iT邦幫忙

0

Hi All
請問一下大家
從Windows XP工作管理員,檢查到的Process list是不是
就是目前所有正在跑的"所有Process"?
還是需要用procexp.exe或是procmon.exe來監看呢?
會有所謂的隱藏的process嗎?
懷疑電腦好像中了木馬

PS:使用Administrator權限的AP帳戶登入

謝謝

小成 iT邦高手 10 級 ‧ 2010-08-04 10:37:02 檢舉
如果是rootkit
可能就不會出現在工作管理員的列表上

又如果他是用HOOK之類的技術把DLL注入到PROCESS中
也是會看不到的
14
taylorchen
iT邦新手 3 級 ‧ 2010-08-04 14:59:59
最佳解答

建議使用sysinternal所提供的工具(無須安裝)
http://download.sysinternals.com/Files/ProcessExplorer.zip

也有線上執行版本
http://live.sysinternals.com/&lt;toolname> or \\live.sysinternals.com\tools\<toolname>.

Process Explorer
v12.04 (June 8, 2010)
Find out what files, registry keys and other objects processes have open, which DLLs they have loaded, and more. This uniquely powerful utility will even show you who owns each process.

6
jay0123
iT邦高手 3 級 ‧ 2010-08-05 10:31:38

懷疑電腦好像中了木馬

請 google 一下 Tcpview
這支程式可以讓你知道目前所有的連線
若有怪怪的連線就可查看是什麼程式在連
就不用懷疑啦

6
yuhsheng
iT邦新手 2 級 ‧ 2010-08-06 19:48:04

多用幾支其它工具,會得到比較準備的結果,因木馬程式可能會針對特定程式作規避
其它工具如AnVir Task Manager Free,System explorer等
另針對Rootkit,可使用rootkit revealer, gmer, sophos anti-rootkit, Trend Rootkit Buster等工具來查找.

我要發表回答

立即登入回答