- Skryté procesy môžu byť malware, systémové služby alebo zvyšky softvéru, ktoré spotrebúvajú zdroje bez toho, aby boli jasne viditeľné.
- Správca úloh spolu s kartou Podrobnosti a Monitorom zdrojov vám umožňuje objaviť podozrivé procesy a pripojenia.
- Pokročilé nástroje ako Autoruns a Process Explorer (s VirusTotal) ponúkajú úplnú kontrolu nad procesmi, spustením a fiktívnymi zvyškami.
- Kombinácia týchto nástrojov s kontrolou registra a dobrým antivírusom je kľúčom k udržaniu výkonu a zabezpečenia v systéme Windows.
Počítač beží pomaly bez zjavného dôvodu.Ak sa vám spotreba pamäte RAM prudko zvýši, aj keď nemáte nič otvorené, alebo ak počas hrania hier dochádza k oneskoreniu, je to zvyčajne prvý signál, že niečo nie je v poriadku. Často otvoríme Správcu úloh a hľadáme vinníka... a nič nezvyčajné sa neobjaví. Tu začína podozrenie: na pozadí môžu bežať skryté procesy.
Systém Windows neustále spúšťa desiatky služieb a procesov. Na pozadí bežia rôzne programy, niektoré úplne legitímne a iné potenciálne nebezpečné alebo sú pozostatkami nesprávne odinštalovaného softvéru. Naučiť sa zisťovať, čo skutočne beží, nad rámec toho, čo odhaľuje štandardný Správca úloh, je kľúčom k zlepšeniu výkonu, posilneniu zabezpečenia a odhaleniu škodlivého softvéru, ktorý sa snaží skryť. Poďme sa o tom všetkom dozvedieť. Ako zistiť skryté procesy, ktoré sa nezobrazujú v Správcovi úloh.
Čo sú skryté procesy a prečo nie sú vždy jasne viditeľné?
Každý program, ktorý beží na počítači, generuje aspoň jeden proces ktorý zostáva v pamäti, aby fungoval: od prehliadača alebo hry až po malé systémové služby. Problém je v tom, že mnohé z týchto procesov nemajú „ľudský“ názov ako Chrome.exe alebo Spotify.exe, ale skôr kryptické identifikátory, ktoré sťažujú rozpoznanie, či patria systému Windows, legitímnemu programu alebo malvéru.
Okrem toho existujú procesy, ktoré na prvý pohľad nie sú viditeľné. na karte „Procesy“ v Správcovi úloh, pretože sú zoskupené, zobrazujú sa pod všeobecnými názvami alebo závisia od systémových služieb. Niektoré typy škodlivého softvéru to zneužívajú na vkladanie kódu do legitímnych procesov alebo sa skrývajú za nejednoznačnými službami, čo sťažuje ich lokalizáciu bežnému používateľovi.
Aj po odinštalovaní programovMôžu sa vyskytnúť „zvyšky duchov“: úlohy, služby alebo položky databázy Registry, ktoré sa naďalej pokúšajú spustiť na pozadí. Nainštalovaný program neuvidíte, ale uvidíte všeobecný proces s názvom „Program“ alebo niečo podobné, ktorý spotrebúva zdroje bez toho, aby poskytoval akúkoľvek užitočnú službu.
Je tiež bežné, že skryté procesy ovplyvňujú sieťzáhadné pripojenia, využitie šírky pásma, keď by ste nemali nič sťahovať alebo komunikovať s internetom, alebo nevysvetliteľné nárasty spotreby procesora a pamäte, keď je počítač teoreticky v pokoji.
Využitie Správcu úloh naplno: čo v skutočnosti vidíte zo systému Windows
Predtým, ako prejdeme k pokročilým nástrojomStojí za to naplno využiť to, čo ponúka samotný Správca úloh. V systémoch Windows 10 a 11 je oveľa výkonnejší, než sa zdá, ak viete, kde hľadať a zmeniť niektoré predvolené nastavenia.
