چگونه یک پردازش مشکوک را پیدا کرده و از کار بیندازیم ؟!

شاید همیشه با نگاه کردن به آیکون آنتی ویروس خود و یا دیدن رنگ سبز در محیط آن ، احساس کنید که در امنیت کامل به سر میبرید . اگر طرز فکرتان اینگونه است ، باید بگویم که همین حالا ممکن است یکی از قربانیان بدافزارها باشید و خودتان خبر ندارید . شما نمیتوانید مطمئن باشید که آنتی ویروستان هر بدافزاری را شناسایی کرده و از بین میبرد . مطمئنا بدافزار نویسان هر روز روش های پیچیده تر و هوشمندانه تری را برای نفوذ به سیستم و سرقت اطلاعات شما به کار میگیرند . پس لطفا طرز فکرتان را عوض کنید !
هر برنامه کامپیوتری ( چه مفید و چه مضر ) یک پردازش ( Process ) در سیستم عامل ایجاد میکند . این پردازش که از سوی فایل اصلی برنامه در جریان میباشد ، مسئول برقراری ارتباط برنامه با سیستم عامل است . پردازش مربوط به هر برنامه ، درخواست های خود را به سیستم عامل میدهد و سیستم عامل هم موارد درخواست شده را اختیار برنامه خواهد میگذارد . پس تا اینجا متوجه شدیم که یکی از مهمترین بخش های پایه ای یک برنامه کامپیوتری ، پردازش آن میباشد . اگر به هر نحوی این پردازش از کار انداخته شود و یا خللی در ارتباط آن با سیستم عامل به وجود بیاید ، برنامه مورد نظر دیگر قادر به پاسخگویی به کاربر نخواهد بود . در اینجاست که برنامه یا به صورت کامل بسته شده و غیر فعال میشود .
همانطور که میدانید ، بدافزارها هم یک برنامه کامپیوتری هستند و پردازشی برای خود دارند . اگر به هر نحوی بتوان آن ها را از کار انداخت ، میتوان امیدوار به پاک سازی کامل آن بود .
در این مطلب سعی داریم تا روش هایی به منظور پیدا کردن و از کار انداختن پردازش های خطرناک را مورد بررسی قرار دهیم . پس با گویا آی تی همراه باشید ……….

نکته : قبل از اینکه ادامه مطلب را بخوانید ، بایستی چند برنامه کاربردی که حجم کمی هم دارند را دریافت کنید . این برنامه ها پیش نیازیهای کار هستند و استفاده از آنها ضروری خواهد بود .
ابتدا بسته نرم افزاری Sysinternal Suite که شامل تعداد زیادی برنامه کاربردی میباشد و توسط شرکت مایکروسافت عرضه میشود را از آخر همین مطلب دانلود کنید .

مرحله اول ، پیدا کردن پردازش های مشکوک و خطرناک :
قبل از اینکه کار را شروع کنیم ، ابتدا باید وضعیت خود را مشخص کنید . اگر به صورت واضح علائم آلودگی را مشاهده میکنید ( مثل از کار افتادن Task Manager ، رجیستری ، کاهش محسوس سرعت سیستم و …. ) ، باید گفت که در وضعیت خوبی قرار ندارید . اما باز هم ممکن است راه هایی باقی مانده باشد . پس نا امید نشوید و مراحل زیر را امتحان کنید .
اگر همانطور که در بالا گفته شد ، تسک منیجر شما از کار افتاده و نمیتوانید لیست پردازش ها را مشاهده کنید ، بایستی از برنامه های جایگزین آن که به مراتب بهتر نیز هستند ، استفاده کنید . یکی از این برنامه ها ، برنامه Process Explorer میباشد که در بسته نرم افزاری Sysinternal Suite وجود دارد ( نام فایل برنامه در این بسته ، procexp.exe میباشد ) .
هنگامی که این برنامه را اجرا کنید با لیستی از پردازش های جاری سیستم مواجه خواهید شد . اکنون باید به دنبال نشانه هایی باشیم که ما را به پردازش های مشکوک نزدیک تر میکنند . این علائم به چند دسته تقسیم میشوند .
۱- علائم تاثیر گذار بر کارایی سیستم : این دسته از علائم باعث تاثیر گذاری بر روند بازدهی سیستم میشوند. به عنوان مثال دسته ای از بدافزارها به دلیل فعالیت زیادی که دارند ، سرعت سیستم را به شدت کاهش میدهند و همین موضوع میتواند به ما کمک کند تا متوجه شویم که یک پردازش مشکوک است .
این برنامه دارای ستون هایی میباشد که اطلاعاتی در مورد هر یک از پردازش های به ما میدهند . در اینجا ما میخواهیم میزان تاثیر گذاری هر پردازش بر عملکرد سیستم را متوجه شویم . ستون CPU دقیقا همان چیزی است که ما به دنبالش هستیم . در این ستون میتوانید میزان استفاده هر پردازش از CPU را بر حسب درصد مشاهده کنید . میزان استفاده ی یک پردازش از CPU در حالت عادی نباید بالاتر از ۲۰ % برود . مگر اینکه آن برنامه در حال اجرای عملیات بسیار سنگینی باشد ( مثلا پردازش های گرافیکی که معمولا توان زیادی از سیستم درخواست میکنند ) که این میزان ممکن است تا ۵۰ الی ۶۰ % هم برسد . اما برای اینکه بتوانیم درصد خطای شناسایی را پایین تر بیاوریم ، باید قبل از شروع هر کاری ، اقداماتی را انجام دهیم . اول از همه اینکه همه برنامه ها را ببندید . حتی اگر میدانید که برنامه ای در پس زمینه سیستم عامل در حال انجام کاری میباشد ، آن را نیز متوقف کنید . آنتی ویروس ها در مواقعی که سیستم بیکار هستند معمولا شروع به اسکن کردن سیستم میکنند . آنتی ویروستان را طوری تنظیم کنید که این کار را انجام ندهد .
نکته : نام پردازش هایی که در تصاویر میبیند یا به آنها اشاره میشود ، صرفا جهت مثال است و این پردازش ها آلوده نیستند .
حالا در برنامه Process Explorer به ستون CPU دقت کنید . لیست را پایین آورده و ستون CPU را تحت نظر بگیرید .
11072
اگر موردی را دیدید که چیزی بیشتر از ۲۰ الی ۳۰ درصد از توان پردازنده را مصرف میکند ، لازم است که به آن مشکوک شوید . البته باید در اینجا دو نکته مهم را ذکر کنیم .
۱- پردازشی به نام System Idle Process یک پردازش سیستمی و بی خطر است که میزان بیکاری سیستم را نمایش میدهد . این عدد معمولا در حدود ۹۸ یا ۹۹% است . اتفاقا هر چه این عدد بیشتر باشد نشانه بهتری خواهد بود .
۲- بعضی از پردازش ها به صورت لحظه ای ( در حدود ۱ الی ۲ ثانیه ) درصد زیادی از توان CPU را مصرف میکنند که مشکلی نخواهد داشت و در اکثر مواقع این پردازش ها بی خطر هستند .

اکنون فرض را بر این میگیریم که پردازشی را پیدا کرده اید که مشکوک به نظر میرسد و توان زیادی از سیستم میگیرد . قبل از اینکه هر کاری به منظور مقابله با آن انجام دهید ، بهتر است راجع به آن اطلاعاتی کسب کنید . ابتدا بهتر است به مسیری که فایل اصلی مربوط به آن پردازش در آن قرار دارد ، بروید . برای پیدا کردن مسیر فایل اصلی پردازش کافیست نشانگر موس را روی آن پردازش نگه دارید تا در یک tooltip ، آدرس فایل به شما نشان داده شود .
2784
به آدرس نشان داده شده بروید . ابتدا ببینید که این آدرس آیا مربوط به یک برنامه است و یا جایی دورافتاده در بین فایل ها سیستم . اگر مربوط به یک برنامه باشد ، بیشتر میتوان به آن اعتماد کرد . مخصوصا اگر آن برنامه مربوط به یک شرکت معتبر باشد . ولی باز هم نمیتوان مطمئن بود .
حالا کافیست نام این فایل را به همراه پسوندش ( که معمولا EXE میباشد ) در یک موتور جستجوی اینترنتی مثل گوگل ، جستجو کنید . اگر این فایل آلوده باشد ، به احتمال ۹۰ % کاربران زیادی قبل از شما در این مورد بحث کرده اند و شما میتوانید با مطالعه اطلاعات مربوط به این فایل ، خود را به ماهیت اصلی آن نزدیک تر کنید .
گام بعدی که میتواند مدارک بیشتر مبنی بر آلوده بودن فایل را به ما بدهد ، استفاده از برنامه های امنیتی مثل آنتی ویروس هاست . اگر یک آنتی ویروس آپدیت شده دارید ، سریعا فایل را اسکن کنید . در صورتی که به نتایجی که آنتی ویروستان نشان میدهد زیاد اطمینان ندارید ، میتوانید از سرویس های بسیار کارآمد و مفیدی مثل Virustotal استفاده کنید . کافیست به این سایت بروید و فایل مورد نظر خود را توسط بیش از ۴۰ آنتی ویروس ( در زمان نوشته شدن این مطلب ) مورد بررسی قرار دهید . مطمئنا این روش به شما کمک شایانی خواهد کرد .

۲- ارتباطات اینترنتی مشکوک : این مورد اصلا چیز جالبی نیست و باید خیلی سریع تصمیم خود را اتخاذ کرده و وارد عمل شوید . از این به بعد شاید بهتر باشد که ارتباطات اینترنتی خود را چک کنید . به عنوان مثال چه برنامه هایی با اینترنت در ارتباط هستند . به منظور انجام اینکار میتوانید از برنامه های مانیتورینگ شبکه و اینترنت استفاده کنید . این برنامه ها معمولا لیست تمامی برنامه هایی که با اینترنت در ارