Est-il possible de détecter un virus avec taskmanager?

Si j'avais un virus en cours d'exécution sur mon système, pourrais-je voir le processus dans le gestionnaire de tâches? Je veux dire, serait-il possible qu'un virus en cours d'exécution contourne le gestionnaire de tâches afin que le processus n'apparaisse pas dans la liste des tâches de windows7?

Ou en d'autres termes. Si j'ai vraiment maintenant tous les processus dans taskmanager pour être sécurisé, je sais aussi que mon PC est propre?

Non, pas d'habitude. Il est possible que le Gestionnaire des tâches (et d'autres parties du système d'exploitation) soit lui-même compromis, cachant ainsi le virus. C'est ce qu'on appelle un rootkit.

Si j'ai vraiment maintenant tous les processus dans le gestionnaire de tâches pour être sécurisé

Vous ne pouvez jamais savoir que tous les processus de taskmanager sont sécurisés. Les virus utilisent des noms de composants système pour une raison, les déplaçant parfois même.

Utilisez un antivirus.

Un antivirus ne détecte que telle ou telle chose ("Au 4T11, 33% des logiciels malveillants Web rencontrés étaient des logiciels malveillants Zero Day non détectables par les méthodologies traditionnelles basées sur les signatures au moment de la rencontre", source: http://blogs.cisco.com / security / cisco-4q11-global-menace-report / ).

Avec un peu de formation, vous pouvez détecter certains logiciels malveillants, car ils se comportent d'une certaine manière, ce qui est un peu différent de ce qui est habituel sur le système d'exploitation. Il peut s'agir d'un trafic réseau plus important, d'une utilisation plus importante de l'unité centrale de traitement, d'étranges accès au disque ou d'autre chose. Les logiciels malveillants ne sont pas uniquement disponibles sous forme de binaires uniques détectables via un gestionnaire de tâches, mais également sous forme de bibliothèques dynamiques (dll) attachées à d'autres processus.

Vous pouvez obtenir des indices sur ce qui fonctionne sur votre système avec un gestionnaire de tâches comme Process Explorer de la suite Sysinternal , et vous pouvez regarder les choses se produire sur votre système avec quelque chose comme Process Monitor de la même suite. Habituez-vous aux outils et surveillez les signes "d'étrangeté":

• Binaires non signés (exécutables ou DLL)
• Strange écrit dans des fichiers étranges
• Activité de réseau étrange

(La partie "étrange" est la formation dont vous avez besoin pour faire la distinction entre "c'est normal" et "c'est étrange")

L'auteur de la suite Sysinternal montre quelques façons intelligentes d'utiliser les outils mentionnés ci-dessus:

https://www.youtube.com/watch?v=7heEYEbFim4

Donc, oui, vous pouvez détecter certains logiciels malveillants avec un gestionnaire de tâches décent. Moins le malware est sophistiqué, plus il sera facile à détecter. Si le malware essaie de détecter l'utilisation de gestionnaires de tâches comme Process Explorer, vous devrez peut-être même prendre des mesures avancées telles que l'utilisation d'une « session » différente pour détecter un comportement étrange, mais cela reste possible.

Il n'est pas possible de détecter un virus à partir du gestionnaire de tâches.

Il existe plusieurs types de virus. Virus, cheval de Troie, rootkit, adware / puk, etc. Certains virus se cachent du gestionnaire de tâches. Il n'apparaît donc pas dans le gestionnaire de tâches.

Je vous suggère d'arrêter de chercher dans le gestionnaire de tâches et d'installer un antivirus.

Comment puis-je: accéder à l'Observateur d'événements Windows®?

1. Appuyez sur Image + R et tapez "eventvwr.msc" et cliquez sur OK ou appuyez sur Entrée.
2. Développez Journaux Windows et sélectionnez Sécurité.
3. Au milieu, vous verrez une liste, avec la date et l'heure, la source, l'ID d'événement et la catégorie de tâche. La catégorie de tâches explique à peu près l'événement, l'ouverture de session, l'ouverture de session spéciale, la fermeture de session et d'autres détails.

Les virus sont assez sophistiqués de nos jours. Cela signifie qu'ils peuvent se cacher du Gestionnaire des tâches, exécuter plusieurs copies d'eux-mêmes (au cas où une copie serait supprimée) et bien d'autres astuces. Par définition, les virus s'injectent également dans les processus système afin de se cacher.

Les logiciels malveillants en général peuvent généralement être détectés assez facilement simplement en identifiant un processus inhabituel en cours d'exécution. Mais les virus en particulier ne peuvent généralement être identifiés que par leur charge utile injectée dans le processus cible.

Un antivirus est donc vraiment la seule chose qui puisse détecter avec précision ... eh bien ... un virus!

Du point de vue d'un programmeur, je vous suggère d'essayer d'apprendre la programmation à l'aide de l'API Windows, et plus encore - les crochets API.

Le noyau du système d'exploitation conserve un tableau de ces fonctions API natives que vous devez identifier et connecter . Votre hook redirigera et modifiera / filtrera ensuite la sortie. Ce morceau de code doit fonctionner sur l'espace noyau, et pour que vous puissiez le contrôler (c'est-à-dire charger / arrêter), vous devez également avoir un logiciel sur l'espace utilisateur. Bien que cela soit également possible sur l'espace utilisateur, il sera très probablement signalé par les AV modernes comme une sorte d'activité malveillante.

L'approche consisterait à accrocher un morceau de code pour intercepter les appels d'API (ieNtQueryDirectoryFile ()) de telle sorte que vous modifiez / filtrez la sortie - sorte d'approche man-in-the-middle. Les processus s'exécutant sur l'espace utilisateur (ie TaskManager, Windows Explorer, Process Explorer), afficheront simplement la sortie filtrée fournie par votre hook ... Et NON, les ACL n'ont aucun pouvoir sur cette couche

Bien sûr, les AV modernes ont également des morceaux de code fonctionnant sur l'espace du noyau et / ou MATCHING MATCHING (rappelez-vous quand les mises à jour AV sont appelées AV Patterns Update?) - pour détecter et empêcher de tels hooks malveillants.