- Slēptie procesi var būt ļaunprogrammatūra, sistēmas pakalpojumi vai programmatūras atliekas, kas patērē resursus, nebūdami skaidri redzami.
- Uzdevumu pārvaldnieks kopā ar cilni Detalizēta informācija un resursu monitoru ļauj atklāt aizdomīgus procesus un savienojumus.
- Uzlaboti rīki, piemēram, Autoruns un Process Explorer (ar VirusTotal), piedāvā pilnīgu kontroli pār procesiem, startēšanu un fantoma paliekām.
- Šo rīku apvienošana ar reģistra pārbaudi un labu pretvīrusu programmu ir būtiska, lai saglabātu veiktspēju un drošību operētājsistēmā Windows.
Dators darbojas lēni bez redzama iemesla.Ja RAM izmantošana strauji pieaug pat tad, ja nekas nav atvērts, vai arī, spēlējot spēles, rodas aizture, tā parasti ir pirmā pazīme, ka kaut kas nav kārtībā. Bieži vien mēs atveram uzdevumu pārvaldnieku, meklējot vainīgo... un nekas neparasts neparādās. Tieši tur sākas aizdomas: fonā varētu darboties slēpti procesi.
Windows pastāvīgi darbina desmitiem pakalpojumu un procesu. Fonā darbojas dažādas programmas, dažas no tām ir pilnīgi likumīgas, bet citas ir potenciāli bīstamas vai palikušas pāri no nepareizi atinstalētas programmatūras. Mācīšanās noteikt, kas patiesībā darbojas, papildus tam, ko parāda standarta uzdevumu pārvaldnieks, ir būtiska, lai uzlabotu veiktspēju, stiprinātu drošību un atmaskotu ļaunprogrammatūru, kas mēģina slēpties. Uzzināsim visu par to. Kā atklāt slēptos procesus, kas neparādās uzdevumu pārvaldniekā.
Kas ir slēptie procesi un kāpēc tie ne vienmēr ir skaidri redzami?
Katra programma, kas darbojas datorā, ģenerē vismaz vienu procesu kas paliek atmiņā, lai darbotos: sākot no pārlūkprogrammas vai spēles līdz nelieliem sistēmas pakalpojumiem. Problēma ir tā, ka daudziem no šiem procesiem nav “cilvēciska” nosaukuma, piemēram, Chrome.exe vai Spotify.exe, bet gan šifrēti identifikatori, kas apgrūtina noteikšanu, vai tie pieder Windows, likumīgai programmai vai ļaunprogrammatūrai.
Turklāt ir procesi, kurus no pirmā acu uzmetiena nevar pamanīt. uzdevumu pārvaldnieka cilnē “Procesi”, jo tie ir grupēti, tiek rādīti ar vispārīgiem nosaukumiem vai ir atkarīgi no sistēmas pakalpojumiem. Daži ļaunprogrammatūras veidi to izmanto, ievietojot kodu likumīgos procesos vai slēpjoties aiz neskaidriem pakalpojumiem, padarot tos ārkārtīgi grūti atrodamus vidusmēra lietotājam.
Pat pēc programmu atinstalēšanasVar būt "spoku paliekas": startēšanas uzdevumi, pakalpojumi vai reģistra ieraksti, kas turpina mēģināt darboties fonā. Jūs neredzēsiet instalēto programmu, bet redzēsiet vispārīgu procesu ar nosaukumu "Programma" vai kaut ko līdzīgu, kas patērē resursus, nesniedzot nekādu noderīgu pakalpojumu.
Ir arī bieži, ka slēptie procesi ietekmē tīklu.noslēpumaini savienojumi, joslas platuma izmantošana, kad nevajadzētu neko lejupielādēt vai sazināties ar internetu, vai neizskaidrojami centrālā procesora un atmiņas patēriņa pieaugumi, kad dators teorētiski atrodas miera stāvoklī.
Izmantojot uzdevumu pārvaldnieku pilnībā: ko jūs faktiski varat redzēt operētājsistēmā Windows
Pirms pārejam pie uzlabotiem rīkiemIr vērts pilnībā izmantot to, ko piedāvā pats uzdevumu pārvaldnieks. Operētājsistēmās Windows 10 un 11 tas ir daudz jaudīgāks, nekā šķiet, ja zināt, kur meklēt un mainīt dažus noklusējuma iestatījumus.
