Опубликован: 15.03.2007 | Уровень: для всех | Доступ: платный
Лекция 4:

Признаки присутствия на компьютере вредоносных программ

Где искать

Как видно, ни косвенные, ни даже явные проявления не могут служить основанием для уверенности в том, что компьютер заражен. Всегда существует вероятность, что наблюдаемый эффект не является результатом действий вируса, а вызван обычными ошибками в используемых программах или же вредоносными скриптами, которые не оставили никаких файлов на компьютере.

Для того чтобы подозрения переросли в уверенность нужно произвести дополнительный поиск скрытых проявлений вредоносных программ, имея конечной целью обнаружение файлов вредоносной программы.

Скрытые проявления включают:

  • Наличие в памяти подозрительных процессов
  • Наличие на компьютере подозрительных файлов
  • Наличие подозрительных ключей в системном реестре Windows
  • Подозрительная сетевая активность

Ключевым признаком во всех случаях является атрибут "подозрительный". Что это означает? Это означает, что пользователю неизвестно назначение данного процесса, файла или ключа, и более того, информации о подозрительном объекте нет ни в документации к операционной системе, ни в открытых источниках сети Интернет.

Но прежде чем судить о подозрительности файлов и процессов, нужно сначала их выделить из общего числа и на этом имеет смысл остановиться подробней.

Подозрительные процессы

Процесс - это фактически запущенный исполняемый файл. Часть процессов относится к операционной системе, часть к запущенным программам.

Чтобы получить список процессов, нужно вызвать диспетчер задач - стандартное средство Windows для управления процессами. В операционных системах Windows NT/2000/XP/2003 для вызова диспетчера задач нужно нажать комбинацию клавиш Ctrl + Shift + Esc или вызвать контекстное меню в системной панели (внизу экрана) и выбрать пункт Диспетчер задач. Характерный вид окна Диспетчера задач представлен на рисунке 3.2.

Диспетчер задач в Windows 2000 Professional

Рис. 3.2. Диспетчер задач в Windows 2000 Professional

На закладке Процессы в колонке Имя образа содержатся имена файлов, которым соответствуют запущенные процессы. Процессы, которые видны на рисунке являются стандартными для свежеустановленной Windows 2000 Professional. Например, процесс svchost.exe отвечает за запуск служб в Windows 2000.

Найти информацию о неизвестном процессе можно в сети Интернет.

В Windows 98 Диспетчер задач вызывается нажатием клавиш Ctrl + Alt + Del и выглядит иначе, как на рисунке 3.3.

Диспетчер задач в Windows 98 SE

Рис. 3.3. Диспетчер задач в Windows 98 SE

Недостатком диспетчера задач в Windows 98 является то, что он не предоставляет информации обо всех запущенных процессах в системе. Поэтому для получения более полной информации приходится использовать дополнительные программы, например, утилиту Process Explorer 1Доступна на сайте http://www.sysinternals.com (см. рисунок 3.4)

Утилита Process Explorer

увеличить изображение
Рис. 3.4. Утилита Process Explorer
Евгений Виноградов
Евгений Виноградов
Экстернат
Илья Сидоркин
Илья Сидоркин
Как получить диплом?
Олег Глыбоцкий
Олег Глыбоцкий
Казахстан, Алматы, АУЭиЭС, 2011
Дмитрий Грабко
Дмитрий Грабко
Россия, Благовещенск