Скрытые процессы - Компьютерный форум OSzone.net

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Microsoft Windows 7 (http://forum.oszone.net/forumdisplay.php?f=95)

- - Скрытые процессы (http://forum.oszone.net/showthread.php?t=296130)

Скрытые процессы

Есть утилита Unhide для просмотра скрытых процессов. Она мне выдает, что у меня в системе есть 2 скрытых PID.
Пробовал посмотреть, что это за процессы стандартными средствами Windows - не показывает.
Не помогли в этом деле ни AnVir Task Manager, ни ProcMon от Sysinternals.

И возникает логичный вопрос. Это утилита тупая или в системе реально 2 процесса, которые специально скрыты? Можно ли таким образом достоверно детектить вредоносов?
Подскажите, чем можно посмотреть скрытые PID'ы когда не помогают сторонние утилиты?

З.Ы. Когда утилита Unhide выдала мне скрытый PID - я запустил этот скрипт и он выдал мне один из системных exe. Но срабатывает это далеко не каждый раз, примерно в 30% случаев. В основном и этот скрипт не выдает мне имена процессов по скрытым PID'ам.

Код:

On Error Resume Next

Set objService = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\CIMV2")

If Err.Number <> 0 Then

        WScript.Echo Err.Number & ": " & Err.Description

        WScript.Quit

End If

set FSO = CreateObject("Scripting.FileSystemObject")

set OFile = FSO.OpenTextFile("d:\file.txt", 8, True)

For Each objProc In objService.ExecQuery("SELECT * FROM Win32_Process")

Text=objProc.ExecutablePath & "        :        " & objProc.ParentProcessId & "        :        " & objProc.ProcessId

OFile.Write(Text & vbCrLf)

Next

OFile.Close

Цитата:

Цитата SkyNezu

Есть утилита Unhide »

Ссылка?

Iska,
Я так понимаю, вот она.

Мой вам совет: не используйте эту программу, так как ни сайт, ни разработчик, ни отзывы - не внушают доверия, особенно, в свете использования этой программы очень узким ограниченным кругом людей!

Да, это ссылка именно на эту программу. Там же есть и исходники. В них ничего подозрительного нет. И вопрос не в том, использовать ее или нет.

Вопрос в том, что ОС может порождать скрытые процессы, и никакие стандартные и нестандартные средства не помогли. Но при подозрении на заражение системы или при расследовании инцидента - необходимо такое средство. Часто, при расследовании необходимо не просто взять антивирус, необходимо понять что твориться в системе, ибо антивирус не панацея.

SkyNezu,
Что такое скрытый процесс? Чаще всего это процесс, который скрыт от API-интерфейса Windows. Поскольку Process Explorer получает имена процессов через собственный драйвер - то эти процессы вы можете увидеть и в нем. Чаще всего такие процессы упоминаются в связи с руткитами. Для обнаружение руткитов - воспользуйтесь тоже творением Руссиновича: RootkitRevealer. В первую очередь вас должны насторожить файлы "Hidden from Windows API" - скрыто от API-интерфейса Windows. В подавляющем большинстве случаев - строка результатов сканирования указывает на наличие rootkit , поскольку, скрытыми от Windows API обычно бывают только служебные файлы, относящиеся к файловой системе NTFS ( имена которых начинаются со знака $ - $BitMap, $BadClus, $MFT и т.п. )

И не заморачивайтесь программами, подобными Unhide. Он показывает два скрытых процесса, но не указывает на них. Вам не кажется, что это чушь собачья, а не сведения? Ведь никто не помешает мне написать, скажем, программу, которая найдет 100 скрытых процессов, но не назовет их и не даст завершить.