35 votos

¿Todos los programas en un equipo aparece en la ficha procesos en el administrador de tareas?

Existe la razón que estoy preguntando que esto es porque tengo curiosidad de si puede existir un virus en el ordenador sin que me alguna vez poder conocerlo. Para ser más específico, un virus que no emite muestras de ningún tipo.

49voto

Leo King Puntos 151

Hay una clase de malware que puede ocultarse por completo el sistema operativo conocido como un rootkit.

Los Rootkits son utilizados para ocultar la evidencia de otro tipo de malware en el trabajo, y están incrustados profundamente en el sistema operativo. Debido a sus profundas root que son capaces de manipular el proceso de listas, el sistema de ficheros de tablas y otras estructuras importantes sobre la marcha.

Mediante la manipulación de estructuras del sistema de ficheros en la memoria pueden volver falsa o engañosa resultados para directorios, específicamente no mostrar los archivos relacionados con los principales malware en sí. Los archivos están allí, y el arranque en un no infectado sistema operativo como Linux LiveCD mostrará los archivos a pesar de que, como tienen que ser almacenados en algún lugar.

Del mismo modo, los rootkits pueden colocar simplemente ciertos procesos desde que se informó de los programas tales como el Administrador de Tareas. El sistema operativo de núcleo sabe acerca de ellos, ya que es necesario para programar, ha sido bloqueado de dejar que el mundo exterior sepa acerca de ellos.

16voto

Ángel Puntos 601

Todo normal, programas aparecerá allí, pero...

  • sin una cuenta de Administrador, usted sólo será capaz de ver su propio proceso (Administración de cuentas puede elegir para ver todos los procesos)
  • los rootkits se tratan de ocultar su existencia por ocultar su proceso de la lista, poniendo en riesgo el administrador de tareas (para que no lo muestran), escondido dentro de otro espacio de direcciones del proceso...
  • los servicios se ejecutarán como subprocesos en un svchost proceso (en la mayoría de los casos), por lo que no hay fácil pointint en el que se está ejecutando el servicio en virtud de un determinado svchost instancia.

Hay algunos programas que están diseñados para la detección de rootkits. Lo hacen por medio de cheques, por ejemplo, la lista de los temas programados para la ejecución y en la lista de procesos en el sistema (un hilo que no pertenecía a ningún proceso es un signo de un proceso oculto), o la lista de archivos visto en alto nivel, y su comparación con los archivos de forma manual se lee de la partición de disco.

Sin embargo, una vez que está infectado, es posible que un virus para ocultar su presencia tan bien que es casi imposible de detectar. Esos son usualmente se le denomina APTs (amenazas persistentes avanzadas).

5voto

jomohke Puntos 720

De fondo

El sistema operativo tiene un componente conocido como el núcleo. Uno de los kernel (muchos) responsabilidades es la gestión de memoria del sistema (físico y virtual).

Como parte de esto, el núcleo se divide la memoria disponible en dos regiones distintas conocido como el modo usuario y modo kernel. El núcleo y los controladores compartir la memoria de modo de núcleo, y los programas de usuario y menos componentes críticos del sistema reside en la memoria de modo de usuario de la región.

Los procesos en modo usuario generalmente no pueden comunicarse con las personas de modo de núcleo, excepto a través de especialmente designados y controlados canales.

La integridad debe ser mencionado que los procesos que se ejecutan en modo de usuario también están aislados unos de otros, pero puede más libremente comunicarse el uno con el otro el uso de las facilidades proporcionadas por el sistema operativo, siempre que los programas están diseñados para hacerlo.

Los procesos de

El núcleo proporciona la capacidad para poner en marcha procesos en modo usuario. Cuando se crea un proceso que se agrega a una lista interna de los procesos que existen en la actualidad. Cuando un programa como el Administrador de Tareas pide una lista de procesos, recibe un subconjunto de la información en esta lista, filtrada por los permisos de usuario.

