Riconoscere un processo originale da un virus

processo.jpgUna delle caratteristiche dei moderni virus è quella di nascondersi fra le applicazioni utili e di avviare processi con il loro stesso nome.

Risulta quindi quasi impossibile distinguerle dal processo originale.

Per farlo, se siete in uno di quegli squallidi sistemi windows, premete CTRL-ALT-CANC.

Si aprirà il task manager, un’applicazione che vi consente di visualizzare tutte le applicazioni attualmente in esecuzione, e quindi anche i virus.

Dirigetevi nella scheda processi.

Quindi scegliete “visualizza” dal menù in alto e cliccate su “Scegli colonne” ( O comunque qualche cosa di simile ).

Vi apparirà una lista di opzioni, voi selezionate “Numero Thread”.

Una volta fatto ciò, vi comparirà una colonna accanto a quelle già presenti sotto il quale vedrete dei numeri. Non preoccupatevi, ci arriveremo piano piano a cosa sono.

Ora cliccate sulla colonna Nome Immagine , tutti i processi verranno riordinati.

Trovate quindi il processo che dovete smascherare e il suo doppio, saranno riordinati l’uno sotto l’altro.

Ora per ognuno controllate il numerino corrispondente sotto la colonna thread e terminate quello che ne ha solo uno ( Attenzione ! Fatelo a vostro rischio e pericolo se non conoscete la gestione dei thread dei processi windows ).

Ad esempio il processo di explorer.exe originale presenta 2 o 3 thread, invece un virus che cerca di imitarlo presenta solo 1 poiché è risaputo che la programmazione multi-thread è molto difficile e di certo un virus writer non tenterà di impararla solo per creare un virus.

Lascia un Commento