Aby sa to rýchlo otvoriloPoužite klávesovú skratku Ctrl + Shift + EscMôžete tiež kliknúť pravým tlačidlom myši na panel úloh a vybrať možnosť „Správca úloh“. Ak sa otvorí v zjednodušenom režime, kliknite na „Viac podrobností“ a zobrazí sa vám celé rozhranie so všetkými kartami.
Na karte „Procesy“ uvidíte prehľad Využitie CPU, RAM, disku, GPU a siete podľa aplikácie. Tu môžete ľahko identifikovať „veľkých hráčov“ (hra, prehliadač, editor videa...). Ak však chcete odhaliť podozrivé procesy, musíte zájsť o niečo ďalej.
Kľúčovým krokom je aktivácia možnosti „Zobraziť procesy od všetkých používateľov“. (v starších verziách systému Windows) alebo sa uistite, že Správca úloh zobrazuje všetko spustené pod rôznymi účtami a službami. Získate tak úplnejší zoznam vrátane systémových služieb, ktoré môže niekedy používať škodlivý softvér.
Karta Podrobnosti, Monitor zdrojov a Analýza siete
Karta „Podrobnosti“ v Správcovi úloh Tu sa v skutočnosti zobrazuje kompletný zoznam spustených procesov. Každý spustiteľný súbor sa tu zobrazuje bez zoskupenia pomocou svojho interného názvu. Je to pohľad, ktorý sa najviac približuje tomu, čo vidí samotný operačný systém.
Na tejto karte môžete vyhľadať procesy, ktoré vyzerajú zvláštne. Hľadajte procesy, ktoré nepoznáte, ktoré majú veľmi všeobecné názvy alebo ktoré spotrebúvajú zdroje abnormálne. Ak kliknete pravým tlačidlom myši na ľubovoľný proces, môžete „Otvoriť umiestnenie súboru“, čo je nevyhnutné na zistenie, odkiaľ daný spustiteľný súbor skutočne pochádza.
Ďalším veľmi užitočným stĺpcom je stĺpec „Názov cesty k obrázku“. (V niektorých prekladoch sa to zobrazuje ako „Cesta k obrázku“). Môžete to aktivovať kliknutím pravým tlačidlom myši na hlavičky stĺpcov, výberom možnosti „Vybrať stĺpce“ a zaškrtnutím tejto možnosti. Zobrazí sa vám úplná cesta k súboru za každým procesom.
Hlbšie sa ponoriť do správania sieteOtvorte kartu „Výkon“ a potom kliknite na tlačidlo „Otvoriť Monitor zdrojov“. Na karte „Sieť“ v Monitore zdrojov uvidíte, ktoré procesy nadväzujú pripojenia, koľko prenosu odosielajú a prijímajú a na ktoré IP adresy. Ak zistíte, že sa neznáma aplikácia pripája k nezvyčajným adresám, je to silný signál, že niečo nie je v poriadku.
Skontrolujte programy spúšťané po spustení a zvyšný odinštalovaný softvér
Počas spúšťania systému Windows sa prepašuje veľa skrytých procesov.takže sa automaticky spúšťajú vždy, keď zapnete počítač. To vysvetľuje, prečo aj po „zatvorení všetkého“ zostáva využitie pamäte RAM dosť vysoké alebo systém potrebuje dlho, kým sa stane použiteľným.
V Správcovi úloh máte sekciu „Po spustení“ (V systéme Windows 11 sa zobrazuje v bočnej ponuke ako „Aplikácie po spustení“ a v systéme Windows 10 ako karta „Po spustení“). Tam uvidíte všetky programy, ktoré sa automaticky spustia po prihlásení.
Je bežné nájsť pomocné programy pre grafickú kartu (NVIDIA, AMD), zvukovú kartu alebo myš.A tiež aplikácie, ktoré uprednostňujete pri automatickom otváraní, pretože ich používate denne. Ak však vidíte položky bez jasných názvov, všeobecné procesy ako „Program“ alebo odkazy na programy, ktoré ste odinštalovali už dávno, zaslúžia si vašu pozornosť.
Kliknutím pravým tlačidlom myši môžete zakázať ľubovoľnú položku pri spustení. ktoré nechcete. Týmto sa program neodstráni, iba sa zabráni jeho spusteniu so systémom Windows. Je to rýchly spôsob, ako skontrolovať, či tento záhadný proces nebol príčinou oneskorenia alebo nadmerného využívania pamäte RAM.
Keď je program odinštalovaný nesprávneJe bežné, že systém Windows zanecháva stopy v programoch po spustení, naplánovaných úlohách alebo službách, ktoré sa neustále pokúša spustiť, aj keď spustiteľný súbor už neexistuje. Tieto sa nazývajú „duchové procesy“ alebo „zvyškové procesy“. Na ich správnu identifikáciu potrebujete špecializovanejší nástroj.
Autoruny pre Windows: Vyhľadajte a odstráňte fantomné procesy a zvyšné materiály
Spoločnosť Microsoft ponúka veľmi výkonný nástroj s názvom Autoruns pre Windows zadarmo.Táto aplikácia, ktorá je súčasťou kolekcie Sysinternals vytvorenej Markom Russinovichom, zobrazuje absolútne VŠETKO, čo sa spúšťa pri štarte systému alebo sa pripája ku kľúčovým bodom v systéme Windows.
Z oficiálnej webovej stránky spoločnosti Microsoft Sysinternals Autoruns si môžete stiahnuť vo formáte ZIP. Po rozbalení jednoducho otvorte súbor „Autoruns.exe“ alebo „Autoruns64.exe“ v závislosti od vášho systému. Nevyžaduje si žiadnu inštaláciu; je to prenosný spustiteľný súbor.
Po otvorení zobrazí Autoruns obrovský zoznam položiekProgramy pri spustení, služby, rozšírenia Prieskumníka, položky balíka Office, ovládače, naplánované úlohy atď. V hornej časti môžete filtrovať podľa kategórií (Office, služby, poskytovatelia siete, LSA, tlačové služby…).
Zvláštnu pozornosť treba venovať vchodom označeným žltou farbou.Tieto často zodpovedajú procesom alebo cestám, ktoré už v systéme neexistujú: zvyšky narýchlo odinštalovaného softvéru, automatizované procesy, ktoré sa neustále pokúšajú spustiť, alebo poškodené cesty. Uvidíte aj prvky v iných farbách, ktoré označujú kritické alebo špeciálne komponenty.
Ak nájdete zjavne zvyškový alebo podozrivý vchod (Napríklad, ak ide o program, o ktorom viete, že ste ho už odstránili, alebo o neznámu súčasť), môžete naň kliknúť pravým tlačidlom myši. Kontextová ponuka ponúka možnosti ako „Odstrániť“ na jeho odstránenie, otvorenie umiestnenia súboru, kontrolu vírusov alebo vyhľadanie informácií o spustiteľnom súbore online.
Autoruns je veľmi silný, ale aj nebezpečný, ak neviete, čo robíte.Sám autor odporúča, aby to urobil technik alebo aspoň používateľ s určitými skúsenosťami. Odstránenie dôležitých systémových položiek, ovládačov grafickej karty alebo hardvérových komponentov môže viesť k strate niektorých funkcií alebo dokonca k nesprávnemu spusteniu systému Windows.
Výhodou je, že s určitou opatrnosťou môžete systém vyčistiť Odstraňuje zvyšky aplikácií, ktoré už nemáte, eliminuje fantomné spúšťacie procesy a detekuje podozrivé automatizácie, ktoré nie sú v tradičnom Správcovi úloh také jasné.
Process Explorer: „Vylepšený správca úloh“ od spoločnosti Microsoft
Ak vám Správca úloh nepostačujePriamou a oficiálnou alternatívou od spoločnosti Microsoft je Process Explorer, ďalší klenot z balíka Sysinternals. Je určený pre systémových administrátorov a pokročilých používateľov, ktorí potrebujú úplnú kontrolu a veľmi jemné podrobnosti o každom procese.
Process Explorer si môžete stiahnuť z webovej stránky spoločnosti Sysinternals. Dodáva sa v komprimovanom súbore. Rozbaľte ho do ľubovoľného priečinka a spustite súbor „procexp64.exe“, ak máte 64-bitový systém (alebo 32-bitovú verziu, ak je to relevantné). Nevyžaduje si inštaláciu a odporúča sa ho spustiť ako správca, aby ste videli všetky podrobnosti.
Rozhranie zobrazuje hierarchický strom procesovkde jasne vidíte, ktorý program spustil ktorý, ktoré vlákna má otvorené, ktorú knižnicu DLL používa a oveľa viac. Každý proces je zafarbený podľa svojho typu a tieto farby je možné konfigurovať v ponuke Možnosti > Konfigurovať farby.
Jednou z veľkých výhod Process Exploreru Umožňuje vám otvoriť umiestnenie spustiteľného súboru, zobraziť jeho bezpečnostné vlastnosti, interné textové reťazce, prístupové deskriptory a dokonca s ním interagovať z príkazového riadku alebo generovať výpisy pamäte pre pokročilú analýzu.
V prípade, že chcete úplne nahradiť Správcu úlohV ponuke Možnosti môžete vybrať možnosť „Nahradiť Správcu úloh“. Potom sa po použití klávesovej skratky Ctrl + Shift + Esc otvorí Prieskumník procesov namiesto štandardného Správcu úloh systému Windows.
Integrácia Process Exploreru s VirusTotal na detekciu škodlivého softvéru
Process Explorer neslúži len na sledovanie toho, čo beží.Pomáha tiež určiť, či je dôveryhodný. Jednou z jeho najlepších funkcií, ktorá bola zavedená pred rokmi, je integrácia s VirusTotal, známou službou, ktorá analyzuje súbory pomocou desiatok antivírusových nástrojov súčasne.
Aktivácia tejto integrácieOtvorte Prieskumníka procesov a prejdite do ponuky Možnosti > VirusTotal. Povoľte možnosť odosielania hashov procesov do VirusTotal na analýzu (v aktuálnej verzii sa to robí bezpečne odoslaním iba odtlačku súboru).
Týmto sa do hlavného okna pridá nový stĺpec. s výsledkom analýzy každého procesu. Zobrazí sa niečo ako „0/70“, „1/70“ atď., čo naznačuje, koľko antivírusových nástrojov ho označilo ako podozrivý z celkového počtu.
Procesy, ktoré sa zobrazujú zelenou farbou alebo s 0 detekciami Vo všeobecnosti sa považujú za čisté, hoci falošne negatívne výsledky sú vždy možné. Ak sa proces zobrazuje červenou farbou alebo s viacerými detekciami, je veľmi pravdepodobné, že ide o malvér alebo prinajmenšom o niečo, čo stojí za preskúmanie.
Ak kliknete na výsledok VirusTotalNásledne sa otvorí stránka analýzy s rozšírenými informáciami: ktoré nástroje ho zistili, do ktorej rodiny škodlivého softvéru môže patriť, pozorované správanie atď. Tieto informácie sú neoceniteľné pri rozhodovaní o tom, či proces ukončiť a vykonať hlbšie čistenie pomocou antivírusového softvéru.
Ako použiť Process Explorer na objavenie cesty malvéru
V laboratórnych prostrediach alebo na virtuálnych počítačochPre študentov a bezpečnostných analytikov je bežné používať Process Explorer na lokalizáciu škodlivého softvéru a štúdium jeho správania. Typickou úlohou je nájsť presnú cestu k škodlivému spustiteľnému súboru, aby sa potom mohol načítať do disassemblera.
Zvyčajne stačí lokalizovať podozrivý proces. V zozname kliknite pravým tlačidlom myši a pomocou možnosti „Vlastnosti“ alebo „Otvoriť umiestnenie súboru“ zistite, v ktorom priečinku sa binárny súbor nachádza. Odtiaľ ho môžete skopírovať do iného kontrolovaného prostredia a analyzovať ho pomocou nástrojov ako IDA, Ghidra alebo iných disassemblerov.
Problém nastáva, keď malware bez súborov snaží sa skryť svoju trasuMôže sa to stať buď preto, že manipuluje so systémom, alebo preto, že vkladá svoj kód do legitímnych procesov. V týchto prípadoch vám Process Explorer môže zobraziť proces, ale jasne neidentifikovať zdrojový spustiteľný súbor, alebo môže jednoducho zobraziť neúplné informácie.
V takom prípade je vhodné kombinovať niekoľko nástrojov.: skontrolujte register (kľúče HKCU a HKLM Run a RunOnce), skontrolujte naplánované úlohy, použite automatické spúšťanie na zistenie, čo sa spúšťa pri štarte systému, a v prípade potreby použite špecifické nástroje na analýzu škodlivého softvéru alebo virtuálne počítače s pokročilým monitorovaním systému.
V každom prípade, ak zistíte proces s podozrivým správaním Ak VirusTotal označí súbor ako škodlivý, prvým krokom je izolovať postihnutý počítač od siete, ak je to možné, ukončiť proces a potom skenovať alebo odstrániť vzorku pomocou špecializovaného bezpečnostného riešenia. Ďalšie informácie o Process Explorer nájdete v nasledujúcich častiach: oficiálna webová stránka Windowsu.
Odhalenie skrytých súborov a priečinkov: príklad z reálneho sveta s použitím malvéru „Streamerdata“
Niektorý malware sa neskrýva len ako procesyNielenže skrývajú svoje priečinky a súbory, aby sťažili ich odstránenie, ale aj ich zakrývajú. Typickým príkladom sú infekcie, ktoré vytvárajú skryté adresáre v koreňovom adresári disku, napríklad „C:\Streamerdata“, a replikujú prázdne skratky v celom systéme.
V tomto type scenára antivírus neustále detekuje hrozbu. (napríklad Win64:Malware-gen), odošle ho do archívov a vymaže ho… ale čoskoro sa znova objaví. Medzitým si všimnete, že systém je pomalý, že sa v ňom nachádzajú zvláštne priečinky a skratky a dokonca sa v Správcovi úloh zobrazuje proces s falošným názvom „antivírusový nástroj“.
Technika, ktorú niektorí používatelia použili Zahŕňa to vytvorenie súboru .bat s príkazmi, ktoré odstránia skryté, systémové a atribúty iba na čítanie zo všetkých súborov na disku. Niečo podobné ako:
atribút -r -a -h -s U:\*.* /S /D (kde U je disk, ktorý sa má dezinfikovať). Pri spustení ako správca sa všetko zobrazí vrátane škodlivého priečinka, ktorý bol predtým úplne skrytý, čo umožňuje jeho manuálne odstránenie.
Nevýhodou nadmerného používania týchto typov skriptov Tým sa tiež odhalí veľa systémových priečinkov a súborov, ktoré sú z bezpečnostných dôvodov bežne skryté: konfiguračné priečinky, súbory desktop.ini atď. Ak nebudete opatrní a odstránite to, čo by ste nemali, môžete spôsobiť nestabilitu systému.
V príklade „Streamerdata“, odhalením všetkého Súbory „desktop“ (desktop.ini) sa začali objavovať na pracovných plochách a v rôznych priečinkoch a samotný systém pri spustení zobrazoval chyby pri pokuse o nájdenie priečinka so škodlivým softvérom, ktorý už bol odstránený. Toto je jasný príklad toho, ako môže mať manuálne čistenie bez riadneho pochopenia toho, čo robíte, nezamýšľané následky.
Ak sa ocitnete v podobnej situáciiOdporúčaný prístup je kombinovať dobrý antivírusový alebo antimalvérový balík (Malwarebytes, dobre aktualizovaný program Windows Defender atď.), nástroj na čistenie pri spustení, ako je Autoruns, a ak ste rozsiahlo upravili atribúty, prekonfigurovať možnosti priečinka alebo použiť nástroje ako Winaero Tweaker znova skryť kritické systémové súbory, ktoré by sa nemali denne vidieť ani dotýkať.
Riadenie záznamu a ďalšie doplnkové techniky
Skryté procesy a pretrvávajúci malware Často sa pri opakovanom spúšťaní spoliehajú na register systému Windows. Znalosť najbežnejších kľúčov registra výrazne pomáha pri ich lokalizácii, keď sú iné nástroje nejednoznačné.
Pomocou príkazu Win + R a zadaním textu „regedit“Potom otvoríte Editor databázy Registry (tento nástroj používajte s mimoriadnou opatrnosťou). Najbežnejšie cesty, kde sa registrujú programy, ktoré sa spúšťajú spolu so systémom, sú:
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run y HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Runkde sú uložené aplikácie, ktoré sa spustia pri prihlásení aktuálneho používateľa alebo ľubovoľného používateľa. Za zmienku tiež stojí RunOnce, ktorý vykoná položky iba raz pri ďalšom spustení.
Kontrola týchto kľúčov môže odhaliť neznáme položky s nezvyčajnými cestami alebo tými, ktoré odkazujú na dočasné priečinky, nezvyčajné adresáre používateľských profilov alebo náhodné názvy súborov. V týchto prípadoch je rozumné byť podozrievavý a po vytvorení zálohy odstrániť položku alebo ju zakázať počas kontroly antivírusovým softvérom.
Ďalším veľmi účinným spôsobom je použitie príkazového riadkuSpustením príkazu „tasklist“ v príkazovom riadku s oprávneniami správcu sa zobrazí kompletný zoznam procesov. Môžete ho kombinovať s filtrami (podľa názvu, PID atď.) alebo s inými nástrojmi, ako napríklad „wmic“ alebo „powershell“, a získať tak ďalšie podrobnosti.
Napokon nesmieme zabúdať na úlohu antivírusového softvéruPravidelná aktualizácia a spúšťanie úplných systémových kontrol pomáha odhaliť skryté procesy maskované ako legitímne služby. Mnohé súčasné produkty tiež monitorujú správanie v reálnom čase a blokujú procesy, ktoré sa správajú ako malvér, aj keď samotný súbor ešte nebol podpísaný v databázach.
Majte skutočnú kontrolu nad tým, čo beží na vašom počítači Zahŕňa to kombináciu všetkých vyššie uvedených krokov: efektívne používanie Správcu úloh, využívanie funkcií Autoruns a Process Explorer, monitorovanie registra a spoliehanie sa na robustné antivírusové riešenia. S týmito nástrojmi prestáva byť vyhľadávanie skrytých procesov, ktoré nie sú okamžite zjavné, a rozhodovanie o tom, čo s nimi robiť, záhadou a stáva sa úlohou, ktorú s trochou cviku zvládnete aj bez toho, aby ste museli byť profesionálnym hackerom.
Technológiou sa venuje už od malička. Milujem byť aktuálny v tomto sektore a predovšetkým o ňom komunikovať. Preto sa dlhé roky venujem komunikácii na technologických a videoherných weboch. Môžete ma nájsť písať o Androide, Windows, MacOS, iOS, Nintendo alebo o akejkoľvek inej súvisiacej téme, ktorá vás napadne.