A Feladatkezelő, a Részletek füllel és az Erőforrás-figyelővel együtt lehetővé teszi a gyanús folyamatok és kapcsolatok felderítését.
- Az olyan fejlett eszközök, mint az Autoruns és a Process Explorer (VirusTotal-lal), teljes körű ellenőrzést biztosítanak a folyamatok, az indítási folyamatok és a fantommaradványok felett.
- Ezen eszközök kombinálása a rendszerleíró adatbázis-ellenőrzéssel és egy jó víruskeresővel kulcsfontosságú a Windows teljesítményének és biztonságának fenntartásához.
A számítógép lassan fut minden látható ok nélkül.Ha a RAM-használat megnő akkor is, ha semmi sincs megnyitva, vagy ha játék közben lagot tapasztalsz, az általában az első jele annak, hogy valami nincs rendben. Gyakran megnyitjuk a Feladatkezelőt, hogy megkeressük a bűnöst... és semmi szokatlan nem jelenik meg. Itt kezdődik a gyanú: lehet, hogy rejtett folyamatok futnak a háttérben.
A Windows folyamatosan több tucat szolgáltatást és folyamatot futtat. A háttérben különféle programok futnak, némelyik teljesen jogos, mások potenciálisan veszélyesek, vagy nem megfelelően eltávolított szoftverekből maradtak vissza. A teljesítmény javítása, a biztonság megerősítése és a rejtőzködni próbáló rosszindulatú programok felderítése érdekében kulcsfontosságú megtanulni, hogy mi fut valójában – a szokásos Feladatkezelő által megjelenítetteken túl. Ismerjük meg mindent. Hogyan lehet felismerni a rejtett folyamatokat, amelyek nem jelennek meg a Feladatkezelőben.
Mik azok a rejtett folyamatok, és miért nem mindig jelennek meg tisztán?
Minden, a számítógépen futó program legalább egy folyamatot generál. ami a memóriában marad a működéshez: a böngészőtől vagy egy játéktól kezdve a kis rendszerszolgáltatásokig. A probléma az, hogy ezeknek a folyamatoknak soknak nincs „emberi” neve, mint például a Chrome.exe vagy a Spotify.exe, hanem titkosított azonosítók, amelyek megnehezítik annak megállapítását, hogy a Windowshoz, egy legitim programhoz vagy rosszindulatú programhoz tartoznak-e.
Ráadásul vannak olyan folyamatok is, amelyeket első pillantásra nem lehet észrevenni. a Feladatkezelő „Folyamatok” lapján, mivel csoportosítva vannak, általános nevek alatt jelennek meg, vagy rendszerszolgáltatásoktól függenek. Bizonyos típusú rosszindulatú programok ezt kihasználják, kódot juttatnak legitim folyamatokba, vagy kétértelmű szolgáltatások mögé bújnak, ami rendkívül megnehezíti a megtalálásukat az átlagfelhasználó számára.
Még a programok eltávolítása után isLehetnek „szellemmaradványok”: indítási feladatok, szolgáltatások vagy beállításjegyzékbeli bejegyzések, amelyek továbbra is megpróbálnak futni a háttérben. Nem fogja látni a telepített programot, de egy általános, „Program” vagy hasonló nevű folyamatot fog látni, amely erőforrásokat fogyaszt anélkül, hogy bármilyen hasznos szolgáltatást nyújtana.
Az is gyakori, hogy rejtett folyamatok befolyásolják a hálózatot: rejtélyes kapcsolatok, sávszélesség-használat, amikor nem szabadna semmit letölteni vagy kommunikálni az internettel, vagy megmagyarázhatatlan CPU- és memória-fogyasztási csúcsok, amikor a számítógép elméletileg nyugalmi állapotban van.
A Feladatkezelő teljes kihasználása: amit valójában láthat a Windows rendszerben
Mielőtt továbblépnénk a haladó eszközökreÉrdemes kihasználni a Feladatkezelő összes előnyét. Windows 10 és 11 rendszerben sokkal hatékonyabb, mint amilyennek látszik, ha tudjuk, hol keressük és módosítsuk az alapértelmezett beállításokat.
