Nem aktív folyamat visszakeresése Process ID alapján (PID)
2022-08-06T17:12:38+02:00
2022-08-06T19:37:58+02:00
2022-08-08T13:59:51+02:00
nemquora
Sziasztok!

Leszedtem egy NirSoft-os programot, aminek a neve FileAccessErrorView.

Szépen kilistáz minden process-t, név és útvonal szerint, amelyeknél fájl elérési hiba van. Viszont van aminél sem Process Name, sem Process Path nem szerepel. Ugyan látom a Process ID-t, de mire kikeresném Feladatkezelőben, már eltűnik, vagy lehet alapból rejtett.

Mi lehet ennek az oka?
Utána lehet-e nézni adott Process ID-nak, ami már nem aktív? Pl. rákeresek a 1234 PID-ra és visszaadja nekem az adott process nevét, hogy mi volt az.

Csatolva van egy kép, amin egy ismeretlen folyamat próbálja elérni az Avast egyik dll fájlját, nevezetesen az aswhook.dll-t.
Mutasd a teljes hozzászólást!
Csatolt állomány
Keresgélésem eddigi eredményei ezzel kapcsolatban:

Lehet naplózni a folyamatokat.
1. Futtatni(Win+R) kell a gpedit.msc-t.
2. Házirend: Helyi számítógép -> Számítógép konfigurációja -> A Windows beállításai -> Biztonsági beállítások -> Helyi házirend -> Naplórend -> Folyamatok nyomon követésének naplózása (Sikeres és/vagy Sikertelen)
3. Házirend: Helyi számítógép -> Számítógép konfigurációja -> A Windows beállításai -> Biztonsági beállítások -> Helyi házirend -> Biztonsági beállítások -> Naplózás: A naplórend alkategória-beállításai (Windows Vista vagy újabb) felülbírálják a naplórend kategóriabeállításait (Engedélyezve)
4. Eseménynaplóban aztán lehet keresgélni. Eseménynapló -> Windows-naplók -> Biztonság -> Keresés

Sysinternals Suite-tal lehet látni a rejtett folyamatokat is (legalábbis másfajta technikával is utánanéz)
Sysinternals Suite - Windows Sysinternals
Ezen belül a procexp64.exe programmal lehet látni a folyamatokat.
"So, Long Story short there are methods of hiding your process from things like the Sysinternals tools but not for the Windows Task Manager, the trick is to find a API that bypasses it on a more "kernel" level."

Volatility-vel viszont elméletileg MINDEN folyamat látható. Tehát előle nem lehet semmit elrejteni, mert mindent kiolvas a memóriából.
https://www.volatilityfoundation.org/releases
Mutasd a teljes hozzászólást!

  • *inaktív folyamat
    Mutasd a teljes hozzászólást!
  • Itt tudsz a programmal kapcsolatosan érdeklődni, kérdezd a fejlesztőket.
    Mindig hazai pályán fusd az első kört, aztán haladj tovább, erre való a Support, használd.
    Mutasd a teljes hozzászólást!
  • Keresgélésem eddigi eredményei ezzel kapcsolatban:

    Lehet naplózni a folyamatokat.
    1. Futtatni(Win+R) kell a gpedit.msc-t.
    2. Házirend: Helyi számítógép -> Számítógép konfigurációja -> A Windows beállításai -> Biztonsági beállítások -> Helyi házirend -> Naplórend -> Folyamatok nyomon követésének naplózása (Sikeres és/vagy Sikertelen)
    3. Házirend: Helyi számítógép -> Számítógép konfigurációja -> A Windows beállításai -> Biztonsági beállítások -> Helyi házirend -> Biztonsági beállítások -> Naplózás: A naplórend alkategória-beállításai (Windows Vista vagy újabb) felülbírálják a naplórend kategóriabeállításait (Engedélyezve)
    4. Eseménynaplóban aztán lehet keresgélni. Eseménynapló -> Windows-naplók -> Biztonság -> Keresés

    Sysinternals Suite-tal lehet látni a rejtett folyamatokat is (legalábbis másfajta technikával is utánanéz)
    Sysinternals Suite - Windows Sysinternals
    Ezen belül a procexp64.exe programmal lehet látni a folyamatokat.
    "So, Long Story short there are methods of hiding your process from things like the Sysinternals tools but not for the Windows Task Manager, the trick is to find a API that bypasses it on a more "kernel" level."

    Volatility-vel viszont elméletileg MINDEN folyamat látható. Tehát előle nem lehet semmit elrejteni, mert mindent kiolvas a memóriából.
    https://www.volatilityfoundation.org/releases
    Mutasd a teljes hozzászólást!
Címkék
abcd