Lai to ātri atvērtuIzmantojiet īsinājumtaustiņu Ctrl + Shift + EscVarat arī ar peles labo pogu noklikšķināt uz uzdevumjoslas un izvēlēties “Uzdevumu pārvaldnieks”. Ja tas tiek atvērts vienkāršotā režīmā, noklikšķiniet uz “Vairāk informācijas”, lai skatītu pilnu saskarni ar visām cilnēm.
Cilnē “Procesi” redzēsiet pārskatu CPU, RAM, diska, GPU un tīkla izmantošana pa lietojumprogrammām. Šeit var viegli identificēt "lielos spēlētājus" (spēli, pārlūkprogrammu, video redaktoru...). Taču, ja vēlaties notvert aizdomīgus procesus, jums jāiet nedaudz tālāk.
Svarīgs solis ir aktivizēt opciju “Rādīt visu lietotāju procesus”. (vecākās Windows versijās) vai pārliecinieties, vai uzdevumu pārvaldniekā tiek rādīts viss, kas darbojas dažādos kontos un pakalpojumos. Tas sniegs jums pilnīgāku sarakstu, tostarp sistēmas pakalpojumus, kurus dažkārt var izmantot ļaunprogrammatūra.
Detalizētas informācijas cilne, resursu monitors un tīkla analīze
Uzdevumu pārvaldnieka cilne “Sīkāka informācija” Šeit faktiski tiek parādīts pilns darbojošos procesu saraksts. Katrs izpildāmais fails tiek parādīts šeit, negrupēts, izmantojot tā iekšējo nosaukumu. Tas ir vistuvākais skatījums tam, ko redz pati operētājsistēma.
Šajā cilnē varat atrast procesus, kas izskatās dīvaini. Meklējiet procesus, kurus neatpazīstat, kuriem ir ļoti vispārīgi nosaukumi vai kuri neparasti patērē resursus. Ja ar peles labo pogu noklikšķiniet uz jebkura procesa, varat atvērt faila atrašanās vietu, kas ir svarīgi, lai zinātu, no kurienes faktiski nāk šis izpildāmais fails.
Vēl viena ļoti noderīga kolonna ir kolonna “Attēla ceļa nosaukums”. (Dažos tulkojumos tas tiek parādīts kā "Attēla ceļš"). To var aktivizēt, ar peles labo pogu noklikšķinot uz kolonnu galvenēm, izvēloties "Atlasīt kolonnas" un atzīmējot šo opciju. Tas parādīs katra procesa faila pilnu ceļu.
Lai padziļināti izpētītu tīkla darbībuAtveriet cilni “Veiktspēja” un pēc tam noklikšķiniet uz “Atvērt resursu monitoru”. Resursu monitora cilnē “Tīkls” redzēsiet, kuri procesi veido savienojumus, cik daudz datplūsmas tie sūta un saņem, un uz kurām IP adresēm. Ja konstatējat nepazīstamu lietojumprogrammu, kas izveido savienojumu ar neparastām adresēm, tā ir spēcīga norāde, ka kaut kas nav kārtībā.
Pārskatiet startēšanas programmas un atlikušo atinstalēto programmatūru
Daudzi slēpti procesi ielaužas Windows startēšanas procesā.tāpēc tie tiek palaisti automātiski katru reizi, kad ieslēdzat datoru. Tas izskaidro, kāpēc pat pēc "visa aizvēršanas" RAM izmantošana joprojām ir diezgan augsta vai sistēmai nepieciešams ilgs laiks, lai kļūtu lietojama.
Uzdevumu pārvaldniekā ir sadaļa “Startup” (Startēšana). (Operētājsistēmā Windows 11 tā tiek parādīta sānu izvēlnē kā “Startup apps” (Startēšanas lietotnes), bet operētājsistēmā Windows 10 — kā cilne “Startup” (Startēšana). Tur jūs redzēsiet visas programmas, kas tiek palaistas automātiski, piesakoties.
Ir normāli atrast utilītas grafikas kartei (NVIDIA, AMD), skaņas kartei vai pelei.Un arī lietotnes, kuras vēlaties atvērt automātiski, jo tās izmantojat katru dienu. Taču, ja redzat ierakstus bez skaidriem nosaukumiem, vispārīgus procesus, piemēram, "Programma", vai atsauces uz programmām, kuras esat atinstalējis jau sen, tās ir pelnījušas jūsu uzmanību.
Jebkuru startēšanas vienumu var atspējot, ar peles labo pogu noklikšķinot. ko nevēlaties. Tas neizdzēš programmu, bet tikai neļauj tai startēties operētājsistēmā Windows. Tas ir ātrs veids, kā pārbaudīt, vai šis noslēpumainais process bija vaininieks aizkavei vai pārmērīgai RAM izmantošanai.
Kad programma ir nepareizi atinstalētaSistēmai Windows ir ierasts atstāt pēdas startēšanas programmās, ieplānotajos uzdevumos vai pakalpojumos, kurus tā turpina mēģināt palaist, pat ja izpildāmais fails vairs nepastāv. Tos sauc par "spoku procesiem" vai "atlikušajiem procesiem". Lai tos pareizi identificētu, ir nepieciešams specializētāks rīks.
Autoruns operētājsistēmai Windows: atrodiet un dzēsiet fantoma procesus un atlikušos materiālus
Microsoft piedāvā ļoti jaudīgu rīku Autoruns for Windows bez maksas.Šī lietojumprogramma, kas ir daļa no Marka Rusinoviča izveidotās Sysinternals kolekcijas, parāda absolūti VISU, kas darbojas sistēmas startēšanas laikā vai pieslēdzas galvenajiem punktiem sistēmā Windows.
No oficiālās Microsoft Sysinternals vietnes Autoruns var lejupielādēt ZIP formātā. Pēc izpakošanas vienkārši atveriet failu “Autoruns.exe” vai “Autoruns64.exe” atkarībā no jūsu sistēmas. Tam nav nepieciešama instalēšana; tas ir pārnēsājams izpildāmais fails.
Atverot, Autoruns parāda milzīgu ierakstu sarakstuStartēšanas programmas, pakalpojumi, Explorer paplašinājumi, Office vienumi, draiveri, plānotie uzdevumi utt. Augšpusē varat filtrēt pēc kategorijām (Office, pakalpojumi, tīkla pakalpojumu sniedzēji, LSA, drukas pakalpojumi…).
Īpaša uzmanība jāpievērš ieejām, kas atzīmētas dzeltenā krāsā.Tie bieži vien atbilst procesiem vai ceļiem, kas sistēmā vairs nepastāv: steigā atinstalētas programmatūras paliekas, automatizēti procesi, kas turpina mēģināt darboties, vai bojāti ceļi. Jūs redzēsiet arī elementus citās krāsās, kas norāda uz kritiskām vai īpašām komponentēm.
Ja atrodat nepārprotami paliekošas vai aizdomīgas ieejas (Piemēram, ja tā ir programma, par kuru jau zināt, ka esat to noņēmis, vai nezināms komponents), varat uz tās noklikšķināt ar peles labo pogu. Konteksta izvēlnē ir pieejamas tādas opcijas kā "Dzēst", lai to dzēstu, atvērtu faila atrašanās vietu, skenētu vīrusus vai meklētu informāciju par izpildāmo failu tiešsaistē.
Autoruns ir ļoti spēcīgs, bet arī bīstams, ja nezināt, ko darāt.Pats autors iesaka, lai šo darbu veiktu tehniķis vai vismaz lietotājs ar zināmu pieredzi. Svarīgu sistēmas ierakstu, GPU draiveru vai aparatūras komponentu dzēšana var neļaut izmantot dažas funkcijas vai pat izraisīt Windows pareizu palaišanu.
Priekšrocība ir tā, ka ar zināmu piesardzību jūs varat iztīrīt sistēmu Tas noņem vairs neizmantoto lietojumprogrammu paliekas, novērš fantoma startēšanas procesus un atrod aizdomīgas automatizācijas, kas tradicionālajā uzdevumu pārvaldniekā nav tik skaidri redzamas.