Hogy gyorsan kinyissaHasználja a billentyűparancsot Ctrl + Shift + EscJobb gombbal kattinthat a tálcára, és kiválaszthatja a „Feladatkezelő” lehetőséget. Ha egyszerűsített módban nyílik meg, kattintson a „További részletek” gombra a teljes felület és az összes lap megtekintéséhez.
A „Folyamatok” lapon áttekintést láthat CPU, RAM, lemez, GPU és hálózathasználat alkalmazásonként. Itt könnyen azonosíthatod a „nagy szereplőket” (egy játék, egy böngésző, egy videószerkesztő...). De ha gyanús folyamatokat szeretnél kiszűrni, akkor egy kicsit tovább kell menned.
Egy kulcsfontosságú lépés az „Összes felhasználó folyamatainak megjelenítése” opció aktiválása. (a Windows régebbi verzióin) vagy győződjön meg arról, hogy a Feladatkezelő mindent megjelenít, ami különböző fiókok és szolgáltatások alatt fut. Így teljesebb listát kap, beleértve azokat a rendszerszolgáltatásokat is, amelyeket időnként rosszindulatú programok használhatnak.
Részletek fül, Erőforrás-figyelő és Hálózati elemzés
A Feladatkezelő „Részletek” lapja Itt jelenik meg a futó folyamatok teljes listája. Minden egyes végrehajtható fájl itt jelenik meg csoportosítás nélkül, a belső nevével. Ez a legközelebbi nézet ahhoz, amit maga az operációs rendszer lát.
Ezen a lapon megtalálhatja a furcsának tűnő folyamatokat. Keressen olyan folyamatokat, amelyeket nem ismer fel, amelyeknek nagyon általános a nevük, vagy amelyek rendellenesen fogyasztják az erőforrásokat. Ha jobb gombbal kattint bármelyik folyamatra, megnyithatja a „Fájl helyét” funkciót, ami elengedhetetlen ahhoz, hogy tudja, honnan származik a futtatható fájl.
Egy másik nagyon hasznos oszlop a „Kép elérési útja” oszlop. (Néhány fordításban ez „Kép elérési útja” néven jelenik meg). Aktiválhatod úgy, hogy jobb gombbal kattintasz az oszlopfejlécekre, kiválasztod az „Oszlopok kiválasztása” lehetőséget, és bejelölöd ezt a jelölőnégyzetet. Ez megmutatja az egyes folyamatok mögötti fájlok teljes elérési útját.
A hálózati viselkedés mélyebb feltárásaNyisd meg a „Teljesítmény” fület, majd kattints az „Erőforrás-figyelő megnyitása” gombra. Az Erőforrás-figyelő „Hálózat” fülén láthatod, hogy mely folyamatok létesítenek kapcsolatokat, mennyi forgalmat küldenek és fogadnak, és mely IP-címekre csatlakoznak. Ha egy ismeretlen alkalmazást észlelsz, amely szokatlan címekhez csatlakozik, az erősen jelzi, hogy valami nincs rendben.
Tekintse át az induló programokat és a megmaradt eltávolított szoftvereket
Sok rejtett folyamat átsuhan a Windows indítási folyamatán.így automatikusan elindulnak minden alkalommal, amikor bekapcsolod a számítógépet. Ez magyarázza, hogy miért marad elég magas a RAM-használat még a „minden bezárása” után is, vagy miért tart sokáig, mire a rendszer használhatóvá válik.
A Feladatkezelőben van egy „Indítás” rész. (Windows 11 rendszerben az oldalsó menüben „Indítási alkalmazások” néven, Windows 10 rendszerben pedig „Indítás” fülként jelenik meg). Itt láthatja az összes programot, amely automatikusan elindul a bejelentkezéskor.
Normális, hogy a grafikus kártyához (NVIDIA, AMD), a hangkártyához vagy az egérhez segédprogramokat találunk.És olyan alkalmazások is, amelyeket automatikusan szeretne megnyitni, mert naponta használja őket. De ha egyértelmű név nélküli bejegyzéseket, általános folyamatokat, például „Program”-ot, vagy régen eltávolított programokra való hivatkozásokat lát, akkor érdemes odafigyelni rájuk.
Bármelyik indítási elemet letilthatja a jobb gombbal kattintva. amit nem akarsz. Ez nem törli a programot, csak megakadályozza, hogy a Windows elinduljon. Ez egy gyors módja annak, hogy ellenőrizd, hogy az a rejtélyes folyamat okozta-e a késleltetést vagy a túlzott RAM-használatot.
Amikor egy program helytelenül lett eltávolítvaGyakori, hogy a Windows nyomokat hagy az indítási programokban, ütemezett feladatokban vagy szolgáltatásokban, amelyeket folyamatosan megpróbál elindítani, annak ellenére, hogy a végrehajtható fájl már nem létezik. Ezeket „szellemfolyamatoknak” vagy „maradékfolyamatoknak” nevezik. Megfelelő azonosításukhoz speciálisabb eszközre van szükség.
Autoruns Windows rendszerhez: Fantomfolyamatok és maradék anyagok keresése és törlése
A Microsoft egy nagyon hatékony eszközt kínál, az Autoruns for Windows-t ingyenesen.A Mark Russinovich által létrehozott Sysinternals gyűjtemény részeként ez az alkalmazás MINDENT megjelenít, ami a rendszer indításakor fut, vagy a Windows kulcsfontosságú pontjaihoz kapcsolódik.
A hivatalos Microsoft Sysinternals weboldalról Az Autoruns programot ZIP formátumban töltheted le. A kicsomagolás után egyszerűen nyisd meg az „Autoruns.exe” vagy az „Autoruns64.exe” fájlt a rendszeredtől függően. Nem igényel telepítést; hordozható futtatható fájl.
Megnyitáskor az Autoruns egy hatalmas bejegyzéslistát jelenít megIndítási programok, szolgáltatások, Intézőbővítmények, Office-elemek, illesztőprogramok, ütemezett feladatok stb. Felül kategóriák szerint szűrhet (Office, szolgáltatások, hálózati szolgáltatók, LSA, nyomtatási szolgáltatások…).
Különös figyelmet kell fordítani a sárgával jelölt bejáratokra.Ezek gyakran olyan folyamatoknak vagy elérési utaknak felelnek meg, amelyek már nem léteznek a rendszerben: elhamarkodottan eltávolított szoftverek maradványai, folyamatosan futást próbáló automatizált folyamatok vagy sérült elérési utak. Más színű elemeket is láthat, amelyek kritikus vagy speciális összetevőket jeleznek.
Ha egyértelműen maradvány vagy gyanús bejáratot talál (Például, ha egy olyan programról van szó, amelyről tudod, hogy már eltávolítottad, vagy egy ismeretlen összetevőről van szó), akkor jobb gombbal kattinthatsz rá. A helyi menü olyan lehetőségeket kínál, mint a „Törlés” a törléshez, a fájl helyének megnyitásához, víruskereséshez, vagy a végrehajtható fájllal kapcsolatos információk online kereséséhez.
Az Autoruns nagyon hatékony, de veszélyes is, ha nem tudod, mit csinálsz.Maga a szerző azt javasolja, hogy ezt egy technikus, vagy legalábbis egy tapasztalt felhasználó végezze el. A létfontosságú rendszerbejegyzések, GPU-illesztőprogramok vagy hardverösszetevők törlése bizonyos funkciókat nem használhat, vagy akár a Windows hibás indítását is okozhatja.
Az előnye, hogy némi odafigyeléssel tisztítható a rendszer. Eltávolítja a már nem használt alkalmazások maradványait, kiküszöböli a fantom indítási folyamatokat, és észleli a gyanús automatizálásokat, amelyek nem annyira egyértelműek a hagyományos Feladatkezelőben.
Process Explorer: A Microsoft "felturbózott feladatkezelője"
Ha a Feladatkezelő nem felel meg az elvárásainakA Microsoft közvetlen és hivatalos alternatívája a Process Explorer, a Sysinternals csomag egy másik gyöngyszeme. Rendszergazdák és haladó felhasználók számára készült, akiknek teljes kontrollra és az egyes folyamatok nagyon részletes ismeretére van szükségük.
A Process Explorer letölthető a Sysinternals weboldaláról. Tömörített fájlban érkezik. Csomagold ki egy tetszőleges mappába, és futtasd a „procexp64.exe” fájlt, ha a rendszered 64 bites (vagy 32 bites verzió, ha alkalmazható). Nem igényel telepítést, és ajánlott rendszergazdaként futtatni az összes részlet megtekintéséhez.
A felület egy hierarchikus folyamatfát jelenít megahol tisztán látható, hogy melyik program melyiket indította el, mely szálakat nyitja meg, melyik DLL-t használja és még sok minden mást. Minden folyamat típus szerint van színezve, és ezek a színek a Beállítások > Színek konfigurálása menüben konfigurálhatók.
A Process Explorer egyik nagy előnye Lehetővé teszi a futtatható fájl helyének megnyitását, biztonsági tulajdonságainak, belső szöveges karakterláncainak, hozzáférési leíróinak megtekintését, sőt, akár a parancssorból is kommunikálhat vele, vagy memóriaképeket generálhat a speciális elemzéshez.
Ha teljesen le szeretné cserélni a FeladatkezelőtA Beállítások menüben kiválaszthatja a „Feladatkezelő cseréje” lehetőséget. Ezután a Ctrl + Shift + Esc billentyűkombináció használatával a szokásos Windows Feladatkezelő helyett a Process Explorer nyílik meg.
A Process Explorer integrációja a VirusTotallal a rosszindulatú programok észleléséhez
A Process Explorer nem csak arra való, hogy lásd, mi fut.Segít meghatározni a megbízhatóságát is. Az egyik legjobb tulajdonsága, amelyet évekkel ezelőtt építettek be, a VirusTotal-lal való integráció, a jól ismert szolgáltatás, amely egyszerre több tucat víruskereső motorral elemzi a fájlokat.
Az integráció aktiválásáhozNyissa meg a Process Explorer programot, és lépjen a Beállítások menü > VirusTotal menüpontjára. Engedélyezze a folyamat hash-ek VirusTotalnak elemzés céljából történő elküldésének lehetőségét (a jelenlegi verzióban ez biztonságosan történik, csak a fájl ujjlenyomatának elküldésével).
Ezzel egy új oszlopot ad hozzá a főablakhoz. az egyes folyamatok elemzésének eredményével. Valami ilyesmit fog látni, mint a „0/70”, „1/70” stb., ami azt jelzi, hogy az összes víruskereső motor közül hány jelöli gyanúsnak.
Zöld színnel vagy 0 észleléssel megjelenő folyamatok Általában tisztának tekintik őket, bár a téves negatív eredmények mindig lehetségesek. Ha egy folyamat piros színnel jelenik meg, vagy több észlelést is tartalmaz, akkor nagy valószínűséggel kártevőről van szó, vagy legalábbis érdemes kivizsgálni.
Ha rákattint a VirusTotal eredményéreEzután megnyílik az elemzőoldal, amely részletes információkat tartalmaz: mely keresőmotorok észlelték, melyik kártevőcsaládhoz tartozhat, a megfigyelt viselkedés stb. Ezek az információk felbecsülhetetlen értékűek annak eldöntéséhez, hogy leállítsa-e a folyamatot, és alaposabb tisztítást végezzen-e a víruskereső szoftverrel.
A Process Explorer használata a rosszindulatú programok útjának felderítésére
Laboratóriumi környezetben vagy virtuális gépekenGyakori, hogy a diákok és a biztonsági elemzők a Process Explorert használják a rosszindulatú programok megtalálására és viselkedésük tanulmányozására. Egy tipikus feladat a rosszindulatú futtatható fájl pontos elérési útjának megtalálása, majd annak egy disassemblerbe való betöltése.
Általában elegendő a gyanús folyamat megtalálása. A listában kattintson jobb gombbal, és a „Tulajdonságok” vagy a „Fájl megnyitása” menüpontban keresse meg, hogy melyik mappában található a bináris fájl. Innen átmásolhatja egy másik, szabályozott környezetbe, hogy elemezze olyan eszközökkel, mint az IDA, a Ghidra vagy más disassembler.
A probléma akkor merül fel, amikor a fájl nélküli rosszindulatú program megpróbálja elrejteni az útvonalátEz vagy azért történhet, mert manipulálja a rendszert, vagy azért, mert a kódját legitim folyamatokba illeszti be. Ilyen esetekben a Process Explorer megjelenítheti a folyamatot, de nem azonosítja egyértelműen a forrásként szolgáló végrehajtható fájlt, vagy egyszerűen hiányos információkat jeleníthet meg.
Ilyenkor célszerű több eszközt kombinálni.: tekintse át a rendszerleíró adatbázist (HKCU és HKLM Run és RunOnce kulcsok), ellenőrizze az ütemezett feladatokat, használja az Autoruns szolgáltatást az indításkor elindított programok megtekintéséhez, és szükség esetén speciális kártevő-elemző eszközökhöz vagy fejlett rendszerfelügyelettel rendelkező virtuális gépekhez folyamodjon.
Mindenesetre, ha gyanús viselkedésű folyamatot észlel Ha a VirusTotal rosszindulatúként jelöli meg a fájlt, az első lépés az érintett gép elkülönítése a hálózattól, a folyamat lehetőség szerinti leállítása, majd a minta speciális biztonsági megoldással történő vizsgálata vagy eltávolítása. A Process Explorerrel kapcsolatos további információkért lásd a következőket: hivatalos Windows weboldal.
Rejtett fájlok és mappák felfedése: egy valós példa a „Streamerdata” rosszindulatú program használatával
Néhány rosszindulatú program nem csak folyamatként rejtőzik elNemcsak elrejtik a mappáikat és fájljaikat, hogy megnehezítsék az eltávolításukat, hanem el is rejtik azokat. Tipikus példa erre a fertőzések, amelyek rejtett könyvtárakat hoznak létre a lemez gyökérkönyvtárában, például a "C:\Streamerdata" mappában, és üres parancsikonokat replikálnak a rendszerben.
Ilyen esetekben a víruskereső folyamatosan érzékeli a fenyegetést. (például Win64:Malware-gen), elküldi az archívumba és törli… de hamarosan újra megjelenik. Közben észreveszed, hogy a rendszer lassú, furcsa mappák és parancsikonok vannak, sőt, még egy hamis „víruskereső eszköz” nevű folyamat is megjelenik a Feladatkezelőben.
Egy technika, amit néhány felhasználó használt Ez egy .bat fájl létrehozását jelenti, amelynek parancsai eltávolítják a rejtett, rendszer- és írásvédett attribútumokat a meghajtón lévő összes fájlról. Valami hasonló ehhez:
attribútum -r -a -h -s U:\*.* /S /D (ahol U a vírusmentesítendő meghajtó). Ez rendszergazdaként futtatva mindent láthatóvá tesz, beleértve a korábban teljesen rejtett rosszindulatú mappát is, így az manuálisan törölhető.
Az ilyen típusú szkriptek túlzott használatának hátránya Ez számos olyan rendszermappát és fájlt is felfed, amelyek biztonsági okokból általában rejtve vannak: konfigurációs mappák, desktop.ini fájlok stb. Ha nem vigyázol, és törlöd a nem kívánt elemeket, instabillá teheted a rendszeredet.
A „Streamerdata” példában mindent feltárva „Desktop” fájlok (desktop.ini) kezdtek megjelenni az asztalokon és különböző mappákban, és maga a rendszer is hibákat jelzett indításkor, miközben megpróbálta megtalálni a már törölt kártevő mappát. Ez egyértelmű példa arra, hogy a manuális tisztítás a műveletek megfelelő ismerete nélkül milyen nem kívánt következményekkel járhat.
Ha hasonló helyzetben találod magadAz ajánlott megközelítés egy jó víruskereső vagy kártevőirtó csomag (Malwarebytes, egy jól naprakész Windows Defender stb.), egy indítási tisztítóeszköz, például az Autoruns kombinálása, és ha jelentősen módosította az attribútumokat, akkor a mappabeállítások újrakonfigurálása vagy olyan eszközök használata, mint a Winaero Tweaker hogy ismét elrejtse a kritikus rendszerfájlokat, amelyeket nem szabad naponta látni vagy megérinteni.
A nyilvántartás ellenőrzése és egyéb kiegészítő technikák
Rejtett folyamatok és makacs kártevők Gyakran a Windows rendszerleíró adatbázisra támaszkodnak az ismételt induláshoz. A leggyakoribb rendszerleíró kulcsok ismerete nagyban segít megtalálni őket, amikor más eszközök nem adnak egyértelmű választ.
A Win + R parancs használatával és a „regedit” begépelésévelEzután megnyitja a Beállításszerkesztőt (ezt az eszközt rendkívül óvatosan használja). A rendszerrel induló programok leggyakoribb regisztrációs útvonalai a következők:
HKEY_CURRENT_USER\Szoftver\Microsoft\Windows\Jelenlegi verzió\Futtatás y HKEY_LOCAL_MACHINE\Szoftver\Microsoft\Windows\Jelenlegi verzió\Futtatásahol az aktuális felhasználó, illetve bármely felhasználó bejelentkezésekor elinduló alkalmazások tárolódnak. Szintén figyelemre méltó RunOnce, amely a bejegyzéseket csak egyszer hajtja végre a következő indításkor.
Ezen kulcsok áttekintése ismeretlen bejegyzéseket tárhat fel szokatlan elérési utakkal, ideiglenes mappákra, szokatlan felhasználói profilkönyvtárakra vagy véletlenszerű fájlnevekre mutató bejegyzésekkel. Ilyen esetekben ésszerű gyanút kelteni, és a biztonsági mentés után törölni vagy letiltani a bejegyzést, amíg víruskereső szoftverrel ellenőrzi a rendszert.
Egy másik nagyon hatékony módszer a parancssor használataA "tasklist" parancs futtatása rendszergazdai jogosultságokkal egy parancssorablakban megjeleníti a folyamatok teljes listáját. Ezt kombinálhatja szűrőkkel (név, PID stb. alapján) vagy más eszközökkel, például a "wmic"-kel vagy a "powershell"-lel további részletek megszerzéséhez.
Végül nem szabad megfeledkeznünk a víruskereső szoftverek szerepéről sem.A naprakészen tartása és a teljes rendszerellenőrzések futtatása segít a legitim szolgáltatásoknak álcázott rejtett folyamatok észlelésében. Számos jelenlegi termék valós időben figyeli a viselkedést, blokkolva a rosszindulatú programként viselkedő folyamatokat, még akkor is, ha maga a fájl még nincs aláírva az adatbázisokban.
Valódi kontroll a számítógépén futó tartalmak felett A fentiek mindegyikének kombinációját foglalja magában: a Feladatkezelő hatékony használatát, az Autoruns és a Process Explorer kihasználását, a beállításjegyzék figyelését és a robusztus vírusvédelmi megoldásokra való támaszkodást. Ezekkel az eszközökkel a nem azonnal látható rejtett folyamatok megtalálása és a velük való döntés meghozatala már nem rejtély, és olyan feladattá válik, amelyet egy kis gyakorlással profi hacker nélkül is elsajátíthat.
Kiskora óta szenvedélyes a technológia iránt. Szeretek naprakész lenni a szektorban, és mindenekelőtt azt kommunikálni. Ezért foglalkozom évek óta a technológiai és videojáték-weboldalak kommunikációjával. Androidról, Windowsról, MacOS-ról, iOS-ről, Nintendóról vagy bármilyen más kapcsolódó témáról írok, ami eszembe jut.