請問是否只要是木馬型的病毒在工作管理員都一定看得到?

第 1 頁,共 2 頁 1 2 末頁末頁
顯示結果從第 1 筆 到 10 筆,共計 13 筆
  1. #1
    F1 Driver
    註冊日期
    2005-12-30
    所在地區
    ADSL 10M/512
    討論區文章
    140

    請問是否只要是木馬型的病毒在工作管理員都一定看得到?

    請問是否只要是木馬型的病毒在工作管理員都一定看得到?
    有什麼病毒是它正在執行而且在工作管理員查不出來的?
    小弟沒有安裝任何防毒軟體,偶而中毒時都利用工作管理員查出進而將之刪除,
    連同病毒檔案一併刪除,而且從此不再出現,但不知這樣是否確實已完全刪除?



  2. #2
    會員
    註冊日期
    2001-03-13
    討論區文章
    441

    回覆: 請問是否只要是木馬型的病毒在工作管理員都一定看得到?

    有的即使看得到, 但也可能會被忽略, 因為它會偽裝, ex: SVCHOST.EXE

  3. #3
    會員
    註冊日期
    2001-09-16
    討論區文章
    2,184

    回覆: 請問是否只要是木馬型的病毒在工作管理員都一定看得到?

    否, RootKit 型的看不到

  4. #4
    會員
    註冊日期
    2007-02-12
    所在地區
    ADSL
    討論區文章
    24

    回覆: 請問是否只要是木馬型的病毒在工作管理員都一定看得到?

    工作管理員只能看到以 process 型態執行的程式,
    而除了 process 之外,
    惡意程式也有可能以 dll 或 driver 的方式存在、並執行,
    這個時候 工作管理員 就派不上用場了,
    雖然利用其他的工具,例如 Sysinternals 系列,可以看到比較多的資訊,
    但是如何將可疑程式識別出來卻又是一個麻煩的問題了~

  5. #5
    F1 Driver
    註冊日期
    2005-12-30
    所在地區
    ADSL 10M/512
    討論區文章
    140

    回覆: 請問是否只要是木馬型的病毒在工作管理員都一定看得到?

    引用 作者:joe.oo 瀏覽文章
    有的即使看得到, 但也可能會被忽略, 因為它會偽裝, ex: SVCHOST.EXE
    小弟也遇過此偽裝的病毒,但它執行身份是username而不是system
    所以小弟就先將它結束程序,再把它的檔案清除,也從登錄之啟動機碼刪除
    小弟的工作管理員一直以來只執行那幾樣程式,若一有陌生的程式進來執行會馬上發現
    這樣是否只能針對木馬型病毒有效?



  6. #6
    會員
    註冊日期
    2006-01-29
    討論區文章
    20

    回覆: 請問是否只要是木馬型的病毒在工作管理員都一定看得到?

    針對看得到的部份有些有用.....

    有些你看到想到想結束他又馬上再生
    每幾秒補寫登錄值一次

    比如像Driver.exe或oso.exe這一類的

  7. #7
    F1 Driver
    註冊日期
    2005-12-30
    所在地區
    ADSL 10M/512
    討論區文章
    140

    回覆: 請問是否只要是木馬型的病毒在工作管理員都一定看得到?

    引用 作者:sylovanas 瀏覽文章
    針對看得到的部份有些有用.....

    有些你看到想到想結束他又馬上再生
    每幾秒補寫登錄值一次

    比如像Driver.exe或oso.exe這一類的
    那這意思是...
    其他地方還有程式還在執行,你已經結束它了,它還會再執行
    那表示其他地方還有程式在check是否被結束,若被結束了它將再執行一次並寫入登錄
    這樣的程式可不可能藏在windows的核心程式?(例如:svchost.exe或lsass.exe或是winlogon.exe而且執行身份是system)

    小弟遇到的都是結束程序後就不再載入,也趁空執行期趕緊刪掉檔案及登錄

  8. #8
    會員 Donna 的大頭照
    註冊日期
    2001-12-09
    所在地區
    光世代100M/100M 50M/10M
    討論區文章
    257

    回覆: 請問是否只要是木馬型的病毒在工作管理員都一定看得到?

    不知道有沒有人遇到過這樣的狀況,病毒加入一個虛擬硬體裝置,這個虛擬硬體裝置,不斷檢查病毒程式是否存在,如果被移除,就會重新解出病毒程式執行。
    最後是突然發現裝置管理員中,出先一個奇怪的裝置,刪除之後,就解除中毒狀況。這是我所知道不會出現在工作管理員的病毒型態。

  9. #9
    會員
    註冊日期
    2006-01-29
    討論區文章
    20

    回覆: 請問是否只要是木馬型的病毒在工作管理員都一定看得到?

