"О Process Explorer" по следам поста
В комментариях к посту из шапки развернулась такая бурная дискуссия и мне интересно, почему никто не удосужился указать ИМХО два главных достоинства в борьбе со всякой нечистью: проверка цифровых подписей и интеграция с .
1. Кто-то в комментариях упомянул, что вирусы внедряются в существующие файлы в системе. Это хоть и очень редкое поведение на сегодняшний день, но имеет место быть. Для таких случаев есть проверка цифровой подписи приложения на достоверность. Включается через Options->Verify Image Signatures. Теперь в столбце Verified Signer видно наличие цифровой подписи у каждого запущенного процесса, а так же результат его проверки. Наиболее подозрительно, как мне кажется, будет: либо отсутствие цифровой подписи, либо сообщение типа "Цифровая подпись объекта не была проверена", что означает, что цифровая подпись есть, но она не прошла проверку по каким-либо причинам (например файл был изменен). Естественно, что эти признаки далеко не 100%, что данный процесс каким-либо образом является вредоносным, а просто индикатор того, что к этим процессам стоит присмотреться внимательнее.
2. Самое вкусное в этой программе, это возможность сверять список процессов (точнее их контрольные суммы) с базой . Включается через Options->VirusTotal.com->Check VirusTotal.com Для тех, кто не знает, что это такое: VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ. Помимо сервиса онлайн-сканирования 57-ю (на данный момент) антивирусами, собирает данные о всех, когда-либо проверенных файлах, а так же результаты этих проверок. Эта особенность и помогает программе Process Explorer отображать результаты последнего сканирования всех файлов, что в данный момент у вас запущены. А если, файл никогда раньше на не проверялся (что достаточно редко встречается), то есть возможность отправить файл на проверку прямо из программы, щелкнув правой кнопкой мыши по нужному процессу и выбрав Check VirusTotal.
Немного о результатах: при уровне 1-3 обнаружения стоит не впадать в панику и удалять все подряд, связанное с процессом, а пройти на страничку результатов и ознакомится, какие антивирусы и какую информацию по данному файлу выдали. Т.к. бывает, что антивирусы могут ругаться, например, на файлы, которые были пропатчены для снятия защиты с них (в простонародье - крякнутые), или на файлы, которые в себе содержат код перехвата вызова разных функций операционной системы, что не всегда является чем-то страшным (тот же Fraps или ShadowPlay, например, перехватывает вызовы некоторых функции DirectX для своей работы). Уровень обнаружения 3-4 и выше, это уже серьезный индикатор наличия вредоносного процесса в системе.
Данные два метода с хорошей вероятностью позволят вам обнаружить заразу в системе и при наличии некоторых знаний ее обезвредить.
Спасибо за внимание и надеюсь, что это будет кому-либо полезно.
