¿Es posible detectar un virus con el administrador de tareas?

10

Si tuviera un virus en ejecución en mi sistema, ¿podría ver el proceso en el administrador de tareas? Quiero decir, ¿sería posible que un virus en ejecución eluda el administrador de tareas para que el proceso no aparezca en la lista de tareas de windows7?

O en otras palabras. Si realmente todos los procesos en el administrador de tareas son seguros, también sé que mi PC está limpia.

windows-7 virus

— usuario1344545
fuente

7

No, generalmente no. Es posible que el Administrador de tareas (y otras partes del sistema operativo) se vean comprometidos, ocultando así el virus. Esto se llama rootkit.

Si realmente ahora todos los procesos en el administrador de tareas sean seguros

Nunca se puede saber que todos los procesos en taskmanager sean seguros. Los virus usan nombres de componentes del sistema por una razón, a veces incluso desplazándolos.

Utiliza un antivirus.

— Jonathan Baldwin
fuente

1

para una mejor comprensión: Entonces, esto significa que el administrador de tareas muestra, por ejemplo, 0% de uso de CPU en general (todos los procesos 0%), pero podría ser que hay un proceso oculto que usa CPU, pero no lo veo en el administrador de tareas.

— user1344545

Estoy de acuerdo con la respuesta de Jonathan.

— Calculadora

El administrador de tareas siempre mostrará un proceso llamado "Proceso de inactividad del sistema" que se ejecuta durante el tiempo de inactividad de la CPU, que parece maximizar el uso de la CPU. En realidad no lo hace, y no es un virus. Pero sí, un virus puede unirse al taskman para ocultar su uso de CPU.

— Jonathan Baldwin

¿Esto se aplica a Windows 7 y 8.x?

— Faiz

@Faiz lo hace la parte "Usar un antivirus". Siempre debe usar un antivirus (hay algunos gratuitos como Avast Antivirus), y en estos días incluso es necesario usar un software antivirus en dispositivos móviles.

— NH.

5

Un antivirus detecta solo una y otra vez ("Durante el 4T11, el 33 por ciento del malware web encontrado fue malware de día cero no detectable por las metodologías tradicionales basadas en firmas en el momento del encuentro", fuente: http://blogs.cisco.com / security / cisco-4q11-global-amenaza-informe / ).

Con un poco de entrenamiento, puede detectar algo de malware porque se comportan de una manera distinta a la habitual en el sistema operativo. Podría ser más tráfico de red, más uso de CPU, accesos extraños al disco o algo más. El malware no solo está disponible como archivos binarios únicos que son detectables a través de un administrador de tareas, sino también como bibliotecas dinámicas (dll) adjuntas a otros procesos.

Puede obtener pistas sobre lo que se está ejecutando en su sistema con un administrador de tareas como Process Explorer de Sysinternal Suite , y puede ver cómo suceden cosas en su sistema con algo como Process Monitor de la misma suite. Acostúmbrate a las herramientas y observa los signos de "extrañeza":

Binarios sin firmar (ejecutables o dlls)
Escrituras extrañas a archivos extraños
Actividad de red extraña

(La parte "extraña" es la capacitación que necesita para distinguir entre "eso es normal" y "eso es extraño")

El autor de Sysinternal Suite muestra algunas formas inteligentes de usar las herramientas mencionadas anteriormente:

https://www.youtube.com/watch?v=7heEYEbFim4

Entonces, sí, puede detectar parte del malware con un administrador de tareas decente. Cuanto menos sofisticado sea el malware, más fácil será detectarlo. Si el malware intenta detectar el uso de administradores de tareas como Process Explorer, es posible que deba seguir pasos avanzados como usar una " Sesión " diferente para detectar comportamientos extraños, pero aún es posible.

— akira
fuente

Si bien es un buen consejo (+1), no hay sustituto para un antivirus decente en una máquina con Windows. Esto es (obviamente) un complemento de eso, y requiere algún conocimiento sobre qué "comportamiento extraño" es no romper su sistema. Muchos componentes de Windows actúan "extraños" para el ojo inexperto.

— Jonathan Baldwin

Además, hay varios órdenes de magnitud de archivos binarios sin signo más legítimos que los archivos binarios sin signo infectados. En realidad, la mayoría del software de Windows no está firmado, ya que muy pocos desarrolladores se preocuparon por firmar antes de que apareciera Windows 8 SmartScreen. No es un gran punto de referencia en sí mismo.

— Jonathan Baldwin

Bueno, la mayoría del software "normal" está firmado, el que viene de MSFT está ciertamente firmado. Por lo tanto, puede obtener una pista sobre qué es parte del sistema y qué no es parte del sistema. El software AV generalmente es un software que se ejecuta con derechos de kernel, descarga nuevas instrucciones de Internet :) twitter.com/thegrugq/status/297177182848049152 zdnet.com.au/blogs/securifythis/soa/… etc. Sí, es más fácil instalar algo que alguien reclama ayuda. EN MI HUMILDE OPINIÓN.

— akira

1

FYI: lock.cmpxchg8b.com/sophailv2.pdf

— akira

2

No es posible detectar virus desde el administrador de tareas.

Hay varios tipos de virus. Virus, troyanos, rootkit, adware / puk, etc. Algunos virus se esconden del administrador de tareas. Por lo tanto, no aparece en el administrador de tareas.

Te sugiero que dejes de buscar en el administrador de tareas e instales antivirus.

¿Cómo puedo: acceder al Visor de eventos de Windows®?

Presione Imagen + R y escriba "eventvwr.msc" y haga clic en Aceptar o presione Entrar.
Expanda Registros de Windows y seleccione Seguridad.
En el centro verá una lista, con Fecha y hora, Origen, ID de evento y Categoría de tarea. La categoría de tareas explica el evento, el inicio de sesión, el inicio de sesión especial, el cierre de sesión y otros detalles.

— Maquina calculadora
fuente

No estoy seguro de tener un virus, pero ayer recibí un mensaje sospechoso cuando cerré sesión. No podía leerla en su totalidad, porque era muy rápido, pero mi 'corazonada' dice que el mensaje dijo que alguien todavía se registra en.

— user1344545

Abra el administrador de tareas: navegue a la pestaña de usuario y compruebe cuántas sesiones hay. ¿Es la computadora de su casa o está unida en un dominio?

— Máquina de calcular

Tenemos una pequeña red en casa. Mi esposa e hijos Pero estaba solo en la red, cuando apareció el mensaje emergente durante el cierre de sesión. ¿Hay alguna forma de activar un mensaje cuando alguien inicia sesión en mi PC local?

— usuario1344545

1

Virus es un programa simple para la destrucción. El proveedor de servicios antivirus siempre busca nuevas amenazas. Si encuentran alguna nueva amenaza, liberan el archivo de detección (ide). Si tienes un antivirus no significa que te protegerá al 100%. Pero puedo decir que su máquina es al menos segura para amenazas anteriores.

— Máquina de calcular

1

y luego lo ven a través de un monitor de proceso / administrador de tareas. al malware también le gusta esconderse del software antivirus ... lo que hace que el punto de av ... bueno, no tenga sentido.

— akira

0

Los virus son bastante sofisticados hoy en día. Eso significa que pueden esconderse del Administrador de tareas, ejecutar múltiples copias de sí mismos (en caso de que se elimine una copia) y muchos más trucos. Por definición, los virus también se inyectan en los procesos del sistema para ocultarse.

El malware en general generalmente se puede detectar con bastante facilidad simplemente identificando un proceso inusual que se está ejecutando. Pero los virus específicamente solo pueden identificarse por su carga útil inyectada en el proceso de destino.

Entonces, un antivirus es realmente lo único que puede detectar con precisión ... bueno ... ¡un virus!

— oldmud0
fuente

-1

Desde la perspectiva de un programador, sugeriría que intente aprender a programar utilizando la API de Windows y más: ganchos de API.

El núcleo del sistema operativo mantiene una tabla de estas funciones API nativas que necesita identificar y conectar . Su gancho redirigirá y modificará / filtrará la salida. Este fragmento de código debe ejecutarse en el espacio del kernel, y para que pueda controlarlo (es decir, cargar / detener), también debería tener un software en el espacio del usuario. Aunque esto también es posible en el espacio de usuario, lo más probable es que los AV modernos lo marquen como algún tipo de actividad maliciosa.

El enfoque sería enganchar un fragmento de código para interceptar llamadas API (es decir, NTQueryDirectoryFile ()) de modo que modifique / filtre la salida, una especie de enfoque de hombre en el medio. Los procesos que se ejecutan en el espacio de usuario (es decir, TaskManager, Windows Explorer, Process Explorer), solo mostrarán la salida filtrada proporcionada por su enlace ... Y NO, las ACL no tienen potencia en esta capa

Por supuesto, los AV modernos también tienen fragmentos de código que se ejecutan en el espacio del kernel, y / o PATTERN MATCHING (¿recuerda cuando las actualizaciones AV se llaman AV Patterns Update?) Para detectar y prevenir tales enlaces maliciosos.

— mVincent
fuente

1

No estoy seguro de cómo esta respuesta realmente responde a la pregunta propuesta que tenía el autor.

— Ramhound

Se sugirió una edición. Esto supuestamente se publica ( superuser.com/questions/821040/… ). Pero fue cerrado por mods, solo minutos antes de hacer clic en publicar

— mVincent

Eso todavía no explica cómo esta respuesta aborda la pregunta planteada por la pregunta planteada. La pregunta a la que se vinculó se cerró una hora completa antes de enviar esta respuesta. Por supuesto, creo que mencionaré el hecho de que el duplicado vinculado es una pregunta mucho mejor que esta.

— Ramhound

Si, de hecho. Y como dije, eso supuestamente se publicará en esa Pregunta vinculada. Sin embargo, se sugirió una edición, que borre la nota adjunta. Esta respuesta proporciona una idea de la pregunta relevante y aborda la falsa sensación de seguridad que tiene un usuario si él mismo no puede determinar la capacidad del software en el que se basa.

— mVincent

Traté de entender cómo responde esto si el administrador de tareas puede enumerar un virus en ejecución, pero todavía no puedo verlo

— Ramhound