    引用 作者:f1driver 瀏覽文章
    那這意思是...
    其他地方還有程式還在執行,你已經結束它了,它還會再執行
    那表示其他地方還有程式在check是否被結束,若被結束了它將再執行一次並寫入登錄
    這樣的程式可不可能藏在windows的核心程式?(例如:svchost.exe或lsass.exe或是winlogon.exe而且執行身份是system)

    小弟遇到的都是結束程序後就不再載入,也趁空執行期趕緊刪掉檔案及登錄
    藏在核心程式小弟功力很差不能給你答案
    不過小弟有碰到就是了....

    另外拿我上面說的driver.exe為例

    上面說的driver.exe就純粹只是寫入登錄值

    這個是這樣

    他的特性是病毒架構完成後
    會產生
    C:\WINDOWS\wuaucll.exe
    C:\WINDOWS\SYSTEM32\driver.exe

    C:\WINDOWS\svchost.com
    C:\WINDOWS\cmd.com

    會修改HKCR\exefile\shell\open\command中的default為wuaucll.exe "%1" %*"
    修改HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    的Shell為xplorer.exe wuaucll.exe
    另外會修改
    然後driver.exe和wuaucll.exe在啟動程序後
    兩者會互相檢查
    當其中一個程序被卸載的時候另一個馬上就將卸載的程序補上
    補的速度非常快.........這邊有說一下
    當初第一次碰到這個木馬的時候
    本來想使用taskkill指令製作批次檔來靠電腦處理速度一次兩個程序一起卸載
    後來製作好批次檔執行之後結果就開始了無限回圈 .....
    程序補上的速度比用批次檔刪的速度還快...更別提開工作管理員結束了..

    其中wuaucll.exe每五秒(印象之前看到是寫五秒)會重新寫入上述修改的登錄值
    所以程序沒卸載的狀況下修改登錄值後就馬上被寫回去

    不過我是有看過有人用匯入登錄檔的方式之後然後直接按reset的

    如果說登錄值沒有修改回去直接將那兩個檔案刪除的話
    會造成很多exe檔案無法執行......

    這種的光靠工作管理員和檔案總管要殺還蠻難的說

  10. #10
    會員
    註冊日期
    2006-01-29
    討論區文章
    20

    回覆: 請問是否只要是木馬型的病毒在工作管理員都一定看得到?

    引用 作者:Donna 瀏覽文章
    不知道有沒有人遇到過這樣的狀況,病毒加入一個虛擬硬體裝置,這個虛擬硬體裝置,不斷檢查病毒程式是否存在,如果被移除,就會重新解出病毒程式執行。
    最後是突然發現裝置管理員中,出先一個奇怪的裝置,刪除之後,就解除中毒狀況。這是我所知道不會出現在工作管理員的病毒型態。
    這個蠻常碰到的說



類似的主題

  1. 【問題】請問工作管理員…
    作者:pc989kiss 所在討論版:-- 防 駭 / 防 毒 版
    回覆: 7
    最後發表: 2008-04-09, 12:02 AM
  2. 【求助】在使用中的程式最小化後,在工作列無法找到,但在工作管理員中還有的
    作者:jinke 所在討論版:-- HELP ME 電 腦 軟 硬 體 急 救 版
    回覆: 1
    最後發表: 2005-01-04, 05:16 PM
  3. 間機後,在工作管理員中27個處理程序正常嗎?
    作者:dreamer_boy 所在討論版:-- Windows 討 論 版
    回覆: 1
    最後發表: 2002-07-10, 02:45 PM
  4. 【問題】如何使"工作管理員"最小化 常駐在工作列??
    作者:Seifer 所在討論版:-- Windows 討 論 版
    回覆: 2
    最後發表: 2002-03-02, 01:21 PM
  5. [請問]我的工作管理員變成這樣.....
    作者:pilifa 所在討論版:-- Windows 討 論 版
    回覆: 4
    最後發表: 2002-01-20, 08:45 PM

 

此網頁沒有從搜尋引擎而來的訪客

發表文章規則

  • 不可以發表新主題
  • 不可以回覆文章
  • 不可以上傳附加檔案
  • 不可以編輯自己的文章
  •