چگونه یک پردازش مشکوک را پیدا کرده و از کار بیندازیم ؟!
شاید همیشه با نگاه کردن به آیکون آنتی ویروس خود و یا دیدن رنگ سبز در محیط آن ، احساس کنید که در امنیت کامل به سر میبرید . اگر طرز فکرتان اینگونه است ، باید بگویم که همین حالا ممکن است یکی از قربانیان بدافزارها باشید و خودتان خبر ندارید . شما نمیتوانید مطمئن باشید که آنتی ویروستان هر بدافزاری را شناسایی کرده و از بین میبرد . مطمئنا بدافزار نویسان هر روز روش های پیچیده تر و هوشمندانه تری را برای نفوذ به سیستم و سرقت اطلاعات شما به کار میگیرند . پس لطفا طرز فکرتان را عوض کنید !
هر برنامه کامپیوتری ( چه مفید و چه مضر ) یک پردازش ( Process ) در سیستم عامل ایجاد میکند . این پردازش که از سوی فایل اصلی برنامه در جریان میباشد ، مسئول برقراری ارتباط برنامه با سیستم عامل است . پردازش مربوط به هر برنامه ، درخواست های خود را به سیستم عامل میدهد و سیستم عامل هم موارد درخواست شده را اختیار برنامه خواهد میگذارد . پس تا اینجا متوجه شدیم که یکی از مهمترین بخش های پایه ای یک برنامه کامپیوتری ، پردازش آن میباشد . اگر به هر نحوی این پردازش از کار انداخته شود و یا خللی در ارتباط آن با سیستم عامل به وجود بیاید ، برنامه مورد نظر دیگر قادر به پاسخگویی به کاربر نخواهد بود . در اینجاست که برنامه یا به صورت کامل بسته شده و غیر فعال میشود .
همانطور که میدانید ، بدافزارها هم یک برنامه کامپیوتری هستند و پردازشی برای خود دارند . اگر به هر نحوی بتوان آن ها را از کار انداخت ، میتوان امیدوار به پاک سازی کامل آن بود .
در این مطلب سعی داریم تا روش هایی به منظور پیدا کردن و از کار انداختن پردازش های خطرناک را مورد بررسی قرار دهیم . پس با گویا آی تی همراه باشید ……….
نکته : قبل از اینکه ادامه مطلب را بخوانید ، بایستی چند برنامه کاربردی که حجم کمی هم دارند را دریافت کنید . این برنامه ها پیش نیازیهای کار هستند و استفاده از آنها ضروری خواهد بود .
ابتدا بسته نرم افزاری Sysinternal Suite که شامل تعداد زیادی برنامه کاربردی میباشد و توسط شرکت مایکروسافت عرضه میشود را از آخر همین مطلب دانلود کنید .
مرحله اول ، پیدا کردن پردازش های مشکوک و خطرناک :
قبل از اینکه کار را شروع کنیم ، ابتدا باید وضعیت خود را مشخص کنید . اگر به صورت واضح علائم آلودگی را مشاهده میکنید ( مثل از کار افتادن Task Manager ، رجیستری ، کاهش محسوس سرعت سیستم و …. ) ، باید گفت که در وضعیت خوبی قرار ندارید . اما باز هم ممکن است راه هایی باقی مانده باشد . پس نا امید نشوید و مراحل زیر را امتحان کنید .
اگر همانطور که در بالا گفته شد ، تسک منیجر شما از کار افتاده و نمیتوانید لیست پردازش ها را مشاهده کنید ، بایستی از برنامه های جایگزین آن که به مراتب بهتر نیز هستند ، استفاده کنید . یکی از این برنامه ها ، برنامه Process Explorer میباشد که در بسته نرم افزاری Sysinternal Suite وجود دارد ( نام فایل برنامه در این بسته ، procexp.exe میباشد ) .
هنگامی که این برنامه را اجرا کنید با لیستی از پردازش های جاری سیستم مواجه خواهید شد . اکنون باید به دنبال نشانه هایی باشیم که ما را به پردازش های مشکوک نزدیک تر میکنند . این علائم به چند دسته تقسیم میشوند .
1- علائم تاثیر گذار بر کارایی سیستم : این دسته از علائم باعث تاثیر گذاری بر روند بازدهی سیستم میشوند. به عنوان مثال دسته ای از بدافزارها به دلیل فعالیت زیادی که دارند ، سرعت سیستم را به شدت کاهش میدهند و همین موضوع میتواند به ما کمک کند تا متوجه شویم که یک پردازش مشکوک است .
این برنامه دارای ستون هایی میباشد که اطلاعاتی در مورد هر یک از پردازش های به ما میدهند . در اینجا ما میخواهیم میزان تاثیر گذاری هر پردازش بر عملکرد سیستم را متوجه شویم . ستون CPU دقیقا همان چیزی است که ما به دنبالش هستیم . در این ستون میتوانید میزان استفاده هر پردازش از CPU را بر حسب درصد مشاهده کنید . میزان استفاده ی یک پردازش از CPU در حالت عادی نباید بالاتر از 20 % برود . مگر اینکه آن برنامه در حال اجرای عملیات بسیار سنگینی باشد ( مثلا پردازش های گرافیکی که معمولا توان زیادی از سیستم درخواست میکنند ) که این میزان ممکن است تا 50 الی 60 % هم برسد . اما برای اینکه بتوانیم درصد خطای شناسایی را پایین تر بیاوریم ، باید قبل از شروع هر کاری ، اقداماتی را انجام دهیم . اول از همه اینکه همه برنامه ها را ببندید . حتی اگر میدانید که برنامه ای در پس زمینه سیستم عامل در حال انجام کاری میباشد ، آن را نیز متوقف کنید . آنتی ویروس ها در مواقعی که سیستم بیکار هستند معمولا شروع به اسکن کردن سیستم میکنند . آنتی ویروستان را طوری تنظیم کنید که این کار را انجام ندهد .
نکته : نام پردازش هایی که در تصاویر میبیند یا به آنها اشاره میشود ، صرفا جهت مثال است و این پردازش ها آلوده نیستند .
حالا در برنامه Process Explorer به ستون CPU دقت کنید . لیست را پایین آورده و ستون CPU را تحت نظر بگیرید .
اگر موردی را دیدید که چیزی بیشتر از 20 الی 30 درصد از توان پردازنده را مصرف میکند ، لازم است که به آن مشکوک شوید . البته باید در اینجا دو نکته مهم را ذکر کنیم .
1- پردازشی به نام System Idle Process یک پردازش سیستمی و بی خطر است که میزان بیکاری سیستم را نمایش میدهد . این عدد معمولا در حدود 98 یا 99% است . اتفاقا هر چه این عدد بیشتر باشد نشانه بهتری خواهد بود .
2- بعضی از پردازش ها به صورت لحظه ای ( در حدود 1 الی 2 ثانیه ) درصد زیادی از توان CPU را مصرف میکنند که مشکلی نخواهد داشت و در اکثر مواقع این پردازش ها بی خطر هستند .
اکنون فرض را بر این میگیریم که پردازشی را پیدا کرده اید که مشکوک به نظر میرسد و توان زیادی از سیستم میگیرد . قبل از اینکه هر کاری به منظور مقابله با آن انجام دهید ، بهتر است راجع به آن اطلاعاتی کسب کنید . ابتدا بهتر است به مسیری که فایل اصلی مربوط به آن پردازش در آن قرار دارد ، بروید . برای پیدا کردن مسیر فایل اصلی پردازش کافیست نشانگر موس را روی آن پردازش نگه دارید تا در یک tooltip ، آدرس فایل به شما نشان داده شود .
به آدرس نشان داده شده بروید . ابتدا ببینید که این آدرس آیا مربوط به یک برنامه است و یا جایی دورافتاده در بین فایل ها سیستم . اگر مربوط به یک برنامه باشد ، بیشتر میتوان به آن اعتماد کرد . مخصوصا اگر آن برنامه مربوط به یک شرکت معتبر باشد . ولی باز هم نمیتوان مطمئن بود .
حالا کافیست نام این فایل را به همراه پسوندش ( که معمولا EXE میباشد ) در یک موتور جستجوی اینترنتی مثل گوگل ، جستجو کنید . اگر این فایل آلوده باشد ، به احتمال 90 % کاربران زیادی قبل از شما در این مورد بحث کرده اند و شما میتوانید با مطالعه اطلاعات مربوط به این فایل ، خود را به ماهیت اصلی آن نزدیک تر کنید .
گام بعدی که میتواند مدارک بیشتر مبنی بر آلوده بودن فایل را به ما بدهد ، استفاده از برنامه های امنیتی مثل آنتی ویروس هاست . اگر یک آنتی ویروس آپدیت شده دارید ، سریعا فایل را اسکن کنید . در صورتی که به نتایجی که آنتی ویروستان نشان میدهد زیاد اطمینان ندارید ، میتوانید از سرویس های بسیار کارآمد و مفیدی مثل Virustotal استفاده کنید . کافیست به این سایت بروید و فایل مورد نظر خود را توسط بیش از 40 آنتی ویروس ( در زمان نوشته شدن این مطلب ) مورد بررسی قرار دهید . مطمئنا این روش به شما کمک شایانی خواهد کرد .
2- ارتباطات اینترنتی مشکوک : این مورد اصلا چیز جالبی نیست و باید خیلی سریع تصمیم خود را اتخاذ کرده و وارد عمل شوید . از این به بعد شاید بهتر باشد که ارتباطات اینترنتی خود را چک کنید . به عنوان مثال چه برنامه هایی با اینترنت در ارتباط هستند . به منظور انجام اینکار میتوانید از برنامه های مانیتورینگ شبکه و اینترنت استفاده کنید . این برنامه ها معمولا لیست تمامی برنامه هایی که با اینترنت در ارتباط بوده اند و یا در حال حاضر هستند را در اختیار شما میگذارد . پس از اینکه لیست برنامه ها را مشاهده کردید و احیانا مورد مشکوکی را دیدید ، کافیست مانند روش بالا شروع به تحقیق در مورد برنامه ی مورد نظرتان کنید . در اینترنت جستجو کنید . راجع به خود فایل اطلاعات کسب کنید .
اگر پس از تحقیقاتی که انجام دادید ، متوجه شدید که این پردازش یک پردازش مشکوک و خطرناک است که در حال خرابکاری و یا سرقت اطلاعات شماست ، میتوانید عملیاتی در جهت مقابله با آن انجام دهید .
ابتدا باید ارتباط این سری پردازش ها را با سیستم قطع کنید . کافیست در پنجره Process Explorer روی پردازش مشکوک راست کلیک کرده و گزینه Kill Process را انتخاب کنید . پیغامی نیز ظاهر خواهد شد که باید دکمه OK را بزنید .
مرحله بعدی اینست که اجازه اجرای مجدد را به آنها ندهید . اجرای مجدد را میتوان با چند روش محدود کرد . اگر اجرا مجدد در هنگام راه اندازی مجدد سیستم در نظر بگیریم ، باید آن فایل را از لیست autorun ها حذف کنیم . شما میتوانید در بسته Sysinternal ، برنامه autoruns را اجرا کنید . لیستی بسیار کاملی در اختیار شما قرار خواهد گرفت و میتوانید تمامی برنامه هایی که در هنگام راه اندازی مجدد سیستم عامل اجرا میشوند را مشاهده کنید . به دنبال همان فایل یا فایل های مشکوک بگردید و آن را از لیست حذف کنید .
اما اگر میخواهید مانع از اجرای مجدد آن پردازش در هر شرایطی شوید ، باید آن را به اصطلاح به لیست سیاه اضافه کنید . معمولا بیشتر برنامه های امنیتی مثل آنتی ویروس ها و فایروال ها چنین امکانی را به شما میدهند . کافیست فایل مورد نظر خود را به لیست سیاه اضافه کنید تا در هر شرایطی مانع از انجام اجرای مجدد آن شوید .
دانلود بسته نرم افزاری Sysinternal Suite
مرسی علیرضا جان … لینک دانلود رو راحت پیدا کردم .. 😉
سلام مزدک جان .
فقط واسه خاطر گل تو گزاشتم آخر مطلب که راحت پیداش کنی رفیق …….. 😀
موفق باشی ………
مرسییی مثل همیشه عالی بود
خواهش میکنم .
شما همیشه به ما لطف دارید ……
موفق باشید ………
البته آسه آسه باید طرز فکرتون رو نسبت به از بین بردن ویروس با این روش عوض کنید
دوست علاقه مند به امنیت تا حالا ویندوزت رو آپ کردی موقعه ای که بسته ای دانلود میشه سیستم میاد بسته های دانلود شده رو به محض شات شدن سیستم نصب میکنه نوشتن همچین ویروس با عملکرد گفته شده کار سختی نیست .
نیازی به ایجاد پردازش جدا نیست وقتی بیای برنامتو به پروسه سیستمی ویندوز اینجکت کنی اون موقع فکر میکنی با یه برنامه ساده می تونی کیل کنی .
با احترام luckyMan
سلام .
1- در ابتدا باید عرض کنم که این مطلب در مورد بدافزارهایی با سطح متوسط بود . همچنین اگر در کل مطلب بگردید من اسمی از “ویروس” که میتونه خودش رو به فایل های دیگه متصل کنه نیاوردم . شما میتونید این مورد رو مقابل تروجان ها و کرم ها به کار بگیرید .
2- فعال شدن ویروس در هنگام شات شدن سیستم هم به نظر نمیرسه ربط زیادی به این موضوع داشته باشه . چون میشه از آنتی ویروس هایی استفاده کرد که قبل لود شدن سیستم عامل بالا میان و عملیات اسکن رو انجام میدن . همچنین استفاده از آنتی ویروس های یه سیستم عامل دیگه مثل لینوکس و اسکن کردن درایوهای ویندوزی .
3- مسلما هر فایل ( چه سیستمی و چه غیر سیستمی ) بعد از اینکه به یه بدافزار آلوده میشه ، یه سری علائم از خودش بروز میده که باعث میشه ما به اون شک کنیم . بعد از اون هم میتونید کارهایی واسه مقابله با اون انجام بدید .
موفق باشید ………
– فعال شدن ویروس در هنگام شات شدن سیستم هم به نظر نمیرسه ربط زیادی به این موضوع داشته باشه . چون میشه از آنتی ویروس هایی استفاده کرد که قبل لود شدن سیستم عامل بالا میان و عملیات اسکن رو انجام میدن . همچنین استفاده از آنتی ویروس های یه سیستم عامل دیگه مثل لینوکس و اسکن کردن درایوهای ویندوزی .
آقای زارع :ربطش که مشخصه پنهان ماندن فعالیت وافزایش کارایی بدافزارمون.من ربط اسکن های موقع لود شدن سیستم رو با وضعیت شات داون شدن متوجه نمیشم.
علاوه بر این من به راحتی به محض تمام شدن فعالیت بدافزارم فایل هاشو برای ناشناخته موندن کریپت کنم اونموقع تحت لینوکس هم شناسایی نمیشه.
دلیل ادامه بحث تبادل اطلاعات و افزایش آگاهی هموطنانم هست
فعالیت به چه نحو پنهان میمونه ؟ اگه آنتی ویروس ها نتونن چنین بدافزاری که فعالیتش رو پنهان میکنه شناسایی کنن ، پس باید گفت که به هیچ دردی نمیخورن .
اما ربطش به اسکن موقع لود شدن سیستم : باید به این نکته توجه داشته باشیم که قبل از بالا اومدن سیستم عامل امکانات زیادی در اختیار بدافزار قرار نمیگیره . در صورتی که موقعی که سیستم عامل بالا میاد ، بدافزار میتونه امکانات زیادی رو در اختیار داشته باشه . منظور امکاناتی هست که سیستم عامل در اختیار بدافزار میزاره . حالا اگه بیایم پروسه اسکن رو قبل از بارگذاری سیستم عامل اجرا کنیم ، مسلما پیدا کردن بدافزار راحت تر میشه . چون معمولا بدافزارهای کمی پیدا میشن که بتونن قبل از بالا اومدن سیستم عامل کار خاصی انجام بدن ( مثل همین پنهان کردن فعالیتشون ) .
فکر کنم منظورتون بدافزاهای پلی مورفیک باشن که کدهای رو هر بار به یه شکل رمزنگاری میکنن . اکثر آنتی ویروس ها میتونن رمزگشایی بدافزارها رو انجام بدن .
در ضمن ممنون به خاطر اینکه اطلاعات تون رو در اختیار بنده و سایر دوستان قرار میدید . امیدوارم این بحث ها باعث بشه تا هم بنده و هم شما و سایر دوستان چیزای جدیدی یاد بگیریم .
موفق و سربلند باشید …….
مطلب خوبی بود
ممنون
خواهش میکنم .
موفق باشید ………
با سلام. مطالب جالبی بود.
می خواستم اسم یک آنتی ویروسی رو که قبل از لود شدن سیستم رو چک می کنند رو بگید؟
چقدر رو !!!!!!!!!
با تشکر
سلام .
از بین معروف ترین ها میشه به کسپرسکی و نود 32 اشاره کرد . میتونید از سایت softgozar.com هم هر کدومشون رو که خواستید دانلود کنید .
البته متوجه منظورتون از این جمله ی ” چقدر رو !!!!!!” نشدم .
موفق باشید ……
با سلام. من هر دو تا شون رو دارم. ولی باهاشون خارج از ویندوز کار نکردم. (یعنی بلد نیستم) میشه لطفا یک توضیح کوچولو در مورد این کار بدید.
خیلی ممنون می شم.
منظورم از چقدر رو !!!!!! طرز نوشتن خودم بود.!
زبون مشهدیه دیگه, کاریشم نمیشه کرد.
سلام احمد جان .
آخ ، فکر کنم واضح توضیح ندادم . منظورم از آنتی ویروس نود۳۲ و کسپرسکی ، دیسک نجاتشون بود نه خود آنتی ویروس . بازم باید ببخشید که درست توضیح ندادم . مثلا دیسک نجات کسپرسکی رو میتونی از اینجا دانلود کنی .
روش استفادش رو هم میتونی از گویا آی تی مطالعه کنی .
اگه سوال دیگه ای هم داشتی در خدمتت هستم احمد جان ….
چاکر بچه های مشهد هم هستیم 😀 ……..
ما مخلص تموم بچه های گویا آی تی هستیم. مخصوصا شما, آقای زارع عزیز. موفق باشید.
باسلام.من درحین کار با اپرا بر اثرندانم کاری اپرا از کار افتاد واین پیغام رانوشت.Error initializing opera:modeule 9(pretsوبعدازدوباره نصب هم اپرا برنگشت.لطفا راهنمایی کنید.
با سلام، دو مرتبه از طرف یکی از آشنایان برای من یه چیزی شبیه به یک آدرس صفحه وب میل شد که البته اون شخص اظهار بی اطلاعی می کند، با باز کردن آن صفحه در همان صفحه انگار کامپیوتر در حال اسکن شدن بود و تروجان هایی رو تشخیص داد البته اسکن شدن از طرف آنتی ویروسم نبود، شاید چیز مهمی نبوده اما من یه مقدار مشکوک شدم لطف کنید به من بگید این نشانه هک شدن بوده ؟ چیزی که برایم میل شده است را در زیر آورده ام: باتشکر
http://fitriagustin.netai.net/templates/beez/news.php?logan143.jpg
سلام مهسا جان .
اتفاقا این موضوع بسیار مهمیه و این احتمال میره که کامپیوتر شما الان آلوده شده باشه . اگه اون فرد اظهار بی اطلاعی کرده ، حتما خودش هم آلوده شده و اون بدافزار ( کرم ، ویروس ، تروجان ) به لیست آدرس ایمیل های اون دوستتون دسترسی پیدا کرده و برای شما هم یه ایمیل فرستاده . با توضیحاتی که شما دادین ، به اختمال بسیار زیاد یکی از این آنتی ویروس های تقلبی بوده و میخاسته با ترسوندن شما ، کاری بکنه که دانلودش کنین که امیدوارم دانلودش نکرده باشین .
لطفا آنتی ویروستون رو به آخرین نسخه آپدیت کنید و سیستم رو کامل اسکن کنید .
سلام
اون سایتی رو گفتی همزمان با انتی ویروس مختلف اسکن می کنه
گوگل اجازه دسترسی برای ایران رو نمی ده!
آیا بازم مثل این سایت هست؟
ممنون
سلام میلاد جان .
والا تا چند وقت پیش این سایت هیچ ارتباطی با گوگل نداشت و خیلی راحت میشد ازش استفاده کرد . نمیدونم زیر مجموعه گوگل شده که اینطور پیغام میده و یا مسئله دیگه ای هست ؟؟؟
سایت مشابهی فعلا سراغ ندارم . ولی اگه پیدا کردن حتما آدرسش رو میدم خدمتت .
موفق باشی …….