Procesa pārlūks: Microsoft "uzlādētais uzdevumu pārvaldnieks"
Ja uzdevumu pārvaldnieks jums nederMicrosoft tiešā un oficiālā alternatīva ir Process Explorer, vēl viens Sysinternals komplekta dārgakmens. Tas ir paredzēts sistēmu administratoriem un pieredzējušiem lietotājiem, kuriem nepieciešama pilnīga kontrole un ļoti detalizēta informācija par katru procesu.
Process Explorer var lejupielādēt no Sysinternals vietnes. Tas ir pieejams saspiestā failā. Atzipējiet to jebkurā mapē un palaidiet failu “procexp64.exe”, ja jūsu sistēma ir 64 bitu (vai 32 bitu versija, ja piemērojama). Tam nav nepieciešama instalēšana, un ieteicams to palaist kā administratoram, lai skatītu visu informāciju.
Saskarne attēlo hierarhisku procesu kokukur var skaidri redzēt, kura programma ir palaidusi kuru, kuri pavedieni ir atvērti, kuru DLL tas izmanto un daudz ko citu. Katrs process ir iekrāsots atbilstoši tā tipam, un šīs krāsas var konfigurēt izvēlnē Opcijas > Konfigurēt krāsas.
Viena no lielākajām Process Explorer priekšrocībām Tas ļauj atvērt izpildāmā faila atrašanās vietu, skatīt tā drošības īpašības, iekšējās teksta virknes, piekļuves deskriptorus un pat mijiedarboties ar to no komandrindas vai ģenerēt atmiņas izgāzumus padziļinātai analīzei.
Ja vēlaties pilnībā nomainīt uzdevumu pārvaldniekuIzvēlnē “Opcijas” varat atlasīt “Aizstāt uzdevumu pārvaldnieku”. Pēc tam, izmantojot īsinājumtaustiņu kombināciju Ctrl + Shift + Esc, standarta Windows uzdevumu pārvaldnieka vietā tiks atvērts Process Explorer.
Process Explorer integrācija ar VirusTotal, lai atklātu ļaunprogrammatūru
Process Explorer nav paredzēts tikai tam, lai redzētu, kas darbojas.Tas arī palīdz noteikt, vai programma ir uzticama. Viena no tās labākajām funkcijām, kas tika ieviesta pirms vairākiem gadiem, ir integrācija ar VirusTotal — labi zināmo pakalpojumu, kas vienlaikus analizē failus ar desmitiem pretvīrusu programmu.
Lai aktivizētu šo integrācijuAtveriet Process Explorer un dodieties uz izvēlni Options (Opcijas) > VirusTotal. Iespējojiet opciju sūtīt procesa hešus uz VirusTotal analīzei (pašreizējā versijā tas tiek darīts droši, nosūtot tikai faila pirkstu nospiedumu).
To darot, galvenajā logā tiks pievienota jauna kolonna. ar katra procesa analīzes rezultātu. Jūs redzēsiet kaut ko līdzīgu “0/70”, “1/70” utt., kas norāda, cik pretvīrusu programmu no kopējā skaita to atzīmē kā aizdomīgu.
Procesi, kas parādās zaļā krāsā vai ar 0 noteikšanu Parasti tos uzskata par tīriem, lai gan vienmēr ir iespējami kļūdaini negatīvi rezultāti. Ja process parādās sarkanā krāsā vai ar vairākiem noteikšanas gadījumiem, ļoti iespējams, ka tā ir ļaunprogrammatūra vai vismaz kaut kas tāds, ko ir vērts izmeklēt.
Ja noklikšķināsit uz VirusTotal rezultātaPēc tam tiks atvērta analīzes lapa ar paplašinātu informāciju: kuras programmas to noteica, kurai ļaunprogrammatūras saimei tas varētu piederēt, novērotā uzvedība utt. Šī informācija ir nenovērtējama, lai izlemtu, vai pārtraukt procesu un veikt padziļinātu tīrīšanu ar pretvīrusu programmatūru.
Kā izmantot Process Explorer, lai atklātu ļaunprogrammatūras ceļu
Laboratorijas vidē vai virtuālajās mašīnāsStudenti un drošības analītiķi bieži izmanto Process Explorer, lai atrastu ļaunprogrammatūru un pētītu tās darbību. Tipisks uzdevums ir atrast precīzu ļaunprātīgā izpildāmā faila ceļu, lai pēc tam to ielādētu disassembler.
Parasti pietiek ar aizdomīgā procesa atrašanu. Sarakstā ar peles labo pogu noklikšķiniet un izmantojiet "Īpašības" vai "Atvērt faila atrašanās vietu", lai noskaidrotu, kurā mapē atrodas binārais fails. No turienes to var kopēt uz citu kontrolētu vidi, lai analizētu ar tādiem rīkiem kā IDA, Ghidra vai citiem disassembleriem.
Problēma rodas, kad bez faila ļaunprogrammatūra mēģina slēpt savu maršrutuTas var notikt vai nu tāpēc, ka tas manipulē ar sistēmu, vai arī tāpēc, ka tas ievada savu kodu likumīgos procesos. Šādos gadījumos Process Explorer var parādīt procesu, bet ne skaidri identificēt avota izpildāmo failu, vai arī tas var vienkārši parādīt nepilnīgu informāciju.
Šādā gadījumā ieteicams apvienot vairākus rīkus.: pārskatiet reģistru (atslēgas HKCU un HKLM Run un RunOnce), pārbaudiet ieplānotos uzdevumus, izmantojiet Autoruns, lai redzētu, kas tiek palaists startēšanas laikā, un, ja nepieciešams, izmantojiet īpašus ļaunprogrammatūras analīzes rīkus vai virtuālās mašīnas ar uzlabotu sistēmas uzraudzību.
Jebkurā gadījumā, ja pamanāt procesu ar aizdomīgu uzvedību Ja VirusTotal atzīmē failu kā ļaunprātīgu, pirmais solis ir izolēt skarto datoru no tīkla,, ja iespējams, pārtraukt procesu un pēc tam skenēt vai noņemt paraugu, izmantojot specializētu drošības risinājumu. Lai iegūtu papildinformāciju par Process Explorer, skatiet tālāk norādīto: oficiālā Windows vietne.
Slēpto failu un mapju atklāšana: reāls piemērs, izmantojot ļaunprogrammatūru “Streamerdata”
Daļa ļaunprogrammatūras ne tikai slēpjas kā procesiTie ne tikai slēpj savas mapes un failus, lai apgrūtinātu to noņemšanu, bet arī tos nomaskē. Tipisks piemērs ir infekcijas, kas izveido slēptus direktorijus diska saknes direktorijā, piemēram, "C:\Streamerdata", un replicē tukšas saīsnes visā sistēmā.
Šādā situācijā antivīruss nepārtraukti nosaka draudus. (piemēram, Win64:Malware-gen), tas to nosūta uz arhīvu un izdzēš… bet drīz vien atkal parādās. Tikmēr jūs pamanāt, ka sistēma darbojas lēni, ka ir dīvainas mapes un saīsnes un pat ka uzdevumu pārvaldniekā parādās process ar viltotu “antivīrusu rīka” nosaukumu.
Metode, ko daži lietotāji ir izmantojuši Tas ietver .bat faila izveidi ar komandām, kas noņem slēptos, sistēmas un tikai lasāmos atribūtus no visiem failiem diskā. Kaut kas līdzīgs:
atribūts -r -a -h -s U:\*.* /S /D (kur U ir dezinficējamais disks). Palaižot šo programmu kā administrators, viss kļūst redzams, tostarp ļaunprātīgā mape, kas iepriekš bija pilnībā paslēpta, ļaujot to manuāli dzēst.
Šāda veida skriptu pārmērīgas izmantošanas trūkums Tas arī atklāj daudzas sistēmas mapes un failus, kas parasti drošības apsvērumu dēļ ir paslēpti: konfigurācijas mapes, desktop.ini faili utt. Ja neesat uzmanīgs un izdzēšat to, ko nevajadzētu, jūs varat padarīt savu sistēmu nestabilu.
“Streamerdata” piemērā, atklājot visu Darbvirsmās un dažādās mapēs sāka parādīties “darbvirsmas” faili (desktop.ini), un pati sistēma startēšanas laikā parādīja kļūdas, mēģinot atrast jau izdzēsto ļaunprogrammatūras mapi. Šis ir skaidrs piemērs tam, kā manuāla tīrīšana bez pienācīgas izpratnes par to, ko darāt, var radīt neparedzētas sekas.
