Как скрыть процесс в Linux. Итак, рассмотрим стандартные процессы.

Один из способов обнаружения вирусов на ПК - просмотр запущенных процессов в Диспетчере задач. Не всегда антивирусные программы справляются на 100% с возложенными на них задачами. Иногда приходится отлавливать вирусы вручную.

Многие вирусы скрывают своё присутствие в Диспетчере задач - они невидимы. В этом случае на помощь приходят, альтернативные диспетчера задач. Любой из них можно скачать в сети и пользоваться. Встроенный в Windows, собственный Диспетчер задач малоинформативен и скрытых процессов не показывает. Сторонние же, подобные утилиты, лишены этого недостатка и показывают скрытые процессы. Если в стандартном диспетчере нет процессов, которые отобразились в окне анализа альтернативной утилиты, то нужно уделить тщательное внимание этим процессам, возможно, это и есть вредоносные приложения. Нужно посмотреть изготовителя процесса, обычно он всегда указывается чётко и ясно, а также, сколько ресурсов потребляет этот процесс. Если много, по сравнению с другими, то это уже крайне подозрительно.

Подобный осмотр нужно делать при выключенных приложениях, что бы оставались стандартные процессы и вирусы, само собой. Лучше всего это сделать в Безопасном режиме . Очень хорошо, когда вы только установили Виндовс, сделать снимок страницы Диспетчера задач со стандартными процессами, что бы иметь возможность сравнить отличия. Снимок -имеется ввиду сохранённый файл со скрином, а не снимок фотокамерой (производится посредством нажатия кнопочки Print Screen на клавиатуре, кто не знает, как это делается, спрашивайте в комментариях).

Итак, рассмотрим стандартные процессы:

  1. Sistem - системные процессы без расширения ехе .Если такой процесс у вас с расширением - это вирус замаскировался под системный процесс.
  2. Smss.exe -процесс управляющий запуском учётных записей пользователей. Если у вас включен, в данный момент один сеанс учётной записи, а процессов Smss.exe больше - делайте соответствующие выводы.
  3. Csrss .exe . - процесс руководящий созданием окон, он должен быть, всегда один.
  4. Winlogon.exe. - отвечает за авторитарный вход пользователя в систему. Только один.
  5. Services.exe. - обеспечивает работу служб операционной системы, запускается от имени System, также один.
  6. Lsass.exe. - обеспечивает безопасность ОС, всегда один.
  7. Svchost.exe . - запуск Dll-файлов (динамически подключаемая библиотека, сюда относятся драйвера, элементы управления ActiveX ) имя пользователя: LOCAL SERVICE, NETWORK SERVICE и SYSTEM, должно быть максимум шесть.
  8. SYSTEM - отвечает за раскладку клавиатуры и языковую панель на панели задач. Должен быть один.
  9. Explorer.exe. - управляет рабочим столом (ярлыками, иконами и т.д), его интерфейсом. Запускается один раз.
  10. Spoolsv.exe. - ставит объекты в очередь на печать. Один. Нет принтера - можно и отключить, процесс не критический.
  11. Wdfmgr .exe . - отвечает за корректную работу драйвера медиа плейера, тоже не критичный процесс.
  12. Taskmgr.exe . - сам Диспетчер задач
  13. Ну и самый последний - Бездействие системы . Показывает свободные ресурсы.

В обычном режиме у вас кроме этих процессов, будут процессы запущенных приложений, драйверов. Чтобы отключить подозрительный процесс, выделяем его и нажимаем Остановить процесс.

Это дин из способов, более безопасный, чем скажем, экспериментировать с системным реестром.

Программы, которые находятся в активном состоянии на компьютере, всегда можно просмотреть, открыв «Диспетчер задач ». Однако иногда может случиться так, что понадобится сделать исполнение какой-то программы невидимым. Если у вас тоже возникло такое желание, вы наверняка начнёте искать ответ на вопрос, как скрыть процесс в Диспетчере задач Windows.

Узнайте, как скрыть процесс Диспетчер задач Windows

Безусловно, анонимность исполнения некоторых программ позволит отслеживать тех, кто чрезмерно захламляет персональный компьютер. Особенно такая слежка важна, когда доступ к ПК имеют несколько пользователей.

Также желание скрыть процесс возникает и у тех, кто устанавливает собственную программу и стремится, чтобы продвинутые пользователи не смогли простыми способами выявить её присутствие.

Любое выполнение программы является процессом, который нуждается в определённой части оперативной памяти . Процессы подразделяются на:

  • системные;
  • анонимные;
  • пользовательские;
  • связанные с интернетом.

Не рекомендуется тем, кто не имеет практического опыта и необходимых технических знаний вмешиваться в системные процессы, поскольку такое неразумное внедрение способно спровоцировать крайне нежелательные последствия. Одним из таких последствий может выступать сбой последующего запуска операционной системы.


Научиться скрывать какие-либо пользовательские программы можно, при этом не понадобится прилагать огромные усилия, достаточно внимательно ознакомиться с нашими рекомендациями. Мы акцентируем ваше внимание, что даже продвинутый инженер, не подозревающий о ваших «творческих деяниях» не заметит просто так «левый» процесс.

Алгоритм действий

Если вам потребовалось скрыть программное приложение, сначала нужно разобраться, а является ли оно простым, не запускает ли оно дополнительные процессы, которые способны просто выдать её, как бы вы не попытались программу скрыть.

Если, действительно, ваша программа является простой, если она отображается в Диспетчере задач единственной строкой, предлагаем простейшим способом скрыть процесс. Для этого вам всего потребуется переименовать его.

Итак, мы поможем разобраться, как переименовать процесс в Диспетчере задач, чтобы программа продолжила прекрасно функционировать в анонимном режиме.

Шаг 1

Первоначально следует зайти в папку, где размещается файл исполнения конкретной программы. Если вы знаете, где он размещён, то воспользуйтесь привычным для вас «маршрутом», открыв окно «Компьютер», перейдя в системный диск C , а далее проследовав в его корневую папку.

Если же вы не знаете, где скрывается файл исполнения, не беда, вам достаточно найти этот процесс в списке, отображаемом в Диспетчере задач, кликнуть по нему правой клавишей мышки, а затем в открывшемся окне выбрать строку «Открыть место хранения файла».


Шаг 2

После таких ваших действий откроется вами разыскиваемая папка, в ней остаётся вам найти файл исполнения. Искать будет несложно, поскольку этот файл имеет точно такое же название, как и в списке процессов в Диспетчере задач. Кроме этого, этот файл имеет расширение «exe».

Шаг 3

Чтобы переименовать файл, кликните по нему вновь правой клавишей мышки, а затем выберите строку «Переименовать». Теперь, когда вы сумели присвоить новое имя вашему программному приложению, откройте «Диспетчер задач », посмотрите, что это переименование отобразилось и там.


Конечно, от того, какое название вы придумаете, будет зависеть, насколько ваша программа станет «завуалированной» для остальных пользователей ПК. Незнакомый процесс с новым именем ещё быстрее вызовет подозрение и заставит технического инженера разобраться, что за программа работает на ПК.

По этой причине многие опытные пользователи рекомендуют придумывать названия, которые с первого взгляда не вызывают никаких подозрений.

В частности, открытый браузер Chrome создаёт одновременно несколько процессов, так же, как Windows. Желательно взять такое же название процесса, но поскольку система не позволит функционировать двум одноимённым процессам одновременно, рекомендуется при переименовании применить небольшую хитрость. Вместо некоторых английских букв в названии как будто случайно прописать русские. Внешне отличить русские буквы от английских невозможно, а система различит, поэтому позволит работать программам с условно одинаковыми именами.

Итоги

Итак, как вы сумели заметить сделать анонимным некоторое программное приложение можно без особых затруднений. Конечно, существуют ещё достаточно продвинутые способы, которые позволяют более надёжно скрыть любой процесс, но они основываются на написании сложных кодов, навыках программирования. Если вы не ставите перед собой такие усложнённые цели, тогда скрытие работающих программных приложений путём переименования является вполне приемлемым вариантом.

Материал из сайт

Данная статья описывает методику и способы извлечения скрытых файлов (руткитов , драйверов) с помощью недокументированных функций антивирусного сканера Dr.Web® и дополнительных утилит сторонних разработчиков.

Сканер Dr.Web

Если известно имя драйвера в текущей сессии, то можно с помощью сканера его скопировать в карантин и отправить в вируслаб .

filelist.txt

Если у вас установлена версия 5.0 и выше, то создание файла filelist.txt в каталоге антивируса будет блокировано самозащитой. В таком случае создайте файл filelist.txt в другом каталоге (см. пример).

  • Записать в него полный путь к файлу драйвера руткита, например
с:\windows\system32\drivers\driver.sys

Строк в одном файле может быть много.

  • Запустить сканер с параметрами:
drweb32w.exe /copy:filelist.txt

Например: антивирус у меня установлен в каталог C:\Program Files\DrWeb, а текстовый файл я создал в корне диска С:\filelist.txt

"C:\Program Files\DrWeb\drweb32w.exe" /copy:С:\filelist.txt

Внимание! Кавычки в данном случае необходимы!

  • Или если Вы используете CureIT, то
launch.exe -sp/copy:[полный_путь_к_файлу_списка]

После этого, если такой драйвер существует на диске, в карантине в папке C:\Program Files\DrWeb\Infected.!!! (или в папке %USERPROFILE%\DoctorWeb\Quarantine\ для КуреИта) будет лежать файл drivers.sys.dwq. Теперь его архивируем и отправляем в вирлаб .

Gmer

  • На вкладке Rootkit/Malware нажимаем кнопку Сканировать. Дождемся, пока программа соберет все данные.После необходимо щелкнуть мышкой по вкладке ">>>>
  • Правой кнопкой мышки выбираем необходимый модуль и через контекстное меню выбираем "Copy"
  • Если меню "Copy" не активно, то выбираем "dump module"
  • На вкладке "Processes" смотрим необходимый процесс и в поле "Command" вводим комманду cmd.exe /c copy

Например:

Cmd.exe /c copy c:\drweb\spidernt.exe c:\spidernt.exe

В данном случае мы получим на диске С: исполняемый файл процесса spidernt.exe

Если не один из этих методов не помог, то можно попытаться найти файл.

  • Необходимо щелкнуть мышкой по вкладке ">>>>" для того,чтобы открылись скрытые вкладки.
  • Переходим на вкладку "Files"
  • Ищем файл как в Проводнике,выделяем его.
  • Нажимаем кнопку "Copy". Сохраняем файл в необходимый вам каталог.


RKU

  • Выбираем вкладку "Drivers" и через контекстное меню выбираем "Copy".
  • Если скопировать не получается - сделаем дамп. Для этого через контекстное меню выбираем комманду "Dump Selected".


RootRepeal

  • Выбираем вкладку "Process" и нажимаем кнопку "Scan"
  • Правой кнопкой мышки щелкаем по подозрительному процессу и выбираем пункт меню "Copy file..."


Отложенное удаление с помощью

Иногда возникает ситуация когда необходимо удалить файл(троян), но стандартными средствами из Проводника это не получается. Для этого воспользуемся HJ. После запуска HJ нажимаем на кнопку "Open the Misc Tools section" и далее нажимаем кнопку "Delete a file on reboot...". Появится диалоговое окно выбора файла (если файл не виден, то можно выбрать папку где он находится и вручную ввести имя файла и расширение...или же воспользоваться рекомендациями

Шпион скрывает своё местонахождение, скрывает свой процесс и скрывает свою службу в системе. Но это ещё не все сюрпризы. Он умеет и защищаться, блокируя все возможные способы завершения своих процессов и удаления файлов. Шпионская программа делает это на тот случай, если вы их обнаружите. Однако простыми способами обнаружить наличие шпиона в системе невозможно. По этой причине многие пользователи теряют личную информацию, даже не подозревая об этом.

Для того, чтобы выяснить — ведётся ли за вами слежка с помощью этого шпиона или нет, бесполезно просматривать стандартные мониторы, пытаясь искать его вручную или с помощью сканирования системы. При тестировании, антивирусы не обнаруживают шпионскую программу, поэтому у пользователя создается впечатление, что все в порядке.

Для обнаружения слежки, зайдите в монитор «Процессы системы». Затем откройте «Монитор скрытых процессов», нажав на кнопку «Скрытые процессы». В открывшемся окне красным цветом выделяются процессы, которые скрывают себя от системы.


All In One Keylogger обнаружен. Добавьте имя процесса в базу угроз через контекстное меню программы. В разных тестируемых системах шпион имел различные имена процессов и файлов. При попытке завершить скрытый процесс, вы получите сообщение об ошибке. Попасть в папку с приложением шпиона можно через пункт в контекстном меню, другим способом войти не получится. Воспользоваться его деинсталлятором тоже не получится — шпион защищает себя от удаления, значит, в системе есть другие процессы, контролирующие ситуацию с работой шпиона. Откройте “Монитор скрытых служб” (только в версиях Pro) в окне “Службы системы”. Любой, скрывающий себя от системы сервис, будет выделен красным цветом. В стандартном варианте списка служб системы эту слежку выявить нельзя.


Скрытая служба от шпиона All In One Keylogger тоже обнаружена. Данный сервис и процесс защищают себя и не позволяют остановить. Добавьте его в базу угроз через контекстное меню. Первая задача выполнена — слежка выявлена. Теперь вы точно знаете, что находитесь под наблюдением.

Для удаления шпиона All In One Keylogger, зайдите в платформу защиты COVERT, нажав на кнопку с надписью: “Вход в платформу защиты”.
В окне “Процессы системы” вы увидите процессы, выделенные красным цветом. Через контекстное меню завершите их. В платформе защиты шпион не сможет себя скрывать и защищать.


Далее откройте окно “Службы системы”. В стандартном списке “Активные службы”, через контекстное меню остановите и удалите сервис, выделенный красным цветом (или в списке “Все службы” он может быть выделен желтым цветом). В платформе защиты шпион не может себя скрывать и защищать.


После произведённых действий, выйдите из платформы защиты и удалите папку шпиона с файлами. Она уже не будет скрыта и защищена.

Если у вас установлена версия COVERT Base или COVERT USB, которые не имеют функции “Монитор скрытых служб”, для маскировки своих действий от шпиона All In One Keylogger зайдите в платформу защиты COVERT и работайте с любыми приложениями. Шпионская программа не сможет получить данные о вашей деятельности, пока вы находитесь внутри платформы любой версии программы COVERT.

Все современные многозадачные операционные системы, а том числе и Linux, запускают несколько процессов для выполнения каждого из заданий. Использование блокнота, окно терминала, SSH сервер, SSH соединение и т д — это все отдельные процессы. Операционная система, в нашем случае Linux распределяет системные ресурсы (процессорное время, память, ввод/вывод), между процессами, таким образом чтобы каждый процесс мог работать.

Чтобы посмотреть список запущенных в данный момент процессов используйте утилиту ps:

Параметры aux указывают утилите что нужно выводить все системные процессы с информацией о пользователе от которого они были запущены и командой вызова.


Как вы видите, в списке представлены процессы, принадлежащие различным пользователям, включая pi — пользователь по умолчанию в Raspberry Pi, root и www-data. Вот еще один скриншот который показывает процессы и информацию о команде их запуска и параметрах:


Если вы посмотрите в низ списка то увидите команду nano MYBANKACCOUNTNUMBER.TXT выполненную пользователем john. Эти данные предоставляются всем пользователям системы и могут быть использованы в злонамеренных целях.

В ядре версии 3.2 и выше реализирована функция запрета просмотра информации пользователем о процессах которые ему не принадлежат. Команда ps получает информацию о процессах из файловой системы /proc. Был добавлен новый параметр hidepid которые применяется при монтировании файловой системы. Он позволяет скрывать информацию о процессах от пользователей не имеющих к ним доступ.

  • hidepid = 0 — значение по умолчанию, все пользователи могут читать файлы /proc/pid
  • hidepid = 1 — пользователи могут получить доступ только к своему собственному /proc/pid подкаталогу, но файлы cmdline, io, sched*, status доступны всем
  • hidepid = 2 — все подкаталоги /proc/pid скрыты от пользователей

Файловая система /proc может быть перемонтирована на лету с помощью опции remount утилиты mount. Чтобы проверить работу hidepid можете воспользоватся следующей командой:

sudo mount -o remount,rw,hidepid=2 /proc

Затем пытаемся выполнить ps еще раз:

Теперь мы увидим только процессы запущенные от пользователя pi.

Чтобы сделать эти изменения постоянными нужно отредактировать файл /etc/fstab. Это файл контролирует монтирование файловых систем при старте.

sudo nano /etc/fstab

Найдите такую строчку:

proc /proc proc defaults 0 0

И замените ее на:

proc /proc proc defaults,hidepid=2 0 0

Закройте редактор сочетанием клавиш Ctrl+C и перезагрузите ваш компьютер. После перезагрузки /proc будет смонтирована с правильными опциями. Для проверки опций монтирования используйте команду mount и grep.

mount | grep hidepid

Теперь попытаемся запустить ps:

Как видите видны только процессы принадлежащие текущему пользователю. Но есть одно замечание. Суперпользователь по прежнему может видеть все процессы и параметры вызова.



Популярное
Какой браузер лучше: сравнение веб-обозревателей, работающих на стационарных и мобильных устройствах Ни один пользователь не...
Устранение периодических фризов Немного теории Иногда...
Какие самые необходимые программы для компьютера? За качественный, полезный и...
Как сделать меню в Joomla, три способа создания меню в Joomla Создаем пункты меню Joomla Продолжаем знакомиться с...
ТВ-тюнер для телевизора: что это такое Как правило, такой слот...
Новое на сайте
Как полностью удалить скайп со своего устройства
Как увеличить радиус действия wifi
LGA1155 Материнские платы - Socket LGA1155
Способы установки плей маркет на мейзу
Настройки мобильной сети предпочтения