Uno de los medios por el malware como un rootkit para ocultar su existencia es eliminar directamente a sí mismo de esta tabla. Habiendo hecho esto, se puede ejecutar, pero ya no aparecen en la lista de procesos obtenidos por medios normales.

Dado que estos procesos todavía existen en la realidad y la ejecución, que podría ser encontrado por la inspección de otros kernel de estructuras de datos, tales como manejar tablas, que contienen información acerca de los recursos de un proceso que se ha abierto (por ejemplo, los archivos), o mediante el examen de las asignaciones de memoria de la que es más difícil de ocultar, sin obstaculizar la capacidad del software para funcionar.

Controladores De Modo Kernel

Controladores de Modo Kernel utilizado para muchas cosas, incluyendo la interacción con dispositivos de hardware físicos. Se ejecutan bajo el control del núcleo como sea necesario, pero ya que no son un proceso en modo de usuario no aparece en la tabla de procesos. y por lo tanto no aparecerá en el Administrador de Tareas, u otras herramientas de que se trate exclusivamente con los procesos.

Ser capaz de ejecutar código en modo kernel es un paso importante para ser capaz de ocultar con eficacia la existencia de la ejecución de código. Bajo circunstancias normales de Windows requiere que el código en modo kernel ser firmado en orden a ejecutar, por lo que el malware puede necesitar el uso de vulnerabilidades en el sistema operativo, otro software, o incluso a la ingeniería social para llegar hasta aquí, pero una vez que el código se está ejecutando en modo kernel, la ocultación se hace más fácil.

Resumen

En resumen, es posible para ocultar la evidencia de los procesos de la existencia, es probable que siempre va a haber algún indicio de que el proceso existe, porque, por lo general, tendrán que utilizar siempre algún tipo de recurso para hacer lo que fue diseñado, lo difícil que es la detección depende del malware específico.

3voto

Rsya Studios Puntos 2302

Los virus son bastante sofisticados de hoy en día. No puede ser un virus en su computadora, pero no aparece en el Administrador de Tareas. Es posible que el Administrador de Tareas (y de otras partes del sistema operativo) a sí mismos estar en peligro, así ocultar el virus. Por ejemplo, un rootkit.

Si usted está planeando en usar en el Administrador de Tareas para comprobar si hay virus, entonces usted debe parar ahora. Instalar un antivirus, e incluso un antivirus, a veces no se detecta un virus en su PC.

0voto

Marius Iordache Puntos 211

Hay uno más simple manera de "ocultar un virus", aparte de otros ya bien explicado en otras respuestas:

Un peligro DLL (biblioteca de vínculos dinámicos)

Una gran cantidad de programas - casi todos de la untrivial - la necesidad de uno o más archivos Dll para ejecutar. Algunos pertenecen al sistema operativo en sí (por ejemplo, hal.dll que los resúmenes de acceso de hardware para Windows), algunos son utilizados por un programa único, que se divide a más de piezas pequeñas (de uno .archivo exe y más .los archivos dll con la funcionalidad principal, plugins, etc.) Usted no consigue el virus se ejecuta en todo momento como un proceso ordinario o servicio, pero el virus va a ser muy difícil de encontrar, ya que se verá como un completamente inocentes programa o componente del programa.

Leer más: http://msitpros.com/?p=2012


Y hay una cosa muy atractivo acerca de este tipo de virus: hay toneladas de sitios web que ofrecen gratis (no requiere de pago) descarga de archivos dll que puede por tal o cual motivo van a faltar en tu ordenador. Desde la posibilidad de comparar las sumas de comprobación de la original y la nueva .archivo dll es muy limitada y casi a nadie le importa, el archivo dll-virus pueden entrar y permanecer en el sistema por mucho tiempo desapercibido (a menos que, por supuesto, un programa antivirus los detecta y el usuario está de acuerdo con la eliminación - vea el patrón ya).

A partir de la pregunta que entiendo que hablamos de Windows aquí, pero esta técnica puede muy bien aplicar a otros sistemas operativos también.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: