Scoprire se un processo attivo è genuino o meno

Fjfj · 01-08-2011, 11:31

Ciao,

vorrei chiedervi, gentilmente, un chiarimento:

per capire se un processo in memoria è legittimo, bisognerebbe capire quale programma lo lancia.

Ciò premesso, vorrei capire se queste mie deduzioni sono esatte o sbagliate:

Mi potreste, gentilmente, dare conferma ( in modo comprensibile per i non addetti ai lavori ) sui seguenti esempi per vedere se ho capito?

1) se l'utente avvia Firefox ( FF), FF crea un processo firefox.exe con il quale provvede a caricare in memoria (RAM)
vari elementi ( tra cui le librerie di sistema - Dll-) che contengono tutta una serie di funzionalità (messe a disposizione dal sistema operativo) rischieste da FF per funzionare. ( in questo caso il processo firefox.exe nasce perché c'è l'interazione dell'utente che appunto avvia FF)

2) invece nel caso del processo svchost.exe non vi è l'interazione dell'utente, in quanto svchost.exe è generato dalle librerie del sistema operativo-Dll- ( che in sostanza sono programmi che girano in background - servizi--) che abbisognano di un file eseguibile per essere caricate in memoria,--appunto svchost.exe. Giusto?
Per cui attraverso l'analisi del gruppo di servizi ( che altro non sono che i programmi che hanno lanciato una determinata istanza di svchost.exe), relativi ad un determinato processo svchost.exe ( infatti possono essercene più di uno) possiamo capire se lo stesso è legittimo o meno. Giusto?

Grazie mille
Ciao

Fjfj

TheQ. · 01-08-2011, 21:05

Si e non solo. Quello che descrivi è un'alterazione che avviene se subisci un attacco hacker con iniezione di dll sul system32. Tuttavia virus e malware usano molti altri sistemi di infezione (visto che citabi firefox: l'anno scorso o due anni fa furono trovati degli addons per firefox che eseguivano codici malevoli e se installati infettavano il pc... quindi non dentro gli schvost)

Gli AV per rilevare virus e malware verificano per l'appunto in primis i processi in esecuzione, e molti permettono anche la scansione in avvio del boot.

Se non ti fidi del lavoro del tuo AV+Firewall, per analizzare gli schvost usa schvost viewer (già postato tempo fa).... oppure cambia antivirus e firewall ^_^''

**Chill-Out** · 01-08-2011, 22:00

La Sezione è dedicata solo ed esclusivamente alla rimozione di eventuali Virus. Tra l'altro una discussione mi sembra più che sufficiente

http://www.hwupgrade.it/forum/showthread.php?t=2373557

Ti invito a prestare più attenzione non è la prima discussione che apri in sezione errata.

01-08-2011, 11:31	#1
Fjfj Junior Member Iscritto dal: Jul 2011 Messaggi: 26	Scoprire se un processo attivo è genuino o meno Ciao, vorrei chiedervi, gentilmente, un chiarimento: per capire se un processo in memoria è legittimo, bisognerebbe capire quale programma lo lancia. Ciò premesso, vorrei capire se queste mie deduzioni sono esatte o sbagliate: Mi potreste, gentilmente, dare conferma ( in modo comprensibile per i non addetti ai lavori ) sui seguenti esempi per vedere se ho capito? 1) se l'utente avvia Firefox ( FF), FF crea un processo firefox.exe con il quale provvede a caricare in memoria (RAM) vari elementi ( tra cui le librerie di sistema - Dll-) che contengono tutta una serie di funzionalità (messe a disposizione dal sistema operativo) rischieste da FF per funzionare. ( in questo caso il processo firefox.exe nasce perché c'è l'interazione dell'utente che appunto avvia FF) 2) invece nel caso del processo svchost.exe non vi è l'interazione dell'utente, in quanto svchost.exe è generato dalle librerie del sistema operativo-Dll- ( che in sostanza sono programmi che girano in background - servizi--) che abbisognano di un file eseguibile per essere caricate in memoria,--appunto svchost.exe. Giusto? Per cui attraverso l'analisi del gruppo di servizi ( che altro non sono che i programmi che hanno lanciato una determinata istanza di svchost.exe), relativi ad un determinato processo svchost.exe ( infatti possono essercene più di uno) possiamo capire se lo stesso è legittimo o meno. Giusto? Grazie mille Ciao Fjfj

01-08-2011, 21:05	#2
TheQ. Senior Member Iscritto dal: Mar 2011 Messaggi: 2764	Si e non solo. Quello che descrivi è un'alterazione che avviene se subisci un attacco hacker con iniezione di dll sul system32. Tuttavia virus e malware usano molti altri sistemi di infezione (visto che citabi firefox: l'anno scorso o due anni fa furono trovati degli addons per firefox che eseguivano codici malevoli e se installati infettavano il pc... quindi non dentro gli schvost) Gli AV per rilevare virus e malware verificano per l'appunto in primis i processi in esecuzione, e molti permettono anche la scansione in avvio del boot. Se non ti fidi del lavoro del tuo AV+Firewall, per analizzare gli schvost usa schvost viewer (già postato tempo fa).... oppure cambia antivirus e firewall ^_^'' Ultima modifica di TheQ. : 01-08-2011 alle 21:07.

01-08-2011, 22:00	#3
Chill-Out Moderatore Iscritto dal: Jun 2007 Città: 127.0.0.1 Messaggi: 25885	La Sezione è dedicata solo ed esclusivamente alla rimozione di eventuali Virus. Tra l'altro una discussione mi sembra più che sufficiente http://www.hwupgrade.it/forum/showthread.php?t=2373557 Ti invito a prestare più attenzione non è la prima discussione che apri in sezione errata. __________________ Regole di Sezione ▪ Guida alla Disinfezione ▪ Attenzione: Thread importanti Try again and you will be luckier. Ultima modifica di Chill-Out : 01-08-2011 alle 23:23.

Strumenti
Mostra una versione stampabile Invia questa pagina per email