A kártékony program azonosítása
A kártékony program azonosítása
Ebben a cikkben röviden megemlítjük a káros programok jelenlétének számos mutatóját, amelyekkel találkozhatunk a Process Explorer használatával. Ezek a mutatók nem vitathatatlanul fertőzés jelei, de továbbra is néhány riasztási jelként szolgálhatnak, jelezve, hogy további vizsgálatra van szükség.
A Process Explorer kiválasztja az összes olyan folyamatot, amely a végrehajtható fájlokat lila színben tartalmazza. Ha látja, hogy az ismeretlen folyamatnak csomagolt boot-modulja van, akkor azonnal gyanakodni fog, hogy valami hibás. Nem feltétlenül szükséges, hogy a csomagolt indító modullal végrehajtott folyamat rosszindulatú jellegű, de a legtöbb esetben ez általában a további vizsgálat alapja.
A folyamatérzékelőt az összes folyamat aláírásához az Opciók | opcióval választhatja Aláírások ellenőrzése, de ez a program jelentős lassulását eredményezi. Nagyobb hasznot hoz, ha természetesen nem gyanítod, hogy fertőzött vagy, olyan folyamatokat válasszon, amelyek külön vizsgálatot érdemelnek.
Egyszerűen azonosítja a gyanús feltöltetlen rekordokat a vállalat nevének és / vagy leírásának ellenőrzésével a felső panelben. Ezután megnyithatja a Tulajdonságok párbeszédpanelt, és ellenőrizheti ezeknek a folyamatoknak a képeit, hogy ellenőrizhető-e vagy sem. Ha nem, kattintson a Verify (Ellenőrzés) gombra, és engedélyezze a folyamatérzékelőnek az aláírás ellenőrzését.
Gyakran előfordul, hogy a rosszindulatú programok nem tartalmazzák a cégnév mezőt és a kép tulajdonságaiban megjelenő leírási mezőt. Néha, éppen ellenkezőleg, ezek a folyamatok meglehetősen fellengzős leírást ofitsialam Mr. stílus, kifejezetten csökkenti a valószínűségét fennmaradó nova vagy kitoloncolási eljárást.
Leggyakrabban változó rendszerfájlok
Az alábbi rendszerfájlok gyakran célravezetőek a trójai programcsomagok eltávolítására vagy cseréjére:
- rundll32.exe;
- wmplayer.exe (Windows Media Player);
- MSCONFIG.EXE;
- notepad exe;
- shell.dll;
- SDHelper.dll (Spybot keresés Pusztítsd le a modult a Ioad-védelemről);
- Wininet.dll;
- regedit.exe;
- Taskmgr.exe.
Ilyen esetekben további intézkedéseket kell hozni annak megállapítására, hogy a gyanús fájl valóban kártevő-e. Ha a kár nem javítható, néha az egyetlen módja annak, hogy megkülönböztessük ezeket a fájlokat a hiteles ekvivalensektől, ellenőrizzük az ellenőrző összeget.