شما وارد حساب خود نشده و یا ثبت نام نکرده اید. لطفا وارد شوید یا ثبت نام کنید تا بتوانید از تمامی امکانات انجمن استفاده کنید.


تبليغات
سامانه ي پيامکي آز پي ان يو مقالات ISI
فروشگاه اينترنتي آز پي ان يو خريد شارژ آز پي ان يو

چگونه یک پردازش مشکوک را پیدا کرده و از کار بیندازیم ؟!زمان کنونی: ۱۹-۹-۱۳۹۵، ۱۰:۵۳ :عصر
کاربرانِ درحال بازدید از این موضوع: 1 مهمان
نویسنده: MostafA
آخرین ارسال: MostafA
پاسخ: 1
بازدید: 400

ارسال پاسخ 
 
امتیاز موضوع:
  • 21 رأی - میانگین امتیازات: 3.24
  • 1
  • 2
  • 3
  • 4
  • 5

چگونه یک پردازش مشکوک را پیدا کرده و از کار بیندازیم ؟!

۱۴-۹-۱۳۹۰, ۰۹:۱۷ :عصر
ارسال: #1
چگونه یک پردازش مشکوک را پیدا کرده و از کار بیندازیم ؟!
شاید همیشه با نگاه کردن به آیکون آنتی ویروس خود و یا دیدن رنگ سبز در محیط آن ، احساس کنید که در امنیت کامل به سر میبرید . اگر طرز فکرتان اینگونه است ، باید بگویم که همین حالا ممکن است یکی از قربانیان بدافزارها باشید و خودتان خبر ندارید . شما نمیتوانید مطمئن باشید که آنتی ویروستان هر بدافزاری را شناسایی کرده و از بین میبرد . مطمئنا بدافزار نویسان هر روز روش های پیچیده تر و هوشمندانه تری را برای نفوذ به سیستم و سرقت اطلاعات شما به کار میگیرند . پس لطفا طرز فکرتان را عوض کنید !

هر برنامه کامپیوتری ( چه مفید و چه مضر ) یک پردازش ( Process ) در سیستم عامل ایجاد میکند . این پردازش که از سوی فایل اصلی برنامه در جریان میباشد ، مسئول برقراری ارتباط برنامه با سیستم عامل است . پردازش مربوط به هر برنامه ، درخواست های خود را به سیستم عامل میدهد و سیستم عامل هم موارد درخواست شده را اختیار برنامه خواهد میگذارد . پس تا اینجا متوجه شدیم که یکی از مهمترین بخش های پایه ای یک برنامه کامپیوتری ، پردازش آن میباشد . اگر به هر نحوی این پردازش از کار انداخته شود و یا خللی در ارتباط آن با سیستم عامل به وجود بیاید ، برنامه مورد نظر دیگر قادر به پاسخگویی به کاربر نخواهد بود . در اینجاست که برنامه یا به صورت کامل بسته شده و غیر فعال میشود .

همانطور که میدانید ، بدافزارها هم یک برنامه کامپیوتری هستند و پردازشی برای خود دارند . اگر به هر نحوی بتوان آن ها را از کار انداخت ، میتوان امیدوار به پاک سازی کامل آن بود .



نکته : قبل از اینکه ادامه مطلب را بخوانید ، بایستی چند برنامه کاربردی که حجم کمی هم دارند را دریافت کنید . این برنامه ها پیش نیازیهای کار هستند و استفاده از آنها ضروری خواهد بود .

ابتدا بسته نرم افزاری Sysinternal Suite که شامل تعداد زیادی برنامه کاربردی میباشد و توسط شرکت مایکروسافت عرضه میشود را از آخر همین مطلب دانلود کنید .




مرحله اول ، پیدا کردن پردازش های مشکوک و خطرناک :

قبل از اینکه کار را شروع کنیم ، ابتدا باید وضعیت خود را مشخص کنید . اگر به صورت واضح علائم آلودگی را مشاهده میکنید ( مثل از کار افتادن Task Manager ، رجیستری ، کاهش محسوس سرعت سیستم و …. ) ، باید گفت که در وضعیت خوبی قرار ندارید . اما باز هم ممکن است راه هایی باقی مانده باشد . پس نا امید نشوید و مراحل زیر را امتحان کنید .

اگر همانطور که در بالا گفته شد ، تسک منیجر شما از کار افتاده و نمیتوانید لیست پردازش ها را مشاهده کنید ، بایستی از برنامه های جایگزین آن که به مراتب بهتر نیز هستند ، استفاده کنید . یکی از این برنامه ها ، برنامه Process Explorer میباشد که در بسته نرم افزاری Sysinternal Suite وجود دارد ( نام فایل برنامه در این بسته ، procexp.exe میباشد ) .

هنگامی که این برنامه را اجرا کنید با لیستی از پردازش های جاری سیستم مواجه خواهید شد . اکنون باید به دنبال نشانه هایی باشیم که ما را به پردازش های مشکوک نزدیک تر میکنند . این علائم به چند دسته تقسیم میشوند .

