"О Process Explorer" по следам поста
В комментариях к посту из шапки развернулась такая бурная дискуссия и мне интересно, почему никто не удосужился указать ИМХО два главных достоинства
1. Кто-то в комментариях упомянул, что вирусы внедряются в существующие файлы в системе. Это хоть и очень редкое поведение на сегодняшний день, но имеет место быть. Для таких случаев есть проверка цифровой подписи приложения на достоверность. Включается через Options->Verify Image Signatures. Теперь в столбце Verified Signer видно наличие цифровой подписи у каждого запущенного процесса, а так же результат его проверки. Наиболее подозрительно, как мне кажется, будет: либо отсутствие цифровой подписи, либо сообщение типа "Цифровая подпись объекта не была проверена", что означает, что цифровая подпись есть, но она не прошла проверку по каким-либо причинам (например файл был изменен). Естественно, что эти признаки далеко не 100%, что данный процесс каким-либо образом является вредоносным, а просто индикатор того, что к этим процессам стоит присмотреться внимательнее.
2. Самое вкусное в этой программе, это возможность сверять список процессов (точнее их контрольные суммы) с базой
Немного о результатах: при уровне 1-3 обнаружения стоит не впадать в панику и удалять все подряд, связанное с процессом, а пройти на страничку результатов и ознакомится, какие антивирусы и какую информацию по данному файлу выдали. Т.к. бывает, что антивирусы могут ругаться, например, на файлы, которые были пропатчены для снятия защиты с них (в простонародье - крякнутые), или на файлы, которые в себе содержат код перехвата вызова разных функций операционной системы, что не всегда является чем-то страшным (тот же Fraps или ShadowPlay, например, перехватывает вызовы некоторых функции DirectX для своей работы). Уровень обнаружения 3-4 и выше, это уже серьезный индикатор наличия вредоносного процесса в системе.
Данные два метода с хорошей вероятностью позволят вам обнаружить заразу в системе и при наличии некоторых знаний ее обезвредить.
Спасибо за внимание и надеюсь, что это будет кому-либо полезно.