|
|
|
|
| Компьютерный форум OSzone.net » Клиентские ОС Microsoft » Microsoft Windows 7 » Службы - Скрытые процессы |
|
|
Службы - Скрытые процессы
|
|
Новый участник Сообщения: 43 |
Есть утилита Unhide для просмотра скрытых процессов. Она мне выдает, что у меня в системе есть 2 скрытых PID.
Пробовал посмотреть, что это за процессы стандартными средствами Windows - не показывает. Не помогли в этом деле ни AnVir Task Manager, ни ProcMon от Sysinternals. И возникает логичный вопрос. Это утилита тупая или в системе реально 2 процесса, которые специально скрыты? Можно ли таким образом достоверно детектить вредоносов? Подскажите, чем можно посмотреть скрытые PID'ы когда не помогают сторонние утилиты? З.Ы. Когда утилита Unhide выдала мне скрытый PID - я запустил этот скрипт и он выдал мне один из системных exe. Но срабатывает это далеко не каждый раз, примерно в 30% случаев. В основном и этот скрипт не выдает мне имена процессов по скрытым PID'ам. Код:
 On Error Resume Next
Set objService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\CIMV2")
If Err.Number <> 0 Then
WScript.Echo Err.Number & ": " & Err.Description
WScript.Quit
End If
set FSO = CreateObject("Scripting.FileSystemObject")
set OFile = FSO.OpenTextFile("d:\file.txt", 8, True)
For Each objProc In objService.ExecQuery("SELECT * FROM Win32_Process")
Text=objProc.ExecutablePath & " : " & objProc.ParentProcessId & " : " & objProc.ProcessId
OFile.Write(Text & vbCrLf)
Next
OFile.Close
|
|
|
Отправлено: 09:53, 27-02-2015 |
|
Ветеран Сообщения: 27449
|
Профиль | Отправить PM | Цитировать Цитата SkyNezu:
|
|
|
Отправлено: 16:39, 27-02-2015 | #2 |
Ветеран Сообщения: 5380
|
Профиль | Отправить PM | Цитировать Iska,
Я так понимаю, вот она. Мой вам совет: не используйте эту программу, так как ни сайт, ни разработчик, ни отзывы - не внушают доверия, особенно, в свете использования этой программы очень узким ограниченным кругом людей! |
|
------- Последний раз редактировалось Казбек, 27-02-2015 в 17:32. Отправлено: 17:20, 27-02-2015 | #3 |
|
Новый участник Сообщения: 43
|
Профиль | Отправить PM | Цитировать Да, это ссылка именно на эту программу. Там же есть и исходники. В них ничего подозрительного нет. И вопрос не в том, использовать ее или нет.
Вопрос в том, что ОС может порождать скрытые процессы, и никакие стандартные и нестандартные средства не помогли. Но при подозрении на заражение системы или при расследовании инцидента - необходимо такое средство. Часто, при расследовании необходимо не просто взять антивирус, необходимо понять что твориться в системе, ибо антивирус не панацея. |
|
Отправлено: 07:35, 02-03-2015 | #4 |
|
Ветеран Сообщения: 5380
|
Профиль | Отправить PM | Цитировать SkyNezu,
Что такое скрытый процесс? Чаще всего это процесс, который скрыт от API-интерфейса Windows. Поскольку Process Explorer получает имена процессов через собственный драйвер - то эти процессы вы можете увидеть и в нем. Чаще всего такие процессы упоминаются в связи с руткитами. Для обнаружение руткитов - воспользуйтесь тоже творением Руссиновича: RootkitRevealer. В первую очередь вас должны насторожить файлы "Hidden from Windows API" - скрыто от API-интерфейса Windows. В подавляющем большинстве случаев - строка результатов сканирования указывает на наличие rootkit , поскольку, скрытыми от Windows API обычно бывают только служебные файлы, относящиеся к файловой системе NTFS ( имена которых начинаются со знака $ - $BitMap, $BadClus, $MFT и т.п. ) И не заморачивайтесь программами, подобными Unhide. Он показывает два скрытых процесса, но не указывает на них. Вам не кажется, что это чушь собачья, а не сведения? Ведь никто не помешает мне написать, скажем, программу, которая найдет 100 скрытых процессов, но не назовет их и не даст завершить. |
|
|
------- Последний раз редактировалось Казбек, 02-03-2015 в 23:09. Отправлено: 19:07, 02-03-2015 | #5 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Доступ - скрытые папки | rustam1107 | Microsoft Windows Vista | 3 | 30-12-2007 17:19 | |
| Скрытые папки | Adilhan | Программное обеспечение Windows | 1 | 17-05-2007 22:11 | |
| Скрытые файлы | X-SAT | Хочу все знать | 7 | 26-03-2007 17:09 | |
| Скрытые папки | Ser6720 | Хочу все знать | 6 | 31-01-2006 16:01 | |
| Скрытые пользователи | ASE DAG | Microsoft Windows 2000/XP | 1 | 25-10-2005 04:09 | |
|
|
Время: 01:04. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2025, Jelsoft Enterprises Ltd. |