۱- علائم تاثیر گذار بر کارایی سیستم : این دسته از علائم باعث تاثیر گذاری بر روند بازدهی سیستم میشوند. به عنوان مثال دسته ای از بدافزارها به دلیل فعالیت زیادی که دارند ، سرعت سیستم را به شدت کاهش میدهند و همین موضوع میتواند به ما کمک کند تا متوجه شویم که یک پردازش مشکوک است .

این برنامه دارای ستون هایی میباشد که اطلاعاتی در مورد هر یک از پردازش های به ما میدهند . در اینجا ما میخواهیم میزان تاثیر گذاری هر پردازش بر عملکرد سیستم را متوجه شویم . ستون CPU دقیقا همان چیزی است که ما به دنبالش هستیم . در این ستون میتوانید میزان استفاده هر پردازش از CPU را بر حسب درصد مشاهده کنید . میزان استفاده ی یک پردازش از CPU در حالت عادی نباید بالاتر از ۲۰ % برود . مگر اینکه آن برنامه در حال اجرای عملیات بسیار سنگینی باشد ( مثلا پردازش های گرافیکی که معمولا توان زیادی از سیستم درخواست میکنند ) که این میزان ممکن است تا ۵۰ الی ۶۰ % هم برسد . اما برای اینکه بتوانیم درصد خطای شناسایی را پایین تر بیاوریم ، باید قبل از شروع هر کاری ، اقداماتی را انجام دهیم . اول از همه اینکه همه برنامه ها را ببندید . حتی اگر میدانید که برنامه ای در پس زمینه سیستم عامل در حال انجام کاری میباشد ، آن را نیز متوقف کنید . آنتی ویروس ها در مواقعی که سیستم بیکار هستند معمولا شروع به اسکن کردن سیستم میکنند . آنتی ویروستان را طوری تنظیم کنید که این کار را انجام ندهد .

نکته : نام پردازش هایی که در تصاویر میبیند یا به آنها اشاره میشود ، صرفا جهت مثال است و این پردازش ها آلوده نیستند .

حالا در برنامه Process Explorer به ستون CPU دقت کنید . لیست را پایین آورده و ستون CPU را تحت نظر بگیرید .

مهمان ها نمي توانند تصاوير را ببينند و دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.



اگر موردی را دیدید که چیزی بیشتر از ۲۰ الی ۳۰ درصد از توان پردازنده را مصرف میکند ، لازم است که به آن مشکوک شوید . البته باید در اینجا دو نکته مهم را ذکر کنیم .

۱- پردازشی به نام System Idle Process یک پردازش سیستمی و بی خطر است که میزان بیکاری سیستم را نمایش میدهد . این عدد معمولا در حدود ۹۸ یا ۹۹% است . اتفاقا هر چه این عدد بیشتر باشد نشانه بهتری خواهد بود .

۲- بعضی از پردازش ها به صورت لحظه ای ( در حدود ۱ الی ۲ ثانیه ) درصد زیادی از توان CPU را مصرف میکنند که مشکلی نخواهد داشت و در اکثر مواقع این پردازش ها بی خطر هستند .



اکنون فرض را بر این میگیریم که پردازشی را پیدا کرده اید که مشکوک به نظر میرسد و توان زیادی از سیستم میگیرد . قبل از اینکه هر کاری به منظور مقابله با آن انجام دهید ، بهتر است راجع به آن اطلاعاتی کسب کنید . ابتدا بهتر است به مسیری که فایل اصلی مربوط به آن پردازش در آن قرار دارد ، بروید . برای پیدا کردن مسیر فایل اصلی پردازش کافیست نشانگر موس را روی آن پردازش نگه دارید تا در یک tooltip ، آدرس فایل به شما نشان داده شود .

مهمان ها نمي توانند تصاوير را ببينند و دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.



به آدرس نشان داده شده بروید . ابتدا ببینید که این آدرس آیا مربوط به یک برنامه است و یا جایی دورافتاده در بین فایل ها سیستم . اگر مربوط به یک برنامه باشد ، بیشتر میتوان به آن اعتماد کرد . مخصوصا اگر آن برنامه مربوط به یک شرکت معتبر باشد . ولی باز هم نمیتوان مطمئن بود .

حالا کافیست نام این فایل را به همراه پسوندش ( که معمولا EXE میباشد ) در یک موتور جستجوی اینترنتی مثل گوگل ، جستجو کنید . اگر این فایل آلوده باشد ، به احتمال ۹۰ % کاربران زیادی قبل از شما در این مورد بحث کرده اند و شما میتوانید با مطالعه اطلاعات مربوط به این فایل ، خود را به ماهیت اصلی آن نزدیک تر کنید .

گام بعدی که میتواند مدارک بیشتر مبنی بر آلوده بودن فایل را به ما بدهد ، استفاده از برنامه های امنیتی مثل آنتی ویروس هاست . اگر یک آنتی ویروس آپدیت شده دارید ، سریعا فایل را اسکن کنید . در صورتی که به نتایجی که آنتی ویروستان نشان میدهد زیاد اطمینان ندارید ، میتوانید از سرویس های بسیار کارآمد و مفیدی مثل Virustotal استفاده کنید . کافیست به این سایت بروید و فایل مورد نظر خود را توسط بیش از ۴۰ آنتی ویروس ( در زمان نوشته شدن این مطلب ) مورد بررسی قرار دهید . مطمئنا این روش به شما کمک شایانی خواهد کرد .



۲- ارتباطات اینترنتی مشکوک : این مورد اصلا چیز جالبی نیست و باید خیلی سریع تصمیم خود را اتخاذ کرده و وارد عمل شوید .

از این به بعد شاید بهتر باشد که ارتباطات اینترنتی خود را چک کنید . به عنوان مثال چه برنامه هایی با اینترنت در ارتباط هستند . به منظور انجام اینکار میتوانید از برنامه های مانیتورینگ شبکه و اینترنت استفاده کنید .

این برنامه ها معمولا لیست تمامی برنامه هایی که با اینترنت در ارتباط بوده اند و یا در حال حاضر هستند را در اختیار شما میگذارد .

پس از اینکه لیست برنامه ها را مشاهده کردید و احیانا مورد مشکوکی را دیدید ، کافیست مانند روش بالا شروع به تحقیق در مورد برنامه ی مورد نظرتان کنید . در اینترنت جستجو کنید . راجع به خود فایل اطلاعات کسب کنید .


اگر پس از تحقیقاتی که انجام دادید ، متوجه شدید که این پردازش یک پردازش مشکوک و خطرناک است که در حال خرابکاری و یا سرقت اطلاعات شماست ، میتوانید عملیاتی در جهت مقابله با آن انجام دهید .

ابتدا باید ارتباط این سری پردازش ها را با سیستم قطع کنید . کافیست در پنجره Process Explorer روی پردازش مشکوک راست کلیک کرده و گزینه Kill Process را انتخاب کنید . پیغامی نیز ظاهر خواهد شد که باید دکمه OK را بزنید .

مهمان ها نمي توانند تصاوير را ببينند و دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.



مرحله بعدی اینست که اجازه اجرای مجدد را به آنها ندهید . اجرای مجدد را میتوان با چند روش محدود کرد . اگر اجرا مجدد در هنگام راه اندازی مجدد سیستم در نظر بگیریم ، باید آن فایل را از لیست autorun ها حذف کنیم .

شما میتوانید در بسته Sysinternal ، برنامه autoruns را اجرا کنید . لیستی بسیار کاملی در اختیار شما قرار خواهد گرفت و میتوانید تمامی برنامه هایی که در هنگام راه اندازی مجدد سیستم عامل اجرا میشوند را مشاهده کنید . به دنبال همان فایل یا فایل های مشکوک بگردید و آن را از لیست حذف کنید .

اما اگر میخواهید مانع از اجرای مجدد آن پردازش در هر شرایطی شوید ، باید آن را به اصطلاح به لیست سیاه اضافه کنید . معمولا بیشتر برنامه های امنیتی مثل آنتی ویروس ها و فایروال ها چنین امکانی را به شما میدهند .

کافیست فایل مورد نظر خود را به لیست سیاه اضافه کنید تا در هر شرایطی مانع از انجام اجرای مجدد آن شوید .

لینک دانلود برنامه با حجم 13 مگابایت :
http://download.sysinternals.com/Files/SysinternalsSuite.zip


دیدن لینک ها برای شما امکان پذیر نیست. لطفا ثبت نام کنید یا وارد حساب خود شوید تا بتوانید لینک ها را ببینید.


 
 
هیچکس همـــــــراه نیست... تنهــــــــــای اول...!

 
مشاهده‌ی وب‌سایت کاربر یافتن تمامی ارسال‌های این کاربر
نقل قول این ارسال در یک پاسخ
 سپاس شده توسط Masoud Ebrahimi ، mahdi ، Administrator ، Ahmad
ارسال پاسخ 


کسانی که از این موضوع بازدید کرده اند . . . ( آز پی ان یو )
4 کاربر زیر موضوع را خوانده اند:
Ahmad (۱۸-۴-۱۳۹۲, ۰۲:۱۰ :عصر)، mahdi hashemi (۲۸-۷-۱۳۹۲, ۰۴:۲۸ :عصر)، bahram.r (۱۶-۴-۱۳۹۲, ۱۱:۰۳ :عصر)، shadyar (۲۵-۳-۱۳۹۳, ۰۱:۳۱ :صبح)

پرش به انجمن:


کاربرانِ درحال بازدید از این موضوع: 1 مهمان


آپلودسنتر آز پي ان يو تالار گفتمان آز پي ان يو
تبلیغات نیازمندی های استان چهارمحال و بختیاری