Procesos de usuario de Windows ejecutándose como hijos de explorer.exe

Navega tus respuestas
1

Escuché que una de las indicaciones de un proceso malicioso es si un proceso no se está ejecutando como un elemento secundario de explorer.exe

¿Cuál es la razón para eso?

Desde mi entendimiento, cada vez que inicie un ejecutable, tendrá el PID de explorer.exe ya que es PPID. Solo los servicios parecen tener otro proceso principal.

    
pregunta netik 02.02.2017 - 10:42
fuente

1 respuesta

1

Nunca escuché eso, pero tiene mucho sentido: un rootkit también se ejecutará sin ser un hijo de explorer.exe, por definición. Si el sistema de control de procesos de Windows puede verlo, no es un rootkit.

No sé qué tan comunes son ahora, pero alguna vez fueron infestaciones populares.

    
respondido por el David 02.02.2017 - 14:46
fuente

Lea otras preguntas en las etiquetas

¿Puede un WAF bloquear o detectar un archivo html creado y un script / shell PHP ofuscado? Aplicación utilizada en la industria de la salud: HIPAA HITECH "requisitos" de alojamiento