Приховані прояви, Підозрювальні процеси - Ознаки присутності на комп’ютері шкідливих

антивірус троянський програма комп'ютер

За відсутності явних або непрямих проявів про присутність вірусу можна судити, наприклад, з незвичайної мережевої активності, коли жодна мережна програма не запущена, а значок мережного з'єднання сигналізує про обмін даними. Іншими ознаками можуть бути незнайомі процеси у пам'яті чи файли на диску.

Однак на комп'ютерах зазвичай встановлено так багато різних програм, що більшість файлів і процесів невідомі звичайному користувачеві. У той же час пошук прихованих проявів це вже фактично пошук тих підозрілих файлів, які потрібно відправити на аналіз в антивірусну компанію.

Як видно, ні опосередковані, ні навіть явні прояви не можуть бути підставою для впевненості в тому, що комп'ютер заражений. Завжди існує ймовірність, що ефект, що спостерігається, не є результатом дій вірусу, а викликаний звичайними помилками у використовуваних програмах або шкідливими скриптами, які не залишили жодних файлів на комп'ютері. Для того щоб підозри переросли у впевненість, потрібно зробити додатковий пошук прихованих проявів шкідливих програм, маючи кінцевою метою виявлення файлів шкідливої ​​програми. Приховані прояви включають:

  • Наявність у пам'яті підозрілих процесів
  • Наявність на комп'ютері підозрілих файлів
  • Наявність підозрілих ключів у реєстрі Windows
  • Підозріла мережева активність

Ключовою ознакою у всіх випадках є атрибут "підозрілий". Що це означає? Це означає, що користувачеві невідомо призначення даного процесу, файлу або ключа, і більше того, інформації про підозрілий об'єкт немає в документації до операційної системи,ні у відкритих джерелах Інтернету.

Але перш ніж судити про підозрілість файлів і процесів, потрібно спочатку їх виділити із загального числа і на цьому є сенс зупинитися докладніше.

Підозрільні процеси

Процес - це фактично запущений виконуваний файл. Частина процесів відноситься до операційної системи, частина до запущених програм.

Щоб отримати список процесів, потрібно викликати диспетчер завдань – стандартний засіб Windows для керування процесами. У операційних системах Windows NT/2000/XP/2003 для виклику диспетчера завдань потрібно натиснути комбінацію клавіш Ctrl+Shift+Esc або викликати контекстне меню в системній панелі (внизу екрана) та вибрати пункт Диспетчер завдань. Характерний вид вікна Диспетчера завдань представлено малюнку 4.2.

приховані

Мал. 4.2.Диспетчер завдань у Windows 2000 Professional

На закладці Процеси в колонці Ім'я образу містять імена файлів, яким відповідають запущені процеси. Процеси, які видно на малюнку, є стандартними для свіжовстановленої Windows 2000 Professional. Наприклад, процес svchost.exe відповідає за запуск служб у Windows 2000.

Знайти інформацію про невідомий процес можна в Інтернеті.

У Windows 98 Диспетчер завдань викликається натисканням клавіш Ctrl + Alt + Del і виглядає інакше, як у малюнку 4.3.

ознаки

Мал. 4.4.Диспетчер завдань у Windows 98 SE

Недоліком диспетчера завдань у Windows 98 є те, що він не надає інформації про всі запущені процеси в системі. Тому для більш повної інформації доводиться використовувати додаткові програми, наприклад, утиліту Process Explorer 1) (див. малюнок 4.4)

Мал. 4.4.Утиліта Process Explorer