Ist es möglich, einen Virus mit Taskmanager zu erkennen?

Nein, normalerweise nicht. Es ist möglich, dass der Task-Manager (und andere Teile des Betriebssystems) selbst kompromittiert werden und somit den Virus verbergen. Dies wird als Rootkit bezeichnet.

Wenn ich jetzt wirklich alle Prozesse im Taskmanager sicher habe

Sie können nie alle Prozesse im Taskmanager kennen, um sicher zu sein. Viren verwenden Namen von Systemkomponenten aus einem bestimmten Grund und verschieben sie manchmal sogar.

Verwenden Sie ein Antivirenprogramm.

Ein Antivirenprogramm erkennt nur so und so viel ("Während 4Q11 waren 33 Prozent der Web-Malware zum Zeitpunkt der Begegnung Null-Tage-Malware, die von herkömmlichen signaturbasierten Methoden nicht erkannt werden konnte", Quelle: http://blogs.cisco.com/security/cisco-4q11-global-threat-report/).

Mit ein wenig Training können Sie Malware erkennen, da sie sich auf eine bestimmte Weise verhalten, die etwas anders ist als auf dem Betriebssystem üblich. Es könnte mehr Netzwerkverkehr, mehr CPU-Auslastung, seltsam sein Festplattenzugriffe oder etwas anderes. Malware ist nicht nur als einzelne Binärdateien verfügbar, die über einen Taskmanager erkannt werden können, sondern auch als dynamische Bibliotheken (DLL), die an andere Prozesse angehängt sind.

Sie können Hinweise darauf erhalten, was auf Ihrem System mit einem Taskmanager wie Process Explorer aus der Sysinternal Suite ausgeführt wird, und Sie können Dinge auf Ihrem System mit etwas wie Process Monitor derselben Suite beobachten. Gewöhnen Sie sich an die Werkzeuge und achten Sie auf Zeichen der "Fremdheit":

• Vorzeichenlose Binärdateien (ausführbare Dateien oder DLLs)
• Strange schreibt in fremde Dateien
• Seltsame Netzwerkaktivität

(Der "seltsame" Teil ist das Training, das Sie benötigen, um zwischen "das ist normal" und "das ist seltsam"zu unterscheiden)

Der Autor der Sysinternal Suite zeigt einige clevere Möglichkeiten, die oben genannten Tools zu verwenden:

Https://www.youtube.com/watch?v=7heEYEbFim4

Also, ja, Sie können erkennen einige der malware mit einem anständigen task-manager. Je weniger ausgereift die Malware ist, desto leichter wird sie zu erkennen sein. Wenn die Malware versucht, die Verwendung von Task-Managern wie Process Explorer zu erkennen, müssen Sie möglicherweise sogar erweiterte Schritte ausführen, z. B. eine andere "Session", um seltsames Verhalten zu erkennen, aber es ist immer noch möglich.

Es ist nicht möglich, Viren aus dem Task-Manager zu erkennen.

Es gibt verschiedene Arten von Viren. Virus, Trojaner, rootkit, adware/puk etc. Einige Viren verstecken sich vor Aufgabe manager.So, es wird nicht im Task-Manager angezeigt.

Ich würde Ihnen vorschlagen, nicht mehr im Task-Manager zu suchen und Antivirus zu installieren.

Wie kann ich: Auf Windows® Event Viewer zugreifen?

1. Drücken Sie-Bild+ R und geben Sie "eventvwr.msc", und klicken Sie auf OK oder drücken Sie die EINGABETASTE.
2. Windows-Protokolle erweitern und auswählen Sicherheit.
3. In der Mitte sehen Sie eine Liste mit Datum und Uhrzeit, Quelle und Ereignis-ID und Aufgabenkategorie. Die Aufgabenkategorie erklärt so ziemlich das Ereignis, Anmeldung, spezielle Anmeldung, Abmeldung und andere Details.

Viren sind heutzutage sehr anspruchsvoll. Das bedeutet, dass sie sich vor dem Task-Manager verstecken, mehrere Kopien von sich selbst ausführen können (falls eine Kopie entfernt wird) und viele weitere Tricks. Per Definition injizieren sich Viren auch in Systemprozesse, um sich zu verbergen.

Malware im Allgemeinen kann normalerweise ziemlich leicht erkannt werden, indem ein ungewöhnlicher Prozess identifiziert wird, der ausgeführt wird. Viren können jedoch normalerweise nur durch ihre Nutzlast identifiziert werden injiziert auf den Zielprozess.

Ein Antivirenprogramm ist also wirklich das einzige, was genau erkennen kann... gut... ein virus!!!

Aus der Sicht eines Programmierers würde ich vorschlagen, dass Sie versuchen, die Programmierung mit der Windows - API und weiteren API-Hooks zu lernen.

Der Betriebssystemkern führt eine Tabelle dieser nativen API-Funktionen, die Sie identifizieren und einhaken müssen. Ihr Hook leitet dann die Ausgabe um und ändert/filtert sie. Dieser Code muss im Kernel-Space ausgeführt werden, und damit Sie ihn steuern können (dh Laden/Stoppen), müssen Sie auch eine Software im User-Space haben. Obwohl diese auch im Benutzerbereich möglich sind, wird sie höchstwahrscheinlich von modernen AVs als eine Art böswillige Aktivität gekennzeichnet.

Der Ansatz wäre, hook einen Code, um API-Aufrufe abzufangen (dh NtQueryDirectoryFile ()), so dass Sie die Ausgabe ändern/filtern - eine Art Man-in-the-Middle-Ansatz. Prozesse, die im Benutzerbereich ausgeführt werden (z. B. TaskManager,Windows Explorer,Prozessexplorer), zeigen nur die gefilterte Ausgabe an, die von Ihrem Hook bereitgestellt wird... Und NEIN, ACLs hat keine Energie auf dieser Ebene

Natürlich hat moderne AVs auch Code auf Kernel-Space und/oder PATTERN MATCHING (denken Sie daran, wenn AV-Updates AV Patterns Update genannt werden? )- um solche bösartigen Haken zu erkennen und zu verhindern.