Cómo encontrar procesos que están ocultos del administrador de tareas

15

He leído que puede ocultar procesos del administrador de tareas, ejemplo aquí

He visto algunas publicaciones en keyloggers ocultos usando rootkit, pero eso es todo.

¿Hay alguna herramienta o forma de ver los procesos que se están ejecutando aunque estén ocultos?

    
pregunta Arlix 16.12.2014 - 12:13
fuente

4 respuestas

12

Esto realmente depende de cómo se oculta el proceso. Si ciertas funciones de la API de Windows están enganchadas, los administradores de procesos que usan esas funciones no verán el proceso. Por lo tanto, depende de la pieza particular del software que intenta ocultar, así como del software de monitoreo que intenta encontrarlo. Independientemente del programa de monitoreo que utilice, no se garantiza que encuentre todos los procesos en ejecución. Dicho esto, hay un par de buenas herramientas por ahí.

SysInternals Suite tiene varios programas de monitoreo diferentes. Process Explorer es muy bueno desde una perspectiva GUI. También se vincula con VirusTotal para informarle si se sabe que alguno de los procesos que se están ejecutando actualmente es malicioso. Procmon es increíble para el monitoreo de procesos. Basa su salida en las llamadas de función de red / archivo de la API de Windows. La desventaja es que la salida es masiva, y generalmente tienes que saber lo que estás buscando. Pero si un proceso oculto es acceder al registro, los archivos o la comunicación a través de la red, se mostrará aquí.

Hay un monitor de código abierto llamado YaProcmon (otro monitor de proceso) que tiene una función que busca específicamente la ocultación de procesos. Mecanismos e intentos de exponerlos.

    
respondido por el RoraΖ 16.12.2014 - 13:49
fuente
14

El explorador de procesos de Sysinternals es tu amigo . Esto le mostrará más información de la que está acostumbrado desde el Administrador de tareas, incluidas las tareas invisibles.

    
respondido por el kalina 16.12.2014 - 12:28
fuente
0

Sé de un proceso, un juego Realmente se oculta de cualquier proceso que no sea x2.exe, lo cual es un poco difícil, ya que cualquier proceso que intente detectar si se está ejecutando a través de .NET Framework a través del nombre de la imagen no funciona ni siquiera FindWindow cuando toma un minuto o dos para que realmente "tenga" una ventana. Lo que hace que la Detección de nombres de imágenes sea la única forma, pero el problema es evitar esa ocultación en el nivel del núcleo o algo así.

Así que, para resumir, existen métodos para ocultar el proceso de las herramientas de Sysinternals, pero no para el Administrador de tareas de Windows, el truco consiste en encontrar una API que lo omita en un nivel más "kernel".

    
respondido por el PSXGamerPro1 29.08.2016 - 22:45
fuente
0

La respuesta es a través de Volatility .

Process Explorer solo puede ver / encontrar los procesos que están en la lista de procesos que es una lista con doble enlace que se encuentra en algún lugar de la memoria. Process Explorer conoce la ubicación del primer nodo (o tiene un puntero a uno de los nodos) y desde ese nodo, recorre la lista y encuentra los procesos "no ocultos".

El programador de tareas no usa esta lista para programar tareas, en lugar de eso usa otra lista (debería ser una lista de hilos).

Sin embargo, cuando un proceso se oculta, simplemente elimina sus enlaces al nodo anterior y siguiente y permanece en la memoria hidden . Ya que solo se elimina de la lista de procesos y no de la lista de hilos, continuará ejecutándose sin ser visible.

Cada proceso tiene una estructura de clase específica como una clase simple c con muchos parámetros.

La volatilidad busca en toda la memoria y encuentra process class estructuras en la memoria, así como en la lista de enlaces dobles (que es la lista de procesos).

Entonces, la salida es todos los procesos en la memoria, incluidos los procesos currect , killed y hidden .

Tenga en cuenta que estaba buscando un programa más fácil para los procesos ocultos, pero como no podía ver la volatilidad en la respuesta, sentí que estaba obligado a responder.

    
respondido por el smttsp 20.03.2017 - 06:29
fuente

Lea otras preguntas en las etiquetas