কোনও কম্পিউটারে চলমান সমস্ত প্রোগ্রাম কি টাস্ক ম্যানেজারের প্রসেস ট্যাবে প্রদর্শিত হয়? [নকল]


34

এই প্রশ্নের ইতিমধ্যে এখানে একটি উত্তর আছে:

আমি এটি জিজ্ঞাসা করার কারণটি হ'ল কারণ আমি জানতে আগ্রহী যে যদি কম্পিউটারে কোনও ভাইরাস থাকতে পারে তবে আমার অস্তিত্ব সম্পর্কে জানতে সক্ষম না হয়ে। আরও নির্দিষ্ট করে বলতে গেলে, একটি ভাইরাস যা কোনও ধরণের লক্ষণই প্রকাশ করে না।

উত্তর:


48

ম্যালওয়্যারের একটি শ্রেণি রয়েছে যা রুটকিট হিসাবে পরিচিত অপারেটিং সিস্টেম থেকে নিজেকে পুরোপুরি আড়াল করতে পারে ।

রুটকিটগুলি কাজের সময়ে অন্য ম্যালওয়ারের প্রমাণগুলি গোপন করার জন্য ব্যবহৃত হয় এবং অপারেটিং সিস্টেমে খুব গভীরভাবে এম্বেড করা হয়। তাদের গভীর এমবেডিংয়ের কারণে তারা প্রক্রিয়া তালিকা, ফাইল সিস্টেম টেবিলগুলি এবং অন্যান্য গুরুত্বপূর্ণ কাঠামোগুলি অন ফ্লাইটে চালিত করতে সক্ষম হয়।

মেমরির মধ্যে ফাইল সিস্টেম স্ট্রাকচারগুলি হেরফের করে তারা ডিরেক্টরিগুলির জন্য মিথ্যা বা বিভ্রান্তিমূলক ফলাফল ফিরিয়ে দিতে পারে, বিশেষত প্রধান ম্যালওয়্যার সম্পর্কিত ফাইলগুলি প্রদর্শন করে না। ফাইলগুলি সেখানে রয়েছে এবং লিনাক্স লাইভসিডি এর মতো একটি অনির্ধারিত অপারেটিং সিস্টেমে বুট করার পরে ফাইলগুলি প্রদর্শিত হবে কারণ সেগুলি কোথাও সংরক্ষণ করতে হবে।

একইভাবে, রুটকিটস টাস্ক ম্যানেজারের মতো প্রোগ্রামগুলিতে রিপোর্ট করা থেকে কিছু প্রক্রিয়াগুলি কেবল বাদ দিতে পারে। অপারেটিং সিস্টেম কোরটি তাদের সম্পর্কে জানে, যেমন তাদের নির্ধারিত করার জন্য এটি প্রয়োজন, এটি কেবল বাইরের বিশ্বকে তাদের সম্পর্কে জানাতে বাধা দেওয়া হয়েছে।


1
আমি কৌতূহলী, তারা কীভাবে এই কীর্তি অর্জন করবে? এটি এমন কোনও কিছুর মতো মনে হয় যা উইন্ডোজকে প্রথমে অনুমতি দেওয়া উচিত নয়। আমি বলতে চাইছি, এমনকি "সমস্ত ব্যবহারকারীর কাছ থেকে প্রক্রিয়া দেখান" কম 'লুকানো' এবং আরও 'শ্রেণিবদ্ধকরণ'
রায়েস্টলজ

2
@ রেয়েস্টলজ: তারা রুট অ্যাক্সেস পেয়ে এবং তারপরে বিটগুলিকে অপসারণ করার জন্য উইন্ডোজকে পুনরায় লেখার মাধ্যমে কীর্তি অর্জন করে। আমি শুনেছি যে তাদের মধ্যে কেউ একটি ওএস হিসাবে রুটকিটে "বুটিং" করে উইন্ডোজকে পরিবর্তন করে এবং তারপরে তারা উইন্ডোজ চালায়, সুতরাং ব্যবহারকারী বা উইন্ডোজ উভয়েরই ধারণা নেই যে কিছু অস্বাভাবিক।
হাঁসকে

