Se eu tivesse um vírus em execução no meu sistema, seria capaz de ver o processo no gerenciador de tarefas? Quero dizer, seria possível que um vírus em execução contornasse o gerenciador de tarefas para que o processo não aparecesse na lista de tarefas do windows7?
Ou em outras palavras. Se eu realmente agora todos os processos no gerenciador de tarefas estiverem seguros, também sei que meu PC está limpo?
Não, normalmente não. É possível que o Gerenciador de Tarefas (e outras partes do sistema operacional) fiquem comprometidos, ocultando o vírus. Isso é chamado de rootkit.
If I really now all the processes in taskmanager to be secure
Você nunca pode saber que todos os processos no gerenciador de tarefas são seguros. Os vírus usam nomes de componentes do sistema por um motivo, às vezes até mesmo deslocando-os.
Use um antivírus.
Um antivírus detecta apenas isso e tanto ("Durante o 4T11, 33% dos malwares da Web encontrados foram malware de dia zero não detectável pelas metodologias tradicionais baseadas em assinatura no momento do encontro", fonte: link ).
Com um pouco de treinamento, você pode detectar alguns malwares porque eles se comportam de uma maneira que é um pouco fora do normal no sistema operacional. Pode ser mais tráfego de rede, mais uso de cpu, acessos estranhos ao disco ou qualquer outra coisa. O malware não está disponível apenas como binários únicos que são detectáveis por meio de um gerenciador de tarefas, mas também como bibliotecas dinâmicas (dll) anexadas a outros processos.
Você pode obter pistas sobre o que está sendo executado em seu sistema com um gerenciador de tarefas, como o Gerenciador de processos do Sysinternal Suite , e você pode assistir as coisas acontecerem no seu sistema com algo como Monitor de processos do mesmo conjunto. Acostume-se com as ferramentas e observe sinais de "estranheza":
(A parte "estranha" é o treinamento que você precisa para distinguir entre "isso é normal" e "isso é estranho")
O autor da Suite Sysinternal mostra algumas maneiras inteligentes de usar as ferramentas acima mencionadas:
Então, sim, você pode detectar alguns dos malwares com um gerenciador de tarefas decente. Quanto menos sofisticado for o malware, mais fácil será detectá-lo. Se o malware tentar detectar o uso de gerenciadores de tarefas, como o Process Explorer, talvez seja necessário executar etapas avançadas, como usar um " Sessão "para detectar comportamentos estranhos, mas ainda é possível.
Não é possível detectar vírus no gerenciador de tarefas.
Existem vários tipos de vírus. Vírus, Trojan, rootkit, adware / puk etc. Alguns vírus se escondem do gerenciador de tarefas. Então, ele não aparece no gerenciador de tarefas.
Eu sugiro que você pare de procurar no gerenciador de tarefas e instale o antivírus.
Como posso: Acessar o Visualizador de Eventos do Windows®?
Os vírus são bastante sofisticados hoje em dia. Isso significa que eles podem se esconder do Gerenciador de Tarefas, executar várias cópias de si mesmos (no caso de uma cópia ser removida) e muito mais truques. Por definição, os vírus também se injetam nos processos do sistema para se esconderem.
Geralmente, o malware geralmente pode ser detectado com muita facilidade, apenas pela identificação de um processo incomum em execução. Mas os vírus geralmente só podem ser identificados por sua carga útil injetada no processo de destino.
Então, um antivírus é realmente a única coisa que pode detectar com precisão ... bem ... um vírus!
Do ponto de vista de um programador, sugiro que você experimente o aprendizado de programação usando a API do Windows e, mais ainda, ganchos de API.
O kernel do sistema operacional mantém uma tabela dessas funções nativas da API que você precisa identificar e ligar . Seu gancho irá redirecionar e modificar / filtrar a saída. Esse trecho de código precisa ser executado no espaço do kernel e, para que você possa controlá-lo (ou seja, carregar / parar), você também precisa ter um software no espaço do usuário. Embora sejam possíveis no espaço do usuário, provavelmente serão sinalizados pelos AVs modernos como algum tipo de atividade maliciosa.
A abordagem seria ligar um trecho de código para interceptar chamadas de API (ou seja ,NtQueryDirectoryFile ()), de modo que você modifique / filtre a abordagem de saída do tipo man-in-the-middle. Processos em execução no espaço do usuário (ou seja, TaskManager, Windows Explorer, Process Explorer), apenas exibirão a saída filtrada fornecida pelo seu gancho ... E NÃO, as ACLs não têm energia nessa camada
É claro que os AVs modernos possuem pedaços de código em execução no espaço do kernel e / ou PATTERN MATCHING (lembre-se de quando as atualizações AV são chamadas de AV Patterns Update?) - para detectar e impedir esses ganchos maliciosos.