НОУ ІНТУЇТ | лекція | Основні ознаки присутності на комп'ютері шкідливих програм

Завдання 2. Підозрілі процеси

Одним з основних проявів шкідливих програм є наявність в списку запущених процесів підозрілих програм. Досліджуючи цей список і особливо порівнюючи його з переліком процесів, які були запущені на комп'ютері відразу після установки системи, тобто до початку роботи, можна зробити досить достовірні висновки про інфікування. Це часто допомагає при виявленні шкідливих програм, що мають лише тільки приховані або непрямі прояви.

Однак необхідно чітко розуміти і вміти відрізняти легальні процеси від підозрілих. У цьому завданні необхідно ознайомитися з основним методом дослідження запущених процесів, а саме отримати навички роботи з Диспетчером завдань Windows, і вивчити стандартний їх набір.

Диспетчер завдань Windows - це стандартна утиліта, що входить в будь-яку Microsoft Windows NT-подібних операційну систему, в тому числі Microsoft Windows XP. C її допомогою можна в режимі реального часу відслідковувати виконуються додатки і запущені процеси, оцінювати завантаженість системних ресурсів комп'ютера і використання мережі.

Зустрітися з інтерфейсом Диспетчера і простежте за змінами в системі на прикладі запуску програми Paint. Вивчення мережевої активності за допомогою Диспетчера завдань Windows буде продовжено в одному з наступних завдань.

1. Перейдіть до Диспетчер завдань Windows, натиснувши одночасно клавіші Ctrl, Shift і Esc.

   Вікно містить чотири закладки, що відповідають чотирьом видам активності, які відстежує Диспетчер: додатки, процеси, швидкодія (використання системних ресурсів) і Мережа. За замовчуванням у Вас повинна відкритися друга закладка, Процеси.

2. Уважно вивчіть представлений у вікні список процесів. Якщо на комп'ютері не запущені ніякі призначені для користувача програми, він повинен містити тільки службові процеси операційної системи.

   При роботі з домашнім комп'ютером рекомендується відразу після установки операційної системи ознайомитися зі списком запускаються нею процесів. Надалі, при підозрі на зараження, можна буде вивести перелік процесів і відразу виключити з розгляду ті, що були з самого початку.

   Опис більшості процесів можна знайти в Інтернеті. Тому якщо до Вас закралися підозри, негайно зверніться до всесвітньої мережі.

3. Для кожного процесу виводяться його параметри: ім'я образу (може не збігатися з ім'ям запускається файлу), ім'я користувача, від чийого імені було запущено процес, завантаження цим процесом процесора і об'єм займаної ним оперативної пам'яті.

   Завантаження процесора представлена ​​у відсотках від максимальної. Тому для зручності користувача в списку завжди присутній пункт "Бездіяльність системи". З його допомогою можна швидко дізнатися наскільки завантажений, вірніше вільний процесор.

   Відсортуйте всі процеси по використанню ресурсів процесора. Для цього натисніть на заголовок поля ЦП ( )

4. Оскільки в даний момент не повинна бути запущена жодна призначена для користувача програма, процесор повинен бути вільний. Отже, "Бездіяльність системи" має опинитися внизу списку з досить великим відсотком "використання" процесора. На малюнку це 95%.

   Цей метод також можна використовувати для того, щоб в разі помітного зниження продуктивності визначити, яка програма винна в цьому: стовпець ЦП покаже завантаження процесора, а Пам'ять - оперативну пам'ять.

   У ряді випадків може знадобитися вручну завершити якийсь процес. Це можна зробити за допомогою кнопки Завершити процес.

   Наприклад, Ви виявили підозрілий процес, на сайті вірусної енциклопедії www.viruslist.ru прочитали, що він однозначно належить вірусу або троянської програми, але антивірусної програми на комп'ютері немає. Тоді потрібно закрити всі працюючі додатки і за допомогою Диспетчера завдань вручну завершити цей процес. Щоб виключити появу його знову настійно рекомендується якомога швидше встановити повноцінну антивірусну програму і відразу ж запустити перевірку всього жорсткого диска на наявність вірусів.

5. Випишіть всі запущені процеси на аркуш паперу або в текстовий файл і перейдіть до закладки Програми
6. Оскільки в даний момент не запущено ні один додаток, список запущених додатків порожній
7. Не закриваючи вікна Диспетчера завдань Windows, відкрийте програму Paint. Для цього скористайтеся системним меню Пуск / Програми / Стандартні / Paint
8. Дочекайтеся запуску Paint
9. Не закриваючи додаток Paint, поверніться до вікна Диспетчера завдань Windows і простежте за змінами на закладці Програми
10. Список запущених додатків повинен містити рядок, відповідну Paint. Оскільки вона зараз працює, це ж записано в рядку Стан.

    Іноді трапляється так, що програма викликає помилку - тоді в її стані буде написано «Не відповідає". Якщо якесь раніше безперебійно працює додаток початок часто без видимих ​​причин переходити в стан «Не відповідає", це може бути непрямою ознакою зараження.

    Тоді перше, що можна зробити - це скористатися кнопкою Зняти завдання і почати пошуки причин. В інших випадках користуватися цією кнопкою не рекомендується.

11. Перейдіть до закладки Процеси
12. Порівняйте список запущених зараз процесів з переліком, складеним на кроці 5 цього завдання. Знайдіть відміну
13. Переконайтеся, що програму Paint відповідає процес mspaint.exe. Для цього знайдіть його в списку запущених процесів, не закриваючи і не звертаючи вікно Диспетчера завдань Windows, поверніться у вікні Paint і закрийте його
14. Прослідкуйте, що зі списку запущених процесів пропав mspaint.exe
15. Поверніться до закладки Програми та переконайтеся, що вона знову порожня
16. Перейдіть до закладки Швидкодія
17. Уважно вивчіть розташовані тут графіки. Будь-які сплески на них повинні за часом відповідати певним діям, наприклад запуску вимогливою до ресурсів програми. Якщо нічого схожого свідомо не проводилося, це може бути причиною для більш детального дослідження комп'ютера
18. Закрийте вікно Диспетчера завдань Windows