Есть утилита Unhide для просмотра скрытых процессов. Она мне выдает, что у меня в системе есть 2 скрытых PID.
Пробовал посмотреть, что это за процессы стандартными средствами Windows - не показывает.
Не помогли в этом деле ни AnVir Task Manager, ни ProcMon от Sysinternals.

И возникает логичный вопрос. Это утилита тупая или в системе реально 2 процесса, которые специально скрыты? Можно ли таким образом достоверно детектить вредоносов?
Подскажите, чем можно посмотреть скрытые PID'ы когда не помогают сторонние утилиты?

З.Ы. Когда утилита Unhide выдала мне скрытый PID - я запустил этот скрипт и он выдал мне один из системных exe. Но срабатывает это далеко не каждый раз, примерно в 30% случаев. В основном и этот скрипт не выдает мне имена процессов по скрытым PID'ам.


On Error Resume Next
Set objService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\CIMV2")
If Err.Number <> 0 Then
WScript.Echo Err.Number & ": " & Err.Description
WScript.Quit
End If
set FSO = CreateObject("Scripting.FileSystemObject")
set OFile = FSO.OpenTextFile("d:\file.txt", 8, True)
For Each objProc In objService.ExecQuery("SELECT * FROM Win32_Process")
Text=objProc.ExecutablePath & " : " & objProc.ParentProcessId & " : " & objProc.ProcessId
OFile.Write(Text & vbCrLf)
Next
OFile.Close

Есть утилита Unhide »
Ссылка?

Iska,
Я так понимаю, вот она (http://www.unhide-forensics.info).

Мой вам совет: не используйте эту программу, так как ни сайт, ни разработчик, ни отзывы - не внушают доверия, особенно, в свете использования этой программы очень узким ограниченным кругом людей!

Да, это ссылка именно на эту программу. Там же есть и исходники. В них ничего подозрительного нет. И вопрос не в том, использовать ее или нет.

Вопрос в том, что ОС может порождать скрытые процессы, и никакие стандартные и нестандартные средства не помогли. Но при подозрении на заражение системы или при расследовании инцидента - необходимо такое средство. Часто, при расследовании необходимо не просто взять антивирус, необходимо понять что твориться в системе, ибо антивирус не панацея.

SkyNezu,
Что такое скрытый процесс? Чаще всего это процесс, который скрыт от API-интерфейса Windows. Поскольку Process Explorer получает имена процессов через собственный драйвер - то эти процессы вы можете увидеть и в нем. Чаще всего такие процессы упоминаются в связи с руткитами. Для обнаружение руткитов - воспользуйтесь тоже творением Руссиновича: RootkitRevealer. В первую очередь вас должны насторожить файлы "Hidden from Windows API" - скрыто от API-интерфейса Windows. В подавляющем большинстве случаев - строка результатов сканирования указывает на наличие rootkit , поскольку, скрытыми от Windows API обычно бывают только служебные файлы, относящиеся к файловой системе NTFS ( имена которых начинаются со знака $ - $BitMap, $BadClus, $MFT и т.п. )

И не заморачивайтесь программами, подобными Unhide. Он показывает два скрытых процесса, но не указывает на них. Вам не кажется, что это чушь собачья, а не сведения? Ведь никто не помешает мне написать, скажем, программу, которая найдет 100 скрытых процессов, но не назовет их и не даст завершить.