3
ভাল ডাং, সম্ভবত কারও এমন একটি অ্যান্টি-ভাইরাস আবিষ্কার করা উচিত যা বায়োস
লল-

1
@zyboxenterprises রিয়েল উইন্ডোজ আপডেটগুলি স্বাক্ষরিত এবং জাল করা যায় না, তবে আপনি কেবল পুনরায় আরম্ভের অনুরোধ ডায়ালগটি ভুলে যেতে পারেন, বা অন্য কোনও উপায়ে পুনরায় চালু করতে ব্যবহারকারীকে ঠেকাতে পারেন, বা পুনরায় চালু করতে বাধ্য করতে পারেন ( shutdown -r -t 0কোনও সুযোগ সুবিধার প্রয়োজন নেই), অথবা কেবল ব্যবহারকারী পুনরায় চালু হওয়া পর্যন্ত অপেক্ষা করুন।
গ্রোনস্টাজ

4
@zyboxenterprises হয়তো, নাও হতে পারে;) শিখা একটি শংসাপত্র জাল করে উইন্ডোজ আপডেটকে তার নিজস্ব উদ্দেশ্যে ব্যবহার করেছিল, তবে সেই দুর্বলতা ইতিমধ্যে প্যাচ হয়ে গেছে। এখানে প্রকাশ্যে কোনও ডাব্লুইউ শোষণ নেই, তবে এর অর্থ এই নয় যে কারও অস্তিত্ব নেই। শিখা দ্বারা ব্যবহৃত একটি খুব আগে জানা ছিল না। ( 0 দিনের আক্রমণ দেখুন
gronostaj

16

সমস্ত সাধারণ প্রোগ্রাম উপস্থিত হবে, কিন্তু ...

  • প্রশাসকের অ্যাকাউন্ট ব্যতীত আপনি কেবল নিজের প্রক্রিয়াটি দেখতে সক্ষম হবেন (প্রশাসনের অ্যাকাউন্টগুলি প্রত্যেকের প্রক্রিয়া দেখতে পছন্দ করতে পারে)
  • রুটকিটস প্রক্রিয়াটি তালিকা থেকে আড়াল করে, টাস্ক ম্যানেজারের সাথে আপস করে (যাতে এটি তাকে দেখায় না) অন্য প্রক্রিয়া ঠিকানার জায়গার ভিতরে লুকিয়ে চেষ্টা করে তার অস্তিত্ব গোপন করার চেষ্টা করবে ...
  • পরিষেবাদিগুলি একটি svchostপ্রক্রিয়াটির অধীনে থ্রেড হিসাবে চলবে (বেশিরভাগ ক্ষেত্রে), সুতরাং কোনও প্রদত্ত এসভিচোস্ট ইভেন্টের অধীনে পরিষেবাটি চলছে এমন কোনও সহজ বিন্দু নেই।

রুটকিটগুলি সনাক্ত করার জন্য কিছু প্রোগ্রাম রয়েছে। তারা উদাহরণস্বরূপ মৃত্যুদন্ড কার্যকর করার জন্য প্রোগ্রাম করা থ্রেডগুলির তালিকা এবং সিস্টেমে প্রক্রিয়াগুলির তালিকা পরীক্ষা করে (কোনও থ্রেড কোনও প্রক্রিয়ার অন্তর্ভুক্ত নয় এমন একটি লুকানো প্রক্রিয়ার লক্ষণ) বা উচ্চ স্তরে দেখা ফাইলগুলির তালিকা পরীক্ষা করে তা করে do এবং ডিস্ক বিভাজন থেকে ম্যানুয়ালি পড়া ফাইলগুলির সাথে এটির তুলনা করা।

তবুও, একবার আপনি সংক্রামিত হয়ে গেলে, কোনও ভাইরাসের উপস্থিতি এত ভালভাবে গোপন করা সম্ভব যে এটি সনাক্ত করা প্রায় অসম্ভব। এগুলিকে সাধারণত এপিটি (উন্নত ধ্রুবক হুমকি) বলা হয়।


2
এই পয়েন্টগুলির মধ্যে কিছু সিসিনটার্নালস প্রসেস এক্সপ্লোরার দ্বারা কিছুটা অবৈধ হয় - সীমাবদ্ধ ব্যবহারকারীরা অন্য ব্যবহারকারী দ্বারা চালিত প্রক্রিয়াগুলির ফাইলের নাম দেখতে পারে এবং এসভিচোস্টের টুলটিপগুলি তারা কী হোস্ট করছে তা তালিকাভুক্ত করে।
কিরব

আপনি কি "হুমকি" লেখার অর্থ বা "থ্রেড" বোঝাতে চেয়েছিলেন? এটি আসলে সেখানে কাজ করে;)
কোনারাক

কোনও রুটকিট ডিটেক্টর কীভাবে থ্রেড বা প্রক্রিয়াগুলি গণনা করতে পারে? যদি এটি একটি সাধারণ উপায় / উইনএপিআই হয় তবে একটি রুটকিট গণনাটি পরিচালনা করতে পারে না এবং রুটকিট ডিটেক্টর এটি লক্ষ্য করে না?
রায়

1
@ ডেবুগআর, তারা উচ্চ-স্তরের এবং নিম্ন-স্তরের দিকে তাকান, তারপরে পার্থক্যগুলি রিপোর্ট করুন (কখনও কখনও মিথ্যা ইতিবাচক উত্পাদন ঘটায়, যেমন যখন কোনও ফাইলের মধ্যে পরিবর্তন করা হয়েছিল)। দ্বারা থ্রেড সঞ্চালনের জন্য প্রোগ্রাম তালিকা চেক আমি ওএস নির্ধারণকারী অর্থাত দ্বারা ব্যবহৃত ডবল যুক্ত তালিকা উল্লেখ করা হয়। সম্পূর্ণ নিম্ন-স্তরের: এটি যদি না থাকে তবে এটি একটি সময়-স্লাইস পায় না (তদন্তের জন্য আরও অনেকগুলি জায়গা রয়েছে যেমন আইএসআরের মতো)।
এঞ্জেল

5

পটভূমি

অপারেটিং সিস্টেমের একটি উপাদান কার্নেল হিসাবে পরিচিত। কার্নেলের একটি (অনেক) দায়িত্ব হ'ল সিস্টেম মেমোরি (শারীরিক এবং ভার্চুয়াল উভয়) পরিচালনা করা।

এটি করার অংশ হিসাবে, কার্নেল উপলব্ধ মেমরিটিকে দুটি পৃথক অঞ্চলে বিভক্ত করে যা ব্যবহারকারী মোড এবং কার্নেল মোড হিসাবে পরিচিত। কার্নেল এবং ড্রাইভারগুলি কার্নেল মোড মেমরি ভাগ করে এবং ব্যবহারকারী প্রোগ্রামগুলি এবং কম সমালোচনামূলক সিস্টেম উপাদানগুলি ব্যবহারকারী মোড মেমরি অঞ্চলে থাকে res

ব্যবহারকারী মোডে প্রক্রিয়াগুলি বিশেষত মনোনীত এবং নিয়ন্ত্রিত চ্যানেলগুলি বাদ দিয়ে সাধারণত কার্নেল মোডের সাথে যোগাযোগ করতে পারে না।

সম্পূর্ণতার জন্য এটি উল্লেখ করা উচিত যে ব্যবহারকারী মোডে চলমান প্রক্রিয়াগুলি একে অপরের থেকে পৃথক পৃথক, তবে অপারেটিং সিস্টেমের সরবরাহকৃত সুবিধাগুলি ব্যবহার করে একে অপরের সাথে আরও মুক্তভাবে যোগাযোগ করা যায় যদি প্রোগ্রামগুলি এর জন্য নকশাকৃত হয়।

প্রসেস

কার্নেলটি ব্যবহারকারী মোডে প্রক্রিয়া প্রবর্তন করার ক্ষমতা সরবরাহ করে। যখন একটি প্রক্রিয়া তৈরি করা হয় এটি বর্তমানে বিদ্যমান প্রক্রিয়াগুলির একটি অভ্যন্তরীণ তালিকায় যুক্ত করা হয়। যখন কোনও প্রোগ্রাম যেমন টাস্ক ম্যানেজার প্রক্রিয়াগুলির তালিকার জন্য জিজ্ঞাসা করে, তখন এটি এই তালিকার তথ্যের একটি উপসেট গ্রহণ করে, প্রতিটি ব্যবহারকারীর অনুমতি অনুসারে ফিল্টার করে।

ম্যালওয়্যার যেমন এর অস্তিত্ব আড়াল করার জন্য রুটকিটের একটি অর্থ হ'ল সরাসরি এই টেবিল থেকে নিজেকে সরিয়ে ফেলা। এটি সম্পন্ন করে এটি এখনও কার্যকর করতে পারে তবে সাধারণ উপায়ে প্রাপ্ত প্রক্রিয়া তালিকায় আর প্রদর্শিত হবে না।

যেহেতু এই প্রক্রিয়াগুলি এখনও বাস্তবে বিদ্যমান এবং কার্যকর হয়, তাই তারা অন্যান্য কার্নেল ডেটা স্ট্রাকচারগুলি যেমন হ্যান্ডেল টেবিলগুলি যেমন কোনও প্রক্রিয়াটি খোলা আছে (যেমন ফাইলগুলি) সম্পর্কে তথ্য ধারণ করে বা মেমরির বরাদ্দগুলি পরীক্ষা করে এটি থেকে আরও পাওয়া যায় সফ্টওয়্যারটির কাজ করার ক্ষমতা বাধাগ্রস্ত না করে আড়াল করা কঠিন।

কার্নেল মোড ড্রাইভার

শারীরিক হার্ডওয়্যার ডিভাইসগুলির সাথে ইন্ট্যারাক্ট করা সহ অনেক কিছুর জন্য ব্যবহৃত কার্নেল মোড ড্রাইভার। তারা প্রয়োজনীয় হিসাবে কার্নেলের নিয়ন্ত্রণে চালিত করে, তবে তারা ব্যবহারকারী-মোড প্রক্রিয়া না হওয়ায় তারা প্রক্রিয়াগুলির টেবিলে উপস্থিত হয় না। এবং তাই কার্যপ্রণালী পরিচালক বা প্রক্রিয়াগুলির সাথে বিশেষভাবে সম্পর্কিত অন্যান্য সরঞ্জামগুলিতে উপস্থিত হবে না।

কার্যকারী কোডের অস্তিত্ব কার্যকরভাবে আড়াল করতে সক্ষম হওয়ার জন্য কার্নেল মোডে কোড চালাতে সক্ষম হওয়া একটি গুরুত্বপূর্ণ পদক্ষেপ। সাধারণ পরিস্থিতিতে উইন্ডোজের প্রয়োজন হয় যে চালানোর জন্য কার্নেল মোডে কোডটি স্বাক্ষর করা উচিত, সুতরাং ম্যালওয়্যারটি এখানে আসতে অপারেটিং সিস্টেম, অন্যান্য সফ্টওয়্যার, এমনকি সামাজিক প্রকৌশলগুলিতে শোষণগুলি ব্যবহার করতে হতে পারে, তবে একবার কার্নেল মোডে কোডটি আড়াল করে লুকিয়ে রাখা হচ্ছে সহজ হয়ে যায়

সারাংশ

সংক্ষেপে, প্রক্রিয়াটির অস্তিত্বের প্রমাণ লুকানো সম্ভব, প্রক্রিয়াটি উপস্থিত থাকার সম্ভাবনাটি সর্বদা উপস্থিত থাকে, কারণ এটি যেভাবে নকশা করা হয়েছিল তা করার জন্য সাধারণত সর্বদা কিছু উত্স ব্যবহার করতে হবে, কতটা কঠিন সনাক্তকরণ নির্দিষ্ট ম্যালওয়ারের উপর নির্ভর করে।


3

ভাইরাস আজকাল বেশ পরিশীলিত। সেখানে পারেন একটি হতে আপনার কম্পিউটারের তে ভাইরাস কিন্তু টাস্ক ম্যানেজার দেখানো হল না । টাস্ক ম্যানেজারের (এবং অপারেটিং সিস্টেমের অন্যান্য অংশ) নিজেদের মধ্যে আপোস করা সম্ভব, এইভাবে ভাইরাসটি আড়াল করে। উদাহরণস্বরূপ, একটি রুটকিট।

আপনি যদি ভাইরাসগুলি পরীক্ষা করার জন্য টাস্ক ম্যানেজারের উপর নির্ভর করার পরিকল্পনা করে থাকেন তবে আপনার এখনই বন্ধ করা উচিত। একটি অ্যান্টিভাইরাস ইনস্টল করুন, এবং এমনকি কোনও অ্যান্টিভাইরাস কখনও কখনও আপনার পিসিতে ভাইরাস সনাক্ত করতে ব্যর্থ হয়।


0

অন্য জবাবগুলিতে ইতিমধ্যে সুন্দরভাবে ব্যাখ্যা করা ছাড়াও "ভাইরাস আড়াল করুন" এর আরও একটি সহজ উপায় রয়েছে:

একটি আপোস করা ডিএলএল (গতিযুক্ত লিঙ্কড লাইব্রেরি)

প্রচুর পরিমাণে অবাঞ্ছিত প্রোগ্রাম - চালানোর জন্য এক বা একাধিক ডিএলএল প্রয়োজন। কিছু ওএসেরই অন্তর্ভুক্ত (যেমন hal.dll, যা উইন্ডোজের জন্য হার্ডওয়্যার অ্যাক্সেসকে বিমূর্ত করে তোলে), কিছু কেবল একটি প্রোগ্রাম দ্বারা ব্যবহৃত হয়, যা আরও বেশি ছোট ছোট টুকরা (এক। এক্স ফাইল এবং আরও বেশি .dll ফাইলগুলি মূল কার্যকারিতা সহ, প্লাগইন ইত্যাদি) আপনি কোনও সাধারণ প্রক্রিয়া বা পরিষেবার মতো সর্বদা চালানোর জন্য আপনার ভাইরাসটি পান না তবে আপনার ভাইরাসটি খুঁজে পাওয়া খুব কঠিন হবে, কারণ এটি সম্পূর্ণ নিরীহ প্রোগ্রাম বা প্রোগ্রামের উপাদানগুলির মতো দেখাবে।

আরও পড়ুন: http://msitpros.com/?p=2012


এই ধরণের ভাইরাস তৈরির বিষয়ে খুব আকর্ষণীয় একটি জিনিস রয়েছে: এমন অনেকগুলি ওয়েবসাইট রয়েছে যেগুলি আপনার কম্পিউটারে নিখোঁজ হয়ে যেতে পারে lls যেহেতু মূল এবং নতুন .dll ফাইলের চেকসামগুলি তুলনা করার সম্ভাবনা খুব সীমাবদ্ধ এবং প্রায় কেউই পাত্তা দেয় না, dll-ভাইরাসগুলি সিস্টেমে দীর্ঘকাল অবহেলিত থাকতে এবং থাকতে পারে (অবশ্যই, কোনও অ্যান্টিভাইরাস প্রোগ্রাম সনাক্ত করে) তাদের এবং ব্যবহারকারী মুছে ফেলার সাথে একমত - আপনি ইতিমধ্যে প্যাটার্নটি দেখেন)।

