如果我的系统上有正在运行的病毒,我可以在任务管理器中看到该进程吗?我的意思是,正在运行的病毒是否有可能绕过任务管理器,使进程不出现在 Windows7 的任务列表中?
或者换句话说,如果我真的知道任务管理器中的所有进程都是安全的,那么我也知道我的电脑是干净的?
答案1
不,通常不会。任务管理器(以及操作系统的其他部分)本身可能会受到攻击,从而隐藏病毒。这称为 rootkit。
如果我现在真的知道任务管理器中的所有进程都是安全的
您永远无法知道任务管理器中的所有进程是否安全。病毒会出于某种原因使用系统组件的名称,有时甚至会替换它们。
使用防病毒软件。
答案2
防病毒软件只能检测到有限的部分内容(“在 2011 年第四季度,33% 的 Web 恶意软件是零日恶意软件,在遇到时无法通过传统的基于签名的方法检测到”,来源:http://blogs.cisco.com/security/cisco-4q11-global-threat-report/)。
经过一些培训,您可以检测到某些恶意软件,因为它们的行为方式与操作系统上的常规行为略有不同。这可能是更多的网络流量、更多的 CPU 使用率、奇怪的磁盘访问或其他问题。恶意软件不仅以可通过任务管理器检测到的单个二进制文件形式存在,还可以以附加到其他进程的动态库 (dll) 形式存在。
你可以使用类似这样的任务管理器来获取有关系统正在运行什么的线索进程探索器来自Sysinternal 套件,然后你就可以通过类似下面的命令观察系统上发生的事情进程监控同一套件。习惯使用这些工具并留意“奇怪”的迹象:
- 未签名的二进制文件(可执行文件或 dll)
- 向奇怪的文件写入奇怪的内容
- 奇怪的网络活动
(“奇怪”的部分是你所需要的训练,以便区分“那是正常的”和“那是奇怪的”)
Sysinternal Suite 的作者展示了一些使用上述工具的巧妙方法:
https://www.youtube.com/watch?v=7heEYEbFim4
因此,是的,您可以使用像样的任务管理器检测某些恶意软件。恶意软件越不复杂,就越容易检测到。如果恶意软件试图检测使用 Process Explorer 等任务管理器,您可能需要采取高级步骤,例如使用不同的“会议“来检测奇怪的行为,但仍然是可能的。
答案3
无法从任务管理器检测病毒。
病毒有多种类型。病毒、木马、rootkit、广告软件/puk 等。有些病毒会隐藏在任务管理器之外。因此,它不会出现在任务管理器中。
我建议您停止查看任务管理器并安装防病毒软件。
我如何:访问 Windows® 事件查看器?
- 按 Image+R 并输入“eventvwr.msc”,然后单击“确定”或按 Enter。
- 展开 Windows 日志,然后选择安全。
- 在中间你会看到一个列表,其中包含日期和时间、来源、事件 ID 和任务类别。任务类别几乎解释了事件、登录、特殊登录、注销和其他详细信息。
答案4
任务管理器可能被感染,因此无法显示病毒,但它必须感染任务管理器,因为甚至 ntoskrnl(Windows 内核)也无法从任务管理器中隐藏。对于 Windows XP 和 Windows 2000 上的一些较旧的病毒,可能存在明显的进程,但在 Windows 7 及更高版本上,它可能会隐藏自身。