請問是否只要是木馬型的病毒在工作管理員都一定看得到?

[f1driver]

請問是否只要是木馬型的病毒在工作管理員都一定看得到?
有什麼病毒是它正在執行而且在工作管理員查不出來的?
小弟沒有安裝任何防毒軟體,偶而中毒時都利用工作管理員查出進而將之刪除,
連同病毒檔案一併刪除,而且從此不再出現,但不知這樣是否確實已完全刪除?

[joe.oo]

有的即使看得到, 但也可能會被忽略, 因為它會偽裝, ex: SVCHOST.EXE

[pcboy]

否, RootKit 型的看不到

[DIRECTNORM]

工作管理員只能看到以 process 型態執行的程式，
而除了 process 之外，
惡意程式也有可能以 dll 或 driver 的方式存在、並執行，
這個時候 工作管理員 就派不上用場了，
雖然利用其他的工具，例如 Sysinternals 系列，可以看到比較多的資訊，
但是如何將可疑程式識別出來卻又是一個麻煩的問題了～

[f1driver]

引用:

作者: joe.oo

有的即使看得到, 但也可能會被忽略, 因為它會偽裝, ex: SVCHOST.EXE

小弟也遇過此偽裝的病毒,但它執行身份是username而不是system
所以小弟就先將它結束程序,再把它的檔案清除,也從登錄之啟動機碼刪除
小弟的工作管理員一直以來只執行那幾樣程式,若一有陌生的程式進來執行會馬上發現
這樣是否只能針對木馬型病毒有效?

[sylovanas]

針對看得到的部份有些有用.....

有些你看到想到想結束他又馬上再生
每幾秒補寫登錄值一次

比如像Driver.exe或oso.exe這一類的

[f1driver]

引用:

作者: sylovanas

針對看得到的部份有些有用.....

有些你看到想到想結束他又馬上再生
每幾秒補寫登錄值一次

比如像Driver.exe或oso.exe這一類的

那這意思是...
其他地方還有程式還在執行,你已經結束它了,它還會再執行
那表示其他地方還有程式在check是否被結束,若被結束了它將再執行一次並寫入登錄
這樣的程式可不可能藏在windows的核心程式?(例如:svchost.exe或lsass.exe或是winlogon.exe而且執行身份是system)

小弟遇到的都是結束程序後就不再載入,也趁空執行期趕緊刪掉檔案及登錄

[Donna]

不知道有沒有人遇到過這樣的狀況，病毒加入一個虛擬硬體裝置，這個虛擬硬體裝置，不斷檢查病毒程式是否存在，如果被移除，就會重新解出病毒程式執行。
最後是突然發現裝置管理員中，出先一個奇怪的裝置，刪除之後，就解除中毒狀況。這是我所知道不會出現在工作管理員的病毒型態。

[sylovanas]

引用:

作者: f1driver

那這意思是...
其他地方還有程式還在執行,你已經結束它了,它還會再執行
那表示其他地方還有程式在check是否被結束,若被結束了它將再執行一次並寫入登錄
這樣的程式可不可能藏在windows的核心程式?(例如:svchost.exe或lsass.exe或是winlogon.exe而且執行身份是system)

小弟遇到的都是結束程序後就不再載入,也趁空執行期趕緊刪掉檔案及登錄

藏在核心程式小弟功力很差不能給你答案
不過小弟有碰到就是了....

另外拿我上面說的driver.exe為例

上面說的driver.exe就純粹只是寫入登錄值

這個是這樣

他的特性是病毒架構完成後
會產生
C:\WINDOWS\wuaucll.exe
C:\WINDOWS\SYSTEM32\driver.exe
和
C:\WINDOWS\svchost.com
C:\WINDOWS\cmd.com

會修改HKCR\exefile\shell\open\command中的default為wuaucll.exe "%1" %*"
修改HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
的Shell為xplorer.exe wuaucll.exe
另外會修改
然後driver.exe和wuaucll.exe在啟動程序後
兩者會互相檢查
當其中一個程序被卸載的時候另一個馬上就將卸載的程序補上
補的速度非常快.........這邊有說一下
當初第一次碰到這個木馬的時候
本來想使用taskkill指令製作批次檔來靠電腦處理速度一次兩個程序一起卸載
後來製作好批次檔執行之後結果就開始了無限回圈 .....
程序補上的速度比用批次檔刪的速度還快...更別提開工作管理員結束了..

其中wuaucll.exe每五秒(印象之前看到是寫五秒)會重新寫入上述修改的登錄值
所以程序沒卸載的狀況下修改登錄值後就馬上被寫回去

不過我是有看過有人用匯入登錄檔的方式之後然後直接按reset的

如果說登錄值沒有修改回去直接將那兩個檔案刪除的話
會造成很多exe檔案無法執行......

這種的光靠工作管理員和檔案總管要殺還蠻難的說

[sylovanas]

引用:

作者: Donna

不知道有沒有人遇到過這樣的狀況，病毒加入一個虛擬硬體裝置，這個虛擬硬體裝置，不斷檢查病毒程式是否存在，如果被移除，就會重新解出病毒程式執行。
最後是突然發現裝置管理員中，出先一個奇怪的裝置，刪除之後，就解除中毒狀況。這是我所知道不會出現在工作管理員的病毒型態。

這個蠻常碰到的說