যে প্রশ্নটি আমি গ্রহণ করি তা থেকে আমরা এখানে উইন্ডোজ সম্পর্কে কথা বলি, তবে এই কৌশলটি অন্য ওএসের ক্ষেত্রেও খুব ভালভাবে প্রয়োগ হতে পারে।


0

টি এল; ডিআর: উইন্ডোজ 'টাস্ক ম্যানেজার প্রশংসনীয় এটা করতে পারেন কি সীমিত হয়, এবং এটি * করা হবে না কখনও আপনার সিস্টেমে চলমান যে প্রক্রিয়া প্রদর্শন করুন। প্রমাণ চান? টাস্ক ম্যানেজারে প্রদর্শিত প্রক্রিয়াগুলি যে পরিমাণ র‌্যাম ব্যবহার করছে তা গণনা করুন (এবং প্রায়) এটি সিস্টেমের র‌্যাম ব্যবহারের সাথে তুলনা করুন; আপনার কমপক্ষে 100MB র‌্যামের অ্যাকাউন্টবিহীন থাকা উচিত এবং আপনি কখনও সিস্টেমটি কী ব্যবহার করছেন তার উপর নির্ভর করে এটি 1GB এর কাছাকাছি পৌঁছে যায়। গ্রাফিক্স কার্ডগুলি তার নিজস্ব জিডিডিআর র‌্যামের সাথে র‌্যাম থেকে কিছু স্মৃতিও নিতে পারে *

পাভেল পেটম্যানের উত্তরটি প্রসারিত করার জন্য, আমি গেমগুলির জন্য অনেক পরিশীলিত চিট ইঞ্জিনগুলিকে গেম ডিএলএলগুলিতে ইনজেকশন কোডের উপর নির্ভর করে যা তাদের প্রতারণা সক্ষম করে।

এই ধরণের সমঝোতা সনাক্ত করা বেশ শক্ত এবং এই প্রশ্নটিতে একই কৌশল প্রয়োগ করা যেতে পারে। যদি, বলুন, কোনও ভাইরাস সনাক্ত করা যায় না, এটি সিস্টেমের ডিরেক্টরিতে নিজেকে আবিষ্কার করে এমন ধরনের একটি উইন্ডোজ আপডেট হিসাবে চিহ্নিত করতে পারে তবে ভাইরাসটি একটি সমালোচনামূলক সিস্টেম ফাইলকে ওভাররাইট করতে পারে। বেশিরভাগ অ্যান্টিভাইরাস প্রোগ্রামগুলি এই ধরণের ভাইরাস সনাক্ত করতে পারে না, অর্থাত্ ভাইরাস ভাইরাস কোডটি সংকটযুক্ত উইন্ডোজ ডিএলএল (এবং .exes) এর মধ্যে ভাইরাস কোডটি ইনজেকশন করতে এগিয়ে যেতে পারে।

আমার কোনও ক্লায়েন্ট যখন অস্বাভাবিক আচরণের কথা বলেন, আমি কোনও প্রকার ভাইরাস চলমান সনাক্ত করতে সর্বদা প্রক্রিয়া এক্সপ্লোরার (মাইক্রোসফ্ট থেকে ডাউনলোড) চালিত করি। প্রক্রিয়া এক্সপ্লোরার আপনাকে বলতে পারে কোন প্রসেসগুলি ঠিক চলছে (এমনকি যেগুলি টাস্ক ম্যানেজারে নেই), এবং কী ডিএলএল মডিউলগুলি তারা ব্যবহার করছে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.