Ja atrodaties līdzīgā situācijāIeteicamā pieeja ir apvienot labu pretvīrusu vai ļaunprogrammatūras apkarošanas komplektu (Malwarebytes, labi atjauninātu Windows Defender utt.), startēšanas tīrīšanas rīku, piemēram, Autoruns, un, ja esat ievērojami modificējis atribūtus, pārkonfigurējiet mapes opcijas vai izmantojiet tādus rīkus kā Winaero Tweaker lai atkal paslēptu kritiskos sistēmas failus, kurus nevajadzētu redzēt vai aiztikt katru dienu.
Ieraksta kontrole un citas papildinošas metodes
Slēptie procesi un pastāvīga ļaunprogrammatūra Viņi bieži paļaujas uz Windows reģistru, lai atkārtoti startētos. Visbiežāk sastopamo reģistra atslēgu pārzināšana ievērojami palīdz tās atrast, ja citi rīki nesniedz pārliecinošu rezultātu.
Izmantojot komandu Win + R un ierakstot “regedit”Pēc tam atveriet reģistra redaktoru (izmantojiet šo rīku ļoti piesardzīgi). Visbiežāk sastopamie ceļi, kuros tiek reģistrētas programmas, kas sākas ar sistēmu, ir:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run y HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Runkur tiek glabātas lietojumprogrammas, kas tiek palaistas, kad piesakās pašreizējais lietotājs vai jebkurš lietotājs. Jāatzīmē arī RunOnce, kas ierakstus izpilda tikai vienu reizi nākamās palaišanas laikā.
Pārskatot šīs atslēgas, var tikt atklāti nezināmi ieraksti. ar neparastiem ceļiem vai tādiem, kas norāda uz pagaidu mapēm, neparastiem lietotāju profilu direktorijiem vai nejaušiem failu nosaukumiem. Šādos gadījumos ir pamatoti būt aizdomīgiem un pēc dublējuma izveides dzēst ierakstu vai atspējot to, kamēr veicat skenēšanu ar pretvīrusu programmatūru.
Vēl viens ļoti efektīvs veids ir izmantot komandrindu.Komandrindas logā ar administratora tiesībām palaižot "tasklist", tiks parādīts pilns procesu saraksts. To var apvienot ar filtriem (pēc nosaukuma, PID utt.) vai citiem rīkiem, piemēram, "wmic" vai "powershell", lai iegūtu papildu informāciju.
Visbeidzot, nedrīkstam aizmirst pretvīrusu programmatūras lomu.Atjauninot to un veicot pilnu sistēmas skenēšanu, var atklāt slēptus procesus, kas maskēti kā likumīgi pakalpojumi. Daudzi pašreizējie produkti arī uzrauga darbību reāllaikā, bloķējot procesus, kas darbojas kā ļaunprogrammatūra, pat ja pats fails vēl nav parakstīts datubāzēs.
Iegūstiet reālu kontroli pār to, kas darbojas jūsu datorā Tas ietver visu iepriekš minēto apvienošanu: efektīvu uzdevumu pārvaldnieka izmantošanu, automātiskās palaišanas un procesu pārlūka izmantošanu, reģistra uzraudzību un spēcīgu pretvīrusu risinājumu izmantošanu. Izmantojot šos rīkus, slēptu procesu, kas nav uzreiz pamanāmi, atrašana un lēmumu pieņemšana par to, ko ar tiem darīt, vairs nav noslēpums un kļūst par uzdevumu, ko ar nelielu praksi var apgūt, nebūdams profesionāls hakeris.
Kopš mazotnes aizrautīgs ar tehnoloģijām. Man patīk būt lietas kursā šajā nozarē un, galvenais, par to informēt. Tāpēc jau daudzus gadus esmu veltīts komunikācijai tehnoloģiju un videospēļu vietnēs. Jūs varat atrast mani rakstot par Android, Windows, MacOS, iOS, Nintendo vai jebkuru citu saistīto tēmu, kas jums ienāk prātā.