- Скривени процеси могу бити злонамерни софтвер, системске услуге или остаци софтвера који троше ресурсе, а да нису јасно видљиви.
- Менаџер задатака, заједно са картицом Детаљи и Монитором ресурса, омогућава вам да откријете сумњиве процесе и везе.
- Напредни алати попут Autoruns-а и Process Explorer-а (са VirusTotal-ом) нуде потпуну контролу над процесима, покретањем и фантомским остацима.
- Комбиновање ових алата са провером регистра и добрим антивирусом је кључно за одржавање перформанси и безбедности у оперативном систему Windows.
Рачунар ради споро без икаквог очигледног разлога.Ако вам се потрошња РАМ меморије повећа чак и када ништа није отворено или ако доживите кашњење током играња, то је обично први знак да нешто није у реду. Често отворимо Менаџер задатака тражећи кривца... и ништа необично се не појављује. Ту почиње сумња: могуће је да постоје скривени процеси који се извршавају у позадини.
Windows стално покреће десетине сервиса и процеса. У позадини раде разни програми, неки потпуно легитимни, а други потенцијално опасни или остаци неправилно деинсталираног софтвера. Учење откривања шта се заиста покреће, поред онога што открива стандардни Менаџер задатака, кључно је за побољшање перформанси, јачање безбедности и откривање злонамерног софтвера који покушава да се сакрије. Хајде да сазнамо све о томе. Како открити скривене процесе који се не појављују у Менаџеру задатака.
Шта су скривени процеси и зашто се не појављују увек јасно?
Сваки програм који се покреће на рачунару генерише барем један процес који остаје у меморији да би функционисао: од прегледача или игре до малих системских сервиса. Проблем је што многи од ових процеса немају „људско“ име попут Chrome.exe или Spotify.exe, већ криптичне идентификаторе који отежавају препознавање да ли припадају Windows-у, легитимном програму или злонамерном софтверу.
Штавише, постоје процеси које не можете видети на први поглед. на картици „Процеси“ у Менаџеру задатака јер су груписани, приказани под генеричким именима или зависе од системских сервиса. Неке врсте злонамерног софтвера искоришћавају ово, убризгавајући код у легитимне процесе или се кријући иза двосмислених сервиса, што их чини изузетно тешким за проналажење просечном кориснику.
Чак и након деинсталације програмаМогу постојати „фантомски остаци“: задаци покретања, услуге или уноси у регистар који настављају да покушавају да се покрену у позадини. Нећете видети инсталирани програм, али ћете видети генерички процес под називом „Програм“ или нешто слично, који троши ресурсе без пружања било какве корисне услуге.
Такође је уобичајено да скривени процеси утичу на мрежу: мистериозне везе, коришћење пропусног опсега када не би требало ништа да преузима или комуницира са интернетом, или необјашњиви скокови у потрошњи процесора и меморије када је рачунар, теоретски, у стању мировања.
Коришћење Управитеља задатака у пуном потенцијалу: шта заправо можете видети из оперативног система Windows
Пре него што пређемо на напредне алатеВреди искористити све предности које сам Менаџер задатака нуди. У оперативним системима Windows 10 и 11, он је много моћнији него што се чини ако знате где да тражите и промените нека од подразумеваних подешавања.
Да га брзо отворитеКористите пречицу на тастатури Цтрл + Схифт + ЕсцТакође можете кликнути десним тастером миша на траку задатака и изабрати „Менаџер задатака“. Ако се отвори у поједностављеном режиму, кликните на „Више детаља“ да бисте видели комплетан интерфејс са свим картицама.
На картици „Процеси“ видећете преглед Коришћење процесора, RAM меморије, диска, графичке картице и мреже по апликацији. Овде можете лако идентификовати „главне играче“ (игра, прегледач, видео едитор...). Али ако желите да откријете сумњиве процесе, морате ићи мало даље.
Кључни корак је активирање опције „Прикажи процесе свих корисника“ (на старијим верзијама Windows-а) или проверите да ли Менаџер задатака приказује све што се покреће под различитим налозима и услугама. Ово ће вам дати потпунију листу, укључујући системске услуге које понекад може користити злонамерни софтвер.
Картица „Детаљи“, Надгледање ресурса и анализа мреже
Картица „Детаљи“ у Менаџеру задатака Овде се заправо појављује комплетна листа покренутих процеса. Свака извршна датотека се овде приказује, без груписања, користећи своје интерно име. То је приказ најближи ономе што види сам оперативни систем.
Са ове картице можете пронаћи процесе који изгледају чудно. Потражите процесе које не препознајете, који имају веома генеричка имена или који ненормално троше ресурсе. Ако кликнете десним тастером миша на било који процес, можете да „Отворите локацију датотеке“, што је неопходно да бисте знали одакле је та извршна датотека заправо дошла.
Још једна веома корисна колона је колона „Назив путање слике“. (У неким преводима, ово се појављује као „Путања слике“). Можете га активирати тако што ћете кликнути десним тастером миша на заглавља колона, изабрати „Изабери колоне“ и означити ову опцију. Ово ће вам приказати пуну путању датотеке иза сваког процеса.
Да бисмо дубље истражили понашање мрежеОтворите картицу „Перформансе“, а затим кликните на „Отвори монитор ресурса“. На картици „Мрежа“ у Монитору ресурса видећете који процеси успостављају везе, колико саобраћаја шаљу и примају и на које IP адресе. Ако откријете непознату апликацију која се повезује са необичним адресама, то је јак показатељ да нешто није у реду.
Прегледајте програме који се покрећу по покретању система и преостали деинсталирани софтвер
Многи скривени процеси се провлаче кроз процес покретања система Windows.То значи да се аутоматски покрећу сваки пут када укључите рачунар. Ово објашњава зашто, чак и након „затварања свега“, потрошња РАМ-а остаје прилично висока или је систему потребно дуго да постане употребљив.
У менаџеру задатака имате одељак „Покретање“ (У оперативном систему Windows 11, појављује се у бочном менију као „Апликације за покретање“, а у оперативном систему Windows 10 као картица „Покретање“). Тамо ћете видети све програме који се аутоматски покрећу када се пријавите.
Нормално је да се пронађу услужни програми за графичку картицу (NVIDIA, AMD), звучну картицу или миш.А такође и апликације које више волите да се аутоматски отварају јер их користите свакодневно. Али ако видите уносе без јасних имена, генеричке процесе попут „Програм“ или референце на програме које сте давно деинсталирали, они заслужују вашу пажњу.
Можете онемогућити било коју ставку при покретању кликом десног тастера миша. које не желите. Ово не брише програм, већ га само спречава да се покрене са Windows-ом. То је брз начин да проверите да ли је тај мистериозни процес био кривац за кашњење или прекомерну употребу RAM-а.
Када се програм погрешно деинсталираУобичајено је да Windows оставља трагове у програмима за покретање, заказаним задацима или услугама које стално покушава да покрене иако извршна датотека више не постоји. Они се називају „фантомски процеси“ или „резидуални процеси“. Да бисте их правилно идентификовали, потребан вам је специјализованији алат.
Аутоматско покретање за Windows: Пронађите и обришите фантомске процесе и преостале материјале
Мајкрософт нуди веома моћан алат под називом Ауторунс за Виндовс бесплатно.Као део Sysinternals колекције коју је креирао Марк Русинович, ова апликација приказује апсолутно СВЕ што се покреће при покретању система или се повезује са кључним тачкама у оперативном систему Windows.
Са званичне веб странице компаније Microsoft Sysinternals Можете преузети Autoruns у ZIP формату. Након распакивања, једноставно отворите „Autoruns.exe“ или „Autoruns64.exe“ у зависности од вашег система. Не захтева инсталацију; то је преносива извршна датотека.
Када се отвори, Ауторунс приказује огромну листу уносаПокретни програми, сервиси, проширења Explorer-а, ставке Office-а, драјвери, заказани задаци итд. На врху можете филтрирати по категоријама (Office, сервиси, мрежни провајдери, LSA, сервиси штампања…).
Посебну пажњу треба обратити на улазе означене жутом бојом.Оне често одговарају процесима или путањама које више не постоје у систему: остаци брзо деинсталираног софтвера, аутоматизовани процеси који стално покушавају да се покрену или оштећене путање. Такође ћете видети елементе у другим бојама које означавају критичне или посебне компоненте.
Ако пронађете очигледно заостали или сумњиви улаз (На пример, ако је у питању програм за који знате да сте га већ уклонили или непозната компонента), можете кликнути десним тастером миша на њега. Контекстни мени нуди опције као што је „Избриши“ да бисте га избрисали, отворили локацију датотеке, скенирали вирусе или претражили информације о извршној датотеци на мрежи.
Аутоматско покретање је веома моћно, али и опасно ако не знате шта радите.Сам аутор препоручује да ово обави техничар или, барем, корисник са извесним искуством. Брисање битних системских уноса, драјвера за графичку картицу или хардверских компоненти може вас оставити без неких функција или чак довести до тога да се Windows не покрене исправно.
Предност је што, уз мало пажње, можете очистити систем Уклања остатке апликација које више немате, елиминише фантомске процесе покретања и открива сумњиве аутоматизације које нису тако јасне у традиционалном Менаџеру задатака.
Process Explorer: Microsoft-ов „Напредни менаџер задатака“
Ако вам Менаџер задатака не одговараДиректна и званична алтернатива компаније Microsoft је Process Explorer, још један драгуљ из Sysinternals пакета. Намењен је систем администраторима и напредним корисницима којима је потребна потпуна контрола и веома фини детаљи о сваком процесу.
Process Explorer се може преузети са веб странице Sysinternals. Долази у компресованој датотеци. Распакујте је у било коју фасциклу и покрените „procexp64.exe“ ако је ваш систем 64-битни (или 32-битна верзија ако је применљиво). Не захтева инсталацију и препоручује се да је покренете као администратор да бисте видели све детаље.
Интерфејс приказује хијерархијско стабло процесагде можете јасно видети који је програм покренуо који, које нити су му отворене, коју DLL датотеку користи и још много тога. Сваки процес је обојен према свом типу, а ове боје се могу подесити из менија Опције > Конфигуриши боје.
Једна од великих предности Process Explorer-а Омогућава вам да отворите локацију извршне датотеке, видите њена безбедносна својства, интерне текстуалне низове, приступите дескрипторима, па чак и да интерагујете са њом из командне линије или генеришете изводе меморије за напредну анализу.
У случају да желите потпуно заменити Менаџер задатакаИз менија Опције можете изабрати „Замени менаџер задатака“. Након тога, када користите пречицу Ctrl + Shift + Esc, отвориће се Process Explorer уместо стандардног Windows менаџера задатака.
Интеграција Process Explorer-а са VirusTotal-ом за откривање злонамерног софтвера
Process Explorer није само за преглед шта се покреће.Такође помаже у утврђивању да ли је поуздан. Једна од његових најбољих карактеристика, уведена пре много година, јесте интеграција са VirusTotal-ом, познатом услугом која истовремено анализира датотеке са десетинама антивирусних програма.
Да бисте активирали ову интеграцијуОтворите Process Explorer и идите на мени Options > VirusTotal. Омогућите опцију слања хешева процеса VirusTotal-у на анализу (у тренутној верзији, ово се безбедно ради слањем само отиска прста датотеке).
Тиме ћете додати нову колону у главни прозор. са резултатом анализе сваког процеса. Видећете нешто попут „0/70“, „1/70“ итд., што показује колико антивирусних програма га означава као сумњиво од укупног броја.
Процеси који се појављују зеленом бојом или са 0 детекција Генерално се сматрају чистим, иако су лажно негативни резултати увек могући. Ако се процес појављује црвеном бојом или са вишеструким детекцијама, врло је вероватно да је у питању злонамерни софтвер или, барем, нешто што вреди истражити.
Ако кликнете на резултат VirusTotal-аСтраница за анализу ће се затим отворити са проширеним информацијама: који су претраживачи детектовали вирус, којој породици злонамерних програма може припадати, примећено понашање итд. Ове информације су непроцењиве за одлучивање да ли да се процес заврши и изврши дубље чишћење помоћу антивирусног софтвера.
Како користити Process Explorer да бисте открили путању злонамерног софтвера
У лабораторијским окружењима или виртуелним машинамаУобичајено је да студенти и безбедносни аналитичари користе Process Explorer за лоцирање злонамерног софтвера и проучавање његовог понашања. Типичан задатак је пронаћи тачну путању злонамерног извршног програма како би се затим учитао у дизасемблер.
Обично је довољно лоцирати сумњиви процес. На листи кликните десним тастером миша и користите „Својства“ или „Отвори локацију датотеке“ да бисте сазнали у којој се фасцикли налази бинарна датотека. Одатле је можете копирати у друго контролисано окружење да бисте је анализирали помоћу алата као што су IDA, Ghidra или други дизасемблер.
Проблем настаје када се малваре без датотека покушава да сакрије своју рутуОво се може десити или зато што манипулише системом или зато што убризгава свој код у легитимне процесе. У тим случајевима, Process Explorer вам може приказати процес, али неће јасно идентификовати изворну извршну датотеку или ће једноставно приказати непотпуне информације.
Када се то деси, препоручљиво је комбиновати неколико алата.Прегледајте регистар (HKCU и HKLM Run и RunOnce кључеве), проверите заказане задатке, користите Autoruns да бисте видели шта се покреће при покретању и, ако је потребно, прибегните специфичним алатима за анализу злонамерног софтвера или виртуелним машинама са напредним праћењем система.
У сваком случају, ако откријете процес са сумњивим понашањем Ако VirusTotal означи датотеку као злонамерну, први корак је изоловање погођене машине од мреже, прекид процеса ако је могуће, а затим скенирање или уклањање узорка специјализованим безбедносним решењем. За више информација о Process Explorer-у, погледајте званична веб страница компаније Windows.
Откривање скривених датотека и фасцикли: пример из стварног света коришћењем злонамерног софтвера „Streamerdata“
Неки злонамерни софтвер се не скрива само као процесиОни не само да скривају своје фасцикле и датотеке како би отежали уклањање, већ их и прикривају. Типичан пример су инфекције које креирају скривене директоријуме у коренском директоријуму диска, као што је „C:\Streamerdata“, и реплицирају празне пречице по целом систему.
У овој врсти сценарија, антивирус континуирано детектује претњу (на пример, Win64:Malware-gen), шаље га у архиву и брише га… али се убрзо поново појављује. У међувремену, примећујете да је систем спор, да постоје чудне фасцикле и пречице, па чак и да се у Менаџеру задатака појављује процес са лажним именом „антивирусни алат“.
Техника коју су неки корисници користили То подразумева креирање .bat датотеке са командама које уклањају атрибуте „скривено“, „системско“ и „само за читање“ из свих датотека на диску. Нешто слично:
атрибут -р -а -х -с У:\*.* /С /Д (где је U диск који треба дезинфиковати). Ово, када се покрене као администратор, приморава све да буде видљиво, укључујући и злонамерну фасциклу која је претходно била потпуно скривена, омогућавајући њено ручно брисање.
Мана прекомерне употребе ових врста скрипти Ово такође открива многе системске фасцикле и датотеке које су обично скривене из безбедносних разлога: конфигурационе фасцикле, датотеке desktop.ini итд. Ако нисте пажљиви и обришете оно што не би требало, можете учинити свој систем нестабилним.
У примеру „Streamerdata“, откривањем свега Датотеке „desktop“ (desktop.ini) су почеле да се појављују на радним површинама и у разним фасциклама, а сам систем је приказивао грешке при покретању док је покушавао да пронађе фасциклу са злонамерним софтвером, која је већ била обрисана. Ово је јасан пример како ручно чишћење без правилног разумевања шта радите може имати нежељене последице.
Ако се нађете у сличној ситуацијиПрепоручени приступ је комбиновање доброг антивирусног или антималвер пакета (Malwarebytes, добро ажурирани Windows Defender итд.), алата за чишћење при покретању као што је Autoruns и, ако сте значајно изменили атрибуте, реконфигурисање опција фасцикле или коришћење алата као што су Винаеро Твеакер да поново сакрије критичне системске датотеке које не би требало да се виде или додирују свакодневно.
Контролисање записа и друге комплементарне технике
Скривени процеси и упорни злонамерни софтвер Често се ослањају на Windows регистар за вишеструко покретање. Познавање најчешћих кључева регистра увелико помаже у њиховом проналажењу када други алати нису убедљиви.
Коришћењем команде Win + R и куцањем „regedit“Затим приступате уређивачу регистра (користите овај алат са изузетним опрезом). Најчешће путање где се региструју програми који почињу са системом су:
ХКЕИ_ЦУРРЕНТ_УСЕР \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Рун y ХКЕИ_ЛОЦАЛ_МАЦХИНЕ \ Софтваре \ Мицрософт \ Виндовс \ ЦуррентВерсион \ Рунгде се чувају апликације које се покрећу када се тренутни корисник или било који корисник пријави, респективно. Такође је вредно пажње Рун, који извршава уносе само једном при следећем покретању.
Преглед ових кључева може открити непознате записе са необичним путањама или онима које указују на привремене фасцикле, необичне директоријуме корисничких профила или насумична имена датотека. У тим случајевима, разумно је бити сумњичав и, након што направите резервну копију, обрисати унос или га онемогућити док скенирате антивирусним софтвером.
Још један веома ефикасан начин је коришћење командне линијеПокретање команде „tasklist“ у командној линији са администраторским привилегијама ће приказати комплетну листу процеса. Ово можете комбиновати са филтерима (по имену, PID-у итд.) или са другим алатима као што су „wmic“ или „powershell“ да бисте добили додатне детаље.
На крају, не смемо заборавити улогу антивирусног софтвераРедовно ажурирање и покретање потпуног скенирања система помаже у откривању скривених процеса прикривених као легитимне услуге. Многи тренутни производи такође прате понашање у реалном времену, блокирајући процесе који се понашају као злонамерни софтвер чак и ако сама датотека још није потписана у базама података.
Имајте праву контролу над оним што се покреће на вашем рачунару То подразумева комбиновање свега наведеног: ефикасно коришћење Менаџера задатака, коришћење функција Autoruns и Process Explorer, праћење регистра и ослањање на робусна антивирусна решења. Са овим алатима, проналажење скривених процеса који нису одмах очигледни и одлучивање шта да се ради са њима престаје да буде мистерија и постаје задатак који, уз мало вежбе, можете савладати без потребе да будете професионални хакер.
Страствен за технологију од малих ногу. Волим да будем у току у сектору и, изнад свега, да га комуницирам. Због тога сам дуги низ година посвећен комуникацији на сајтовима о технологији и видео игрицама. Можете ме наћи како пишем о Андроиду, Виндовс-у, МацОС-у, иОС-у, Нинтендо-у или било којој другој сродној теми која вам падне на памет.