របៀបស្វែងរកដំណើរការដែលលាក់ ដែលមិនបង្ហាញនៅក្នុង Task Manager

កុំព្យូទ័រកំពុងដំណើរការយឺតដោយគ្មានហេតុផលច្បាស់លាស់។ប្រសិនបើការប្រើប្រាស់ RAM របស់អ្នកកើនឡើង សូម្បីតែនៅពេលដែលអ្នកមិនមានអ្វីបើក ឬប្រសិនបើអ្នកជួបប្រទះភាពយឺតយ៉ាវពេលលេងហ្គេម នោះជាធម្មតាវាជាសញ្ញាដំបូងដែលថាមានអ្វីមួយខុស។ ជាញឹកញាប់ យើងបើក Task Manager រកមើលពិរុទ្ធជន... ហើយគ្មានអ្វីប្លែកទេ នោះហើយជាកន្លែងដែលការសង្ស័យចាប់ផ្តើម៖ ប្រហែលជាមានដំណើរការលាក់កំបាំងដែលកំពុងដំណើរការក្នុងផ្ទៃខាងក្រោយ។

វីនដូតែងតែដំណើរការសេវាកម្ម និងដំណើរការរាប់សិប។ ការដំណើរការក្នុងផ្ទៃខាងក្រោយគឺជាកម្មវិធីផ្សេងៗ ដែលខ្លះស្របច្បាប់ទាំងស្រុង ហើយកម្មវិធីផ្សេងទៀតអាចមានគ្រោះថ្នាក់ ឬនៅសល់ពីកម្មវិធីដែលមិនបានដំឡើងមិនត្រឹមត្រូវ។ ការរៀនដើម្បីរកឱ្យឃើញនូវអ្វីដែលកំពុងដំណើរការ លើសពីអ្វីដែលកម្មវិធីគ្រប់គ្រងភារកិច្ចស្ដង់ដារបង្ហាញ គឺជាគន្លឹះក្នុងការធ្វើឱ្យប្រសើរឡើងនូវការអនុវត្ត ការពង្រឹងសុវត្ថិភាព និងការស្វែងរកមេរោគដែលព្យាយាមលាក់។ តោះរៀនទាំងអស់គ្នា។ របៀបស្វែងរកដំណើរការដែលលាក់ ដែលមិនបង្ហាញនៅក្នុង Task Manager។

តើដំណើរការលាក់បាំងអ្វីខ្លះ ហើយហេតុអ្វីបានជាពួកវាមិនតែងតែបង្ហាញយ៉ាងច្បាស់?

រាល់កម្មវិធីដែលដំណើរការលើកុំព្យូទ័របង្កើតដំណើរការយ៉ាងហោចណាស់មួយ។ ដែលនៅតែមាននៅក្នុងអង្គចងចាំដើម្បីដំណើរការ៖ ពីកម្មវិធីរុករកឬហ្គេមទៅសេវាកម្មប្រព័ន្ធតូច។ បញ្ហាគឺថាដំណើរការទាំងនេះជាច្រើនមិនមានឈ្មោះ "មនុស្ស" ដូចជា Chrome.exe ឬ Spotify.exe ទេ ប៉ុន្តែជាការកំណត់អត្តសញ្ញាណសម្ងាត់ដែលធ្វើឱ្យវាពិបាកក្នុងការដឹងថាតើវាជាកម្មសិទ្ធិរបស់វីនដូ កម្មវិធីស្របច្បាប់ ឬមេរោគ។

លើសពីនេះ មានដំណើរការដែលអ្នកមិនអាចមើលឃើញនៅ glance ដំបូង។ នៅក្នុងផ្ទាំង "ដំណើរការ" នៃកម្មវិធីគ្រប់គ្រងភារកិច្ច ដោយសារពួកវាត្រូវបានដាក់ជាក្រុម បង្ហាញនៅក្រោមឈ្មោះទូទៅ ឬអាស្រ័យលើសេវាកម្មប្រព័ន្ធ។ ប្រភេទមេរោគមួយចំនួនបានកេងប្រវ័ញ្ចវា ដោយបញ្ចូលកូដទៅក្នុងដំណើរការស្របច្បាប់ ឬលាក់ខ្លួននៅពីក្រោយសេវាកម្មដែលមិនច្បាស់លាស់ ដែលធ្វើឱ្យពួកគេពិបាករកអ្នកប្រើប្រាស់ជាមធ្យម។

សូម្បីតែបន្ទាប់ពីលុបកម្មវិធីវាអាចមាន "សំណល់ខ្មោច"៖ កិច្ចការចាប់ផ្តើម សេវាកម្ម ឬធាតុចុះបញ្ជីដែលបន្តព្យាយាមដំណើរការក្នុងផ្ទៃខាងក្រោយ។ អ្នកនឹងមិនឃើញកម្មវិធីដែលបានដំឡើងនោះទេ ប៉ុន្តែអ្នកនឹងឃើញដំណើរការទូទៅហៅថា "កម្មវិធី" ឬអ្វីមួយដែលស្រដៀងគ្នា ដោយប្រើប្រាស់ធនធានដោយមិនផ្តល់សេវាកម្មដែលមានប្រយោជន៍។

វាក៏ជារឿងធម្មតាផងដែរសម្រាប់ដំណើរការលាក់ដែលប៉ះពាល់ដល់បណ្តាញ៖ ការតភ្ជាប់អាថ៌កំបាំង ការប្រើប្រាស់កម្រិតបញ្ជូន នៅពេលដែលអ្នកមិនគួរមានអ្វីកំពុងទាញយក ឬទំនាក់ទំនងជាមួយអ៊ីនធឺណិត ឬការកើនឡើងដែលមិនអាចពន្យល់បាននៅក្នុងស៊ីភីយូ និងការប្រើប្រាស់អង្គចងចាំ នៅពេលដែលកុំព្យូទ័រកំពុងសម្រាក តាមទ្រឹស្តី។

ការប្រើប្រាស់ Task Manager ដល់សក្តានុពលពេញលេញបំផុតរបស់វា៖ អ្វីដែលអ្នកអាចមើលឃើញពី Windows

មុនពេលយើងបន្តទៅឧបករណ៍កម្រិតខ្ពស់វាមានតម្លៃក្នុងការទាញយកអត្ថប្រយោជន៍ពេញលេញពីអ្វីដែលកម្មវិធីគ្រប់គ្រងភារកិច្ចខ្លួនឯងផ្តល់ជូន។ នៅក្នុង Windows 10 និង 11 វាមានថាមពលខ្លាំងជាងវាហាក់ដូចជាប្រសិនបើអ្នកដឹងពីកន្លែងដែលត្រូវរកមើល និងផ្លាស់ប្តូរការកំណត់លំនាំដើមមួយចំនួន។

ដើម្បីបើកវាឱ្យលឿនប្រើផ្លូវកាត់ក្តារចុច បញ្ជា (Ctrl) + ប្ដូរ (Shift) + គេច (Esc)អ្នកក៏អាចចុចកណ្ដុរស្ដាំលើរបារភារកិច្ចហើយជ្រើសរើស "កម្មវិធីគ្រប់គ្រងភារកិច្ច" ។ ប្រសិនបើវាបើកក្នុងទម្រង់សាមញ្ញ ចុចលើ "ព័ត៌មានលម្អិតបន្ថែម" ដើម្បីមើលចំណុចប្រទាក់ពេញលេញជាមួយនឹងផ្ទាំងទាំងអស់។

នៅក្នុងផ្ទាំង "ដំណើរការ" អ្នកនឹងឃើញទិដ្ឋភាពទូទៅមួយ។ ស៊ីភីយូ RAM ថាស GPU និងការប្រើប្រាស់បណ្តាញតាមកម្មវិធី។ នៅទីនេះអ្នកអាចកំណត់អត្តសញ្ញាណ "អ្នកលេងធំៗ" បានយ៉ាងងាយស្រួល (ហ្គេម កម្មវិធីរុករកតាមអ៊ីនធឺណិត កម្មវិធីកែវីដេអូ...)។ ប៉ុន្តែប្រសិនបើអ្នកចង់ចាប់ដំណើរការគួរឱ្យសង្ស័យ អ្នកត្រូវតែទៅបន្ថែមទៀតបន្តិច។

ជំហានសំខាន់គឺធ្វើឱ្យ "បង្ហាញដំណើរការពីអ្នកប្រើប្រាស់ទាំងអស់" (នៅលើកំណែចាស់របស់ Windows) ឬធានាថា Task Manager កំពុងបង្ហាញអ្វីគ្រប់យ៉ាងដែលកំពុងដំណើរការនៅក្រោមគណនី និងសេវាកម្មផ្សេងៗ។ វានឹងផ្តល់ឱ្យអ្នកនូវបញ្ជីពេញលេញបន្ថែមទៀត រួមទាំងសេវាកម្មប្រព័ន្ធ ដែលជួនកាលត្រូវបានប្រើប្រាស់ដោយមេរោគ។

ផ្ទាំងព័ត៌មានលម្អិត ការត្រួតពិនិត្យធនធាន និងការវិភាគបណ្តាញ

ផ្ទាំង "ព័ត៌មានលម្អិត" នៃកម្មវិធីគ្រប់គ្រងភារកិច្ច នេះគឺជាកន្លែងដែលបញ្ជីពេញលេញនៃដំណើរការដែលកំពុងដំណើរការពិតជាលេចឡើង។ រាល់ការប្រតិបត្តិត្រូវបានបង្ហាញនៅទីនេះ មិនបានដាក់ជាក្រុម ជាមួយនឹងឈ្មោះខាងក្នុងរបស់វា។ វា​ជា​ទិដ្ឋភាព​ជិត​បំផុត​ទៅ​នឹង​អ្វី​ដែល​ប្រព័ន្ធ​ប្រតិបត្តិការ​ខ្លួន​ឯង​ឃើញ។

ពីផ្ទាំងនេះអ្នកអាចកំណត់ទីតាំងដំណើរការដែលមើលទៅចម្លែក។ រកមើលដំណើរការដែលអ្នកមិនស្គាល់ មានឈ្មោះទូទៅ ឬដែលប្រើប្រាស់ធនធានមិនធម្មតា។ ប្រសិនបើអ្នកចុចកណ្ដុរស្ដាំលើដំណើរការណាមួយ អ្នកអាច "បើកទីតាំងឯកសារ" ដែលជាការចាំបាច់ដើម្បីដឹងថាតើកម្មវិធីប្រតិបត្តិនោះមកពីណា។

ជួរឈរមានប្រយោជន៍ខ្លាំងណាស់មួយទៀតគឺជួរឈរ "ឈ្មោះផ្លូវរូបភាព" ។ (នៅក្នុងការបកប្រែខ្លះ វាលេចឡើងជា "ផ្លូវរូបភាព")។ អ្នក​អាច​ធ្វើ​ឱ្យ​វា​សកម្ម​ដោយ​ចុច​កណ្ដុរ​ខាង​ស្ដាំ​លើ​បឋមកថា​ជួរ​ឈរ ជ្រើស "ជ្រើស​ជួរ​ឈរ" ហើយ​ពិនិត្យ​ជម្រើស​នេះ។ វានឹងបង្ហាញអ្នកពីផ្លូវពេញលេញនៃឯកសារដែលនៅពីក្រោយដំណើរការនីមួយៗ។

ដើម្បី​ស្វែងយល់​ឱ្យ​កាន់តែ​ស៊ីជម្រៅ​ទៅក្នុង​ឥរិយាបថ​បណ្តាញបើកផ្ទាំង "ការអនុវត្ត" ហើយបន្ទាប់មកចុច "បើកការត្រួតពិនិត្យធនធាន" ។ នៅក្នុងផ្ទាំង "បណ្តាញ" នៃ Resource Monitor អ្នកនឹងឃើញដំណើរការណាមួយដែលកំពុងបង្កើតការភ្ជាប់ តើចរាចរណ៍ប៉ុន្មានដែលពួកគេកំពុងផ្ញើ និងទទួល និងអាសយដ្ឋាន IP ណា។ ប្រសិនបើអ្នករកឃើញកម្មវិធីដែលមិនធ្លាប់ស្គាល់ដែលភ្ជាប់ទៅអាសយដ្ឋានមិនធម្មតា វាជាការបង្ហាញយ៉ាងច្បាស់ថាមានអ្វីមួយខុស។

ពិនិត្យមើលកម្មវិធីចាប់ផ្ដើម និងកម្មវិធីដែលមិនបានដំឡើងដែលនៅសល់

ដំណើរការលាក់កំបាំងជាច្រើនបានជ្រៀតចូលទៅក្នុងដំណើរការចាប់ផ្តើមវីនដូ។ដូច្នេះពួកវាចាប់ផ្តើមដោយស្វ័យប្រវត្តិរាល់ពេលដែលអ្នកបើកកុំព្យូទ័ររបស់អ្នក។ នេះពន្យល់ពីមូលហេតុ សូម្បីតែបន្ទាប់ពី "បិទអ្វីៗគ្រប់យ៉ាង" ក៏ដោយ ក៏ការប្រើប្រាស់ RAM នៅតែខ្ពស់ ឬប្រព័ន្ធត្រូវចំណាយពេលយូរដើម្បីអាចប្រើប្រាស់បាន។

នៅក្នុង Task Manager អ្នកមានផ្នែក "Startup" (នៅក្នុង Windows 11 វាបង្ហាញនៅក្នុងម៉ឺនុយចំហៀងជា "កម្មវិធីចាប់ផ្តើម" និងនៅក្នុង Windows 10 ជាផ្ទាំង "ចាប់ផ្តើម") ។ នៅទីនោះអ្នកនឹងឃើញកម្មវិធីទាំងអស់ដែលបើកដំណើរការដោយស្វ័យប្រវត្តិនៅពេលអ្នកចូល។

វាជារឿងធម្មតាទេក្នុងការស្វែងរកឧបករណ៍ប្រើប្រាស់សម្រាប់កាតក្រាហ្វិក (NVIDIA, AMD) កាតសំឡេង ឬកណ្តុរ។ហើយកម្មវិធីដែលអ្នកចង់បើកដោយស្វ័យប្រវត្តិផងដែរ ពីព្រោះអ្នកប្រើវាជារៀងរាល់ថ្ងៃ។ ប៉ុន្តែប្រសិនបើអ្នកឃើញធាតុដោយគ្មានឈ្មោះច្បាស់លាស់ ដំណើរការទូទៅដូចជា "កម្មវិធី" ឬឯកសារយោងទៅកម្មវិធីដែលអ្នកបានលុបតាំងពីយូរយារណាស់មកហើយ ពួកគេសមនឹងទទួលបានការយកចិត្តទុកដាក់របស់អ្នក។

អ្នកអាចបិទធាតុចាប់ផ្តើមណាមួយដោយចុចខាងស្តាំ។ ដែលអ្នកមិនចង់បាន។ វា​មិន​លុប​កម្មវិធី​ទេ វា​គ្រាន់​តែ​ការពារ​វា​ពី​ការ​ចាប់​ផ្ដើម​ជាមួយ Windows។ វាជាវិធីរហ័សដើម្បីពិនិត្យមើលថាតើដំណើរការអាថ៌កំបាំងនោះជាពិរុទ្ធជននៅពីក្រោយភាពយឺតយ៉ាវ ឬការប្រើប្រាស់ RAM ច្រើនពេក។

នៅពេលដែលកម្មវិធីមួយត្រូវបានលុបមិនត្រឹមត្រូវវាជារឿងធម្មតាសម្រាប់ Windows ក្នុងការទុកដាននៅក្នុងកម្មវិធីចាប់ផ្ដើម កិច្ចការដែលបានកំណត់ពេល ឬសេវាកម្មដែលវាបន្តព្យាយាមបើកដំណើរការ បើទោះបីជាមិនអាចប្រតិបត្តិបានទៀតទេ។ ទាំងនេះត្រូវបានគេហៅថា "ដំណើរការខ្មោច" ឬ "ដំណើរការសំណល់" ។ ដើម្បីកំណត់អត្តសញ្ញាណពួកវាឱ្យបានត្រឹមត្រូវ អ្នកត្រូវការឧបករណ៍ឯកទេសបន្ថែមទៀត។

Autoruns សម្រាប់ Windows៖ កំណត់ទីតាំង និងលុបដំណើរការ phantom និងសម្ភារៈដែលនៅសល់

ក្រុមហ៊ុន Microsoft ផ្តល់ជូននូវឧបករណ៍ដ៏មានឥទ្ធិពលមួយដែលមានឈ្មោះថា Autoruns សម្រាប់ Windows ដោយឥតគិតថ្លៃ។ជាផ្នែកមួយនៃបណ្តុំ Sysinternals ដែលបង្កើតឡើងដោយ Mark Russinovich កម្មវិធីនេះបង្ហាញនូវអ្វីគ្រប់យ៉ាងដែលដំណើរការនៅពេលចាប់ផ្តើមប្រព័ន្ធ ឬភ្ជាប់ទៅចំណុចសំខាន់ៗនៅក្នុង Windows ។

ពីគេហទំព័រផ្លូវការរបស់ Microsoft Sysinternals អ្នកអាចទាញយក Autoruns ក្នុងទម្រង់ ZIP ។ នៅពេលដែលបានស្រង់ចេញ សូមបើក "Autoruns.exe" ឬ "Autoruns64.exe" អាស្រ័យលើប្រព័ន្ធរបស់អ្នក។ វាមិនត្រូវការការដំឡើង; វា​ជា​ការ​ប្រតិបត្តិ​ចល័ត​។

នៅពេលបើក Autoruns បង្ហាញបញ្ជីដ៏ធំនៃធាតុកម្មវិធីចាប់ផ្ដើម សេវាកម្ម ផ្នែកបន្ថែម Explorer ធាតុការិយាល័យ កម្មវិធីបញ្ជា កិច្ចការដែលបានកំណត់ពេល។

ការយកចិត្តទុកដាក់ជាពិសេសគួរតែត្រូវបានបង់ទៅច្រកចូលដែលមានពណ៌លឿង។ទាំងនេះច្រើនតែត្រូវគ្នាទៅនឹងដំណើរការ ឬផ្លូវដែលលែងមាននៅក្នុងប្រព័ន្ធ៖ សំណល់នៃកម្មវិធីដែលមិនបានដំឡើងយ៉ាងលឿន ដំណើរការស្វ័យប្រវត្តិដែលបន្តព្យាយាមរត់ ឬផ្លូវខូច។ អ្នកក៏នឹងឃើញធាតុនៅក្នុងពណ៌ផ្សេងទៀតដែលបង្ហាញពីសមាសធាតុសំខាន់ ឬពិសេស។

ប្រសិនបើអ្នករកឃើញច្រកចូលដែលនៅសេសសល់យ៉ាងច្បាស់ ឬគួរឱ្យសង្ស័យ (ឧទាហរណ៍ ប្រសិនបើវាជាកម្មវិធីដែលអ្នកដឹងថាអ្នកបានដកចេញរួចហើយ ឬជាសមាសភាគដែលមិនស្គាល់) អ្នកអាចចុចខាងស្តាំលើវា។ ម៉ឺនុយបរិបទផ្តល់ជម្រើសដូចជា "លុប" ដើម្បីលុបវា បើកទីតាំងឯកសារ ស្កេនរកមេរោគ ឬស្វែងរកតាមអ៊ីនធឺណិតសម្រាប់ព័ត៌មានអំពីកម្មវិធីដែលអាចប្រតិបត្តិបាន។

Autoruns មានថាមពលខ្លាំង ប៉ុន្តែក៏មានគ្រោះថ្នាក់ផងដែរ ប្រសិនបើអ្នកមិនដឹងថាអ្នកកំពុងធ្វើអ្វី។អ្នកនិពន្ធខ្លួនឯងបានផ្តល់អនុសាសន៍ថា វាត្រូវបានដោះស្រាយដោយអ្នកបច្ចេកទេស ឬយ៉ាងហោចណាស់ អ្នកប្រើប្រាស់ដែលមានបទពិសោធន៍ខ្លះ។ ការលុបធាតុប្រព័ន្ធសំខាន់ៗ កម្មវិធីបញ្ជា GPU ឬសមាសធាតុផ្នែករឹងអាចទុកឱ្យអ្នកដោយគ្មានមុខងារមួយចំនួន ឬសូម្បីតែធ្វើឱ្យ Windows បរាជ័យក្នុងការចាប់ផ្ដើមត្រឹមត្រូវ។

អត្ថប្រយោជន៍គឺថាជាមួយនឹងការយកចិត្តទុកដាក់ខ្លះអ្នកអាចសម្អាតប្រព័ន្ធ វាលុបកម្មវិធីដែលនៅសេសសល់ដែលអ្នកលែងមាន លុបបំបាត់ដំណើរការចាប់ផ្តើមបែបខ្មោច និងរកឃើញស្វ័យប្រវត្តិកម្មគួរឱ្យសង្ស័យដែលមិនច្បាស់លាស់នៅក្នុងកម្មវិធីគ្រប់គ្រងភារកិច្ចបែបប្រពៃណី។

ដំណើរការ Explorer៖ "កម្មវិធីគ្រប់គ្រងភារកិច្ចដែលលើសចំណុះ" របស់ Microsoft

ប្រសិនបើ Task Manager ខ្វះខាតសម្រាប់អ្នកជម្រើសផ្ទាល់ និងផ្លូវការរបស់ Microsoft គឺ Process Explorer ដែលជាត្បូងមួយទៀតពីឈុត Sysinternals ។ វាត្រូវបានរចនាឡើងសម្រាប់អ្នកគ្រប់គ្រងប្រព័ន្ធ និងអ្នកប្រើប្រាស់កម្រិតខ្ពស់ដែលត្រូវការការគ្រប់គ្រងពេញលេញ និងព័ត៌មានលម្អិតអំពីដំណើរការនីមួយៗ។

ដំណើរការ Explorer អាចទាញយកបានពីគេហទំព័រ Sysinternals ។ វាមកក្នុងឯកសារដែលបានបង្ហាប់។ ពន្លាវាទៅថតឯកសារណាមួយ ហើយដំណើរការ “procexp64.exe” ប្រសិនបើប្រព័ន្ធរបស់អ្នកមាន 64-bit (ឬកំណែ 32-bit ប្រសិនបើអាច)។ វាមិនតម្រូវឱ្យមានការដំឡើងទេ ហើយវាត្រូវបានណែនាំឱ្យដំណើរការវាជាអ្នកគ្រប់គ្រង ដើម្បីមើលព័ត៌មានលម្អិតទាំងអស់។

ចំណុចប្រទាក់បង្ហាញមែកធាងដំណើរការឋានានុក្រមដែលអ្នកអាចមើលឃើញយ៉ាងច្បាស់ថាកម្មវិធីមួយណាបានបើកដំណើរការ មួយណាដែលវាបើក ខ្សែ DLL ដែលវាកំពុងប្រើ និងច្រើនទៀត។ ដំណើរការនីមួយៗមានពណ៌ទៅតាមប្រភេទរបស់វា ហើយពណ៌ទាំងនេះអាចកំណត់រចនាសម្ព័ន្ធបានពីជម្រើស > កំណត់រចនាសម្ព័ន្ធពណ៌។

អត្ថប្រយោជន៍ដ៏អស្ចារ្យមួយនៃដំណើរការ Explorer វាអនុញ្ញាតឱ្យអ្នកបើកទីតាំងដែលអាចប្រតិបត្តិបាន មើលលក្ខណៈសម្បត្តិសុវត្ថិភាពរបស់វា ខ្សែអក្សរខាងក្នុង ឧបករណ៍ពិពណ៌នា និងសូម្បីតែធ្វើអន្តរកម្មជាមួយវាពីបន្ទាត់ពាក្យបញ្ជា ឬបង្កើតការបោះចោលអង្គចងចាំសម្រាប់ការវិភាគកម្រិតខ្ពស់។

ក្នុងករណីដែលអ្នកចង់ជំនួស Task Manager ទាំងស្រុងពីម៉ឺនុយជម្រើសអ្នកអាចជ្រើសរើស "ជំនួសកម្មវិធីគ្រប់គ្រងភារកិច្ច" ។ បន្ទាប់ពីនោះ នៅពេលដែលអ្នកប្រើផ្លូវកាត់ Ctrl + Shift + Esc នោះ Process Explorer នឹងបើកជំនួសឱ្យ Windows Task Manager ស្តង់ដារ។

ការរួមបញ្ចូលដំណើរការ Explorer ជាមួយ VirusTotal ដើម្បីស្វែងរកមេរោគ

ដំណើរការ Explorer មិនមែនគ្រាន់តែដើម្បីមើលអ្វីដែលកំពុងដំណើរការនោះទេ។វាក៏ជួយកំណត់ថាតើវាគួរឱ្យទុកចិត្តដែរឬទេ។ លក្ខណៈពិសេសដ៏ល្អបំផុតមួយរបស់វា ដែលត្រូវបានដាក់បញ្ចូលកាលពីឆ្នាំមុន គឺការរួមបញ្ចូលរបស់វាជាមួយ VirusTotal ដែលជាសេវាកម្មដ៏ល្បីដែលវិភាគឯកសារជាមួយនឹងម៉ាស៊ីនកំចាត់មេរោគរាប់សិបក្នុងពេលដំណាលគ្នា។

ដើម្បីធ្វើឱ្យការរួមបញ្ចូលនេះ។បើកដំណើរការ Explorer ហើយចូលទៅកាន់ម៉ឺនុយជម្រើស> VirusTotal ។ បើកជម្រើសដើម្បីផ្ញើ hashes ដំណើរការទៅ VirusTotal សម្រាប់ការវិភាគ (នៅក្នុងកំណែបច្ចុប្បន្ន វាត្រូវបានធ្វើដោយសុវត្ថិភាពដោយផ្ញើតែស្នាមម្រាមដៃឯកសារ)។

ការធ្វើដូច្នេះនឹងបន្ថែមជួរឈរថ្មីទៅបង្អួចមេ។ ជាមួយនឹងលទ្ធផលនៃការវិភាគនៃដំណើរការនីមួយៗ។ អ្នកនឹងឃើញអ្វីមួយដូចជា "0/70", "1/70" ជាដើម ដែលបង្ហាញពីចំនួនម៉ាស៊ីនកំចាត់មេរោគដែលដាក់ទង់ថាគួរឱ្យសង្ស័យក្នុងចំណោមចំនួនសរុប។

ដំណើរការដែលបង្ហាញជាពណ៌បៃតង ឬជាមួយនឹងការរកឃើញ 0 ពួកវាជាទូទៅត្រូវបានចាត់ទុកថាស្អាត ទោះបីជាអវិជ្ជមានមិនពិតតែងតែអាចធ្វើទៅបានក៏ដោយ។ ប្រសិនបើដំណើរការមួយលេចឡើងជាពណ៌ក្រហម ឬជាមួយនឹងការរកឃើញច្រើន វាទំនងជាមេរោគ ឬយ៉ាងហោចណាស់អ្វីមួយដែលមានតម្លៃស៊ើបអង្កេត។

ប្រសិនបើអ្នកចុចលើលទ្ធផល VirusTotalបន្ទាប់មកទំព័រវិភាគនឹងបើកជាមួយព័ត៌មានបន្ថែម៖ ម៉ាស៊ីនណាដែលបានរកឃើញវា គ្រួសារមេរោគដែលវាអាចជាកម្មសិទ្ធិ អាកប្បកិរិយាដែលបានសង្កេត។

របៀបប្រើ Process Explorer ដើម្បីស្វែងរកផ្លូវនៃមេរោគ

នៅក្នុងបរិយាកាសមន្ទីរពិសោធន៍ ឬម៉ាស៊ីននិម្មិតវាជារឿងធម្មតាសម្រាប់សិស្សានុសិស្ស និងអ្នកវិភាគសុវត្ថិភាពក្នុងការប្រើប្រាស់ Process Explorer ដើម្បីកំណត់ទីតាំងមេរោគ និងសិក្សាពីអាកប្បកិរិយារបស់វា។ កិច្ចការធម្មតាមួយគឺត្រូវស្វែងរកផ្លូវពិតប្រាកដនៃកម្មវិធីព្យាបាទដែលអាចប្រតិបត្តិបាន ដើម្បីផ្ទុកវាទៅក្នុងឧបករណ៍ផ្តាច់។

ជាធម្មតាវាគ្រប់គ្រាន់ដើម្បីកំណត់ទីតាំងនៃដំណើរការគួរឱ្យសង្ស័យ។ នៅក្នុងបញ្ជីនេះ ចុចកណ្ដុរស្ដាំ ហើយប្រើ "Properties" ឬ "Open file location" ដើម្បីរកមើលថាតើ folder binary មួយណានៅក្នុង។ ពីទីនោះ អ្នកអាចចម្លងវាទៅបរិស្ថានដែលបានគ្រប់គ្រងផ្សេងទៀត ដើម្បីវិភាគវាដោយប្រើឧបករណ៍ដូចជា IDA, Ghidra ឬ disassemblers ផ្សេងទៀត។

បញ្ហាកើតឡើងនៅពេលដែល ស មេរោគគ្មានឯកសារ ព្យាយាមលាក់ផ្លូវរបស់វា។វាអាចកើតឡើងដោយសារតែវារៀបចំប្រព័ន្ធ ឬដោយសារតែវាបញ្ចូលកូដរបស់វាទៅក្នុងដំណើរការស្របច្បាប់។ នៅក្នុងករណីទាំងនេះ ដំណើរការ Explorer អាចបង្ហាញអ្នកពីដំណើរការនេះ ប៉ុន្តែមិនកំណត់អត្តសញ្ញាណប្រភពច្បាស់លាស់ទេ ឬវាអាចបង្ហាញព័ត៌មានមិនពេញលេញ។

នៅពេលវាកើតឡើង វាត្រូវបានណែនាំឱ្យបញ្ចូលគ្នានូវឧបករណ៍ជាច្រើន។៖ ពិនិត្យមើលបញ្ជីឈ្មោះ (HKCU និង HKLM Run និង RunOnce keys) ពិនិត្យកិច្ចការដែលបានកំណត់ពេល ប្រើ Autoruns ដើម្បីមើលអ្វីដែលត្រូវបានបើកនៅពេលចាប់ផ្តើម ហើយប្រសិនបើចាំបាច់ ងាកទៅរកឧបករណ៍វិភាគមេរោគជាក់លាក់ ឬម៉ាស៊ីននិម្មិតដែលមានការត្រួតពិនិត្យប្រព័ន្ធកម្រិតខ្ពស់។

ក្នុងករណីណាក៏ដោយប្រសិនបើអ្នករកឃើញដំណើរការដែលមានអាកប្បកិរិយាគួរឱ្យសង្ស័យ ប្រសិនបើ VirusTotal ដាក់ទង់ឯកសារថាជាព្យាបាទ ជំហានដំបូងគឺត្រូវញែកម៉ាស៊ីនដែលរងផលប៉ះពាល់ចេញពីបណ្តាញ បញ្ចប់ដំណើរការប្រសិនបើអាចធ្វើទៅបាន ហើយបន្ទាប់មកស្កេន ឬយកគំរូចេញជាមួយនឹងដំណោះស្រាយសុវត្ថិភាពឯកទេស។ សម្រាប់ព័ត៌មានបន្ថែមអំពីដំណើរការ Explorer សូមមើលទំព័រ គេហទំព័រផ្លូវការរបស់ Windows ។

បង្ហាញឯកសារ និងថតដែលលាក់៖ ជាឧទាហរណ៍ក្នុងពិភពពិតដោយប្រើមេរោគ “Streamerdata”

មេរោគមួយចំនួនមិនគ្រាន់តែលាក់ជាដំណើរការប៉ុណ្ណោះទេពួកគេមិនត្រឹមតែលាក់ថត និងឯកសាររបស់ពួកគេដើម្បីធ្វើឱ្យការដកយកចេញកាន់តែពិបាកប៉ុណ្ណោះទេ ប៉ុន្តែពួកគេក៏លាក់ពួកវាផងដែរ។ ឧទាហរណ៍ធម្មតាគឺការឆ្លងដែលបង្កើតថតលាក់នៅក្នុងថត root នៃឌីស ដូចជា "C:\Streamerdata" ហើយចម្លងផ្លូវកាត់ទទេពេញប្រព័ន្ធ។

នៅក្នុងប្រភេទនៃសេណារីយ៉ូនេះ កំចាត់មេរោគបន្តរកឃើញការគំរាមកំហែង (ឧទាហរណ៍ Win64:Malware-gen) វាបញ្ជូនវាទៅបណ្ណសារ ហើយលុបវា… ប៉ុន្តែភ្លាមៗនោះវាលេចឡើងម្តងទៀត។ ទន្ទឹមនឹងនេះដែរ អ្នកសម្គាល់ឃើញថាប្រព័ន្ធមានភាពយឺតយ៉ាវ មានថត និងផ្លូវកាត់ចម្លែកៗ ហើយសូម្បីតែដំណើរការដែលមានឈ្មោះ "ឧបករណ៍កំចាត់មេរោគ" ក្លែងក្លាយក៏លេចឡើងនៅក្នុង Task Manager ។

បច្ចេកទេសមួយដែលអ្នកប្រើប្រាស់មួយចំនួនបានប្រើ វាពាក់ព័ន្ធនឹងការបង្កើតឯកសារ .bat ជាមួយនឹងពាក្យបញ្ជាដែលលុបមុខងារលាក់ ប្រព័ន្ធ និងបានតែអានពីឯកសារទាំងអស់នៅលើដ្រាយ។ អ្វីមួយដែលស្រដៀងនឹង៖

attrib -r -a -h -s U:\*.* /S /D (កន្លែងដែល U គឺជាដ្រាយដើម្បីសម្លាប់មេរោគ) ។ នេះនៅពេលដែលដំណើរការជាអ្នកគ្រប់គ្រង បង្ខំឱ្យអ្វីៗអាចមើលឃើញ រួមទាំងថតព្យាបាទដែលពីមុនត្រូវបានលាក់ទាំងស្រុង ដែលអនុញ្ញាតឱ្យវាត្រូវបានលុបដោយដៃ។

គុណវិបត្តិនៃការប្រើប្រាស់ស្គ្រីបប្រភេទទាំងនេះច្រើនពេក វាក៏បង្ហាញនូវថតប្រព័ន្ធ និងឯកសារជាច្រើនដែលជាធម្មតាត្រូវបានលាក់សម្រាប់ហេតុផលសុវត្ថិភាព៖ ថតការកំណត់រចនាសម្ព័ន្ធ ឯកសារ desktop.ini ជាដើម។ ប្រសិនបើអ្នកមិនប្រុងប្រយ័ត្ន និងលុបអ្វីដែលអ្នកមិនគួរធ្វើទេ អ្នកអាចធ្វើឱ្យប្រព័ន្ធរបស់អ្នកមិនស្ថិតស្ថេរ។

នៅក្នុងឧទាហរណ៍ "Streamerdata" ដោយបើកមើលអ្វីៗគ្រប់យ៉ាង ឯកសារ “desktop” (desktop.ini) បានចាប់ផ្តើមលេចឡើងនៅលើកុំព្យូទ័រលើតុ និងក្នុងថតផ្សេងៗ ហើយប្រព័ន្ធខ្លួនវាបានបង្ហាញកំហុសនៅពេលចាប់ផ្តើមខណៈពេលព្យាយាមកំណត់ទីតាំងថតមេរោគដែលត្រូវបានលុបរួចហើយ។ នេះគឺជាឧទាហរណ៍ច្បាស់លាស់អំពីរបៀបដែលការសម្អាតដោយដៃដោយគ្មានការយល់ដឹងត្រឹមត្រូវអំពីអ្វីដែលអ្នកកំពុងធ្វើអាចមានផលវិបាកដោយអចេតនា។

ប្រសិនបើអ្នកឃើញខ្លួនឯងស្ថិតក្នុងស្ថានភាពស្រដៀងគ្នាវិធីសាស្រ្តដែលបានណែនាំគឺត្រូវបញ្ចូលគ្នានូវឈុតកំចាត់មេរោគ ឬកំចាត់មេរោគល្អ (Malwarebytes, Windows Defender ដែលបានធ្វើបច្ចុប្បន្នភាពយ៉ាងល្អ។ Winaero Tweaker ដើម្បីលាក់ឯកសារប្រព័ន្ធសំខាន់ៗម្តងទៀត ដែលមិនគួរត្រូវបានមើលឃើញ ឬប៉ះជារៀងរាល់ថ្ងៃ។

ការគ្រប់គ្រងកំណត់ត្រា និងបច្ចេកទេសបំពេញបន្ថែមផ្សេងទៀត។

ដំណើរការដែលលាក់ និងមេរោគជាប់លាប់ ជារឿយៗពួកគេពឹងផ្អែកលើបញ្ជីឈ្មោះវីនដូដើម្បីចាប់ផ្ដើមម្តងហើយម្តងទៀត។ ការដឹងពីសោចុះបញ្ជីសាមញ្ញបំផុតជួយកំណត់ទីតាំងពួកវាបានយ៉ាងច្រើន នៅពេលដែលឧបករណ៍ផ្សេងទៀតមិនអាចសន្និដ្ឋានបាន។

ដោយប្រើពាក្យបញ្ជា Win + R ហើយវាយ "regedit"បន្ទាប់មក អ្នកចូលទៅកាន់ Registry Editor (ប្រើឧបករណ៍នេះដោយប្រុងប្រយ័ត្នបំផុត)។ ផ្លូវទូទៅបំផុតដែលកម្មវិធីដែលចាប់ផ្តើមជាមួយប្រព័ន្ធត្រូវបានចុះឈ្មោះគឺ៖

HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ រត់ y HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ រត់កន្លែងដែលកម្មវិធីត្រូវបានរក្សាទុក ដែលចាប់ផ្តើមនៅពេលអ្នកប្រើប្រាស់បច្ចុប្បន្ន ឬអ្នកប្រើប្រាស់ណាមួយចូល រៀងៗខ្លួន។ គួរកត់សំគាល់ផងដែរ។ រត់ម្តងដែលប្រតិបត្តិធាតុតែម្តងគត់នៅពេលចាប់ផ្តើមបន្ទាប់។

ការពិនិត្យមើលសោទាំងនេះអាចបង្ហាញធាតុដែលមិនស្គាល់ ជាមួយនឹងផ្លូវមិនធម្មតា ឬអ្នកដែលចង្អុលទៅថតបណ្តោះអាសន្ន ថតកម្រងព័ត៌មានអ្នកប្រើប្រាស់មិនធម្មតា ឬឈ្មោះឯកសារចៃដន្យ។ នៅក្នុងករណីទាំងនេះ វាសមហេតុផលដែលគួរឱ្យសង្ស័យ ហើយបន្ទាប់ពីធ្វើការបម្រុងទុក លុបធាតុ ឬបិទវានៅពេលអ្នកស្កេនជាមួយកម្មវិធីកំចាត់មេរោគ។

មធ្យោបាយដ៏មានប្រសិទ្ធភាពមួយទៀតគឺការប្រើបន្ទាត់ពាក្យបញ្ជាការដំណើរការ "បញ្ជីភារកិច្ច" នៅក្នុងបង្អួចប្រអប់បញ្ចូលពាក្យបញ្ជាដែលមានសិទ្ធិជាអ្នកគ្រប់គ្រងនឹងបង្ហាញបញ្ជីពេញលេញនៃដំណើរការ។ អ្នកអាចផ្សំវាជាមួយតម្រង (តាមឈ្មោះ PID ។ល។) ឬជាមួយឧបករណ៍ផ្សេងទៀតដូចជា "wmic" ឬ "powershell" ដើម្បីទទួលបានព័ត៌មានលម្អិតបន្ថែម។

ជាចុងក្រោយ យើងមិនត្រូវភ្លេចតួនាទីរបស់កម្មវិធីកំចាត់មេរោគនោះទេ។ការរក្សាវាឱ្យទាន់សម័យ និងដំណើរការការស្កេនប្រព័ន្ធពេញលេញជួយរកឃើញដំណើរការលាក់កំបាំងដែលក្លែងធ្វើជាសេវាកម្មស្របច្បាប់។ ផលិតផលបច្ចុប្បន្នជាច្រើនក៏ត្រួតពិនិត្យឥរិយាបថក្នុងពេលវេលាជាក់ស្តែង ដោយរារាំងដំណើរការដែលមានឥរិយាបថដូចមេរោគ បើទោះបីជាឯកសារខ្លួនវាមិនទាន់ត្រូវបានចុះហត្ថលេខានៅក្នុងមូលដ្ឋានទិន្នន័យក៏ដោយ។

មានការគ្រប់គ្រងពិតប្រាកដលើអ្វីដែលដំណើរការលើកុំព្យូទ័ររបស់អ្នក។ វាពាក់ព័ន្ធនឹងការរួមបញ្ចូលទាំងអស់ខាងលើ៖ ការប្រើប្រាស់ Task Manager ប្រកបដោយប្រសិទ្ធភាព ការប្រើប្រាស់ Autoruns និង Process Explorer ការត្រួតពិនិត្យបញ្ជីឈ្មោះ និងពឹងផ្អែកលើដំណោះស្រាយកំចាត់មេរោគដ៏រឹងមាំ។ ជាមួយនឹងឧបករណ៍ទាំងនេះ ការកំណត់ទីតាំងដំណើរការដែលលាក់មិនឃើញភ្លាមៗ ហើយសម្រេចចិត្តថាត្រូវធ្វើអ្វីជាមួយពួកគេ លែងជាអាថ៌កំបាំង ហើយក្លាយជាកិច្ចការដែល ជាមួយនឹងការអនុវត្តន៍តិចតួច អ្នកអាចធ្វើជាម្ចាស់ដោយមិនចាំបាច់ធ្វើជាអ្នកលួចចម្លងអាជីព។

អត្ថបទទាក់ទង៖

របៀបការពារកុំព្យូទ័រ Windows របស់អ្នកប្រឆាំងនឹងការធ្វើចារកម្មកម្រិតខ្ពស់ដូចជា APT35 និងការគំរាមកំហែងផ្សេងទៀត។

គ្រឹស្តសាសនា

ស្រលាញ់បច្ចេកវិទ្យាតាំងពីតូច។ ខ្ញុំចូលចិត្តធ្វើឱ្យទាន់សម័យនៅក្នុងវិស័យនេះ ហើយសំខាន់ជាងនេះទៅទៀតគឺការទំនាក់ទំនង។ នោះហើយជាមូលហេតុដែលខ្ញុំបានឧទ្ទិសដល់ការទំនាក់ទំនងនៅលើគេហទំព័របច្ចេកវិទ្យា និងវីដេអូហ្គេមអស់រយៈពេលជាច្រើនឆ្នាំ។ អ្នក​អាច​រក​ឃើញ​ខ្ញុំ​សរសេរ​អំពី Android, Windows, MacOS, iOS, Nintendo ឬ​ប្រធាន​បទ​ពាក់ព័ន្ធ​ផ្សេង​ទៀត​ដែល​នឹក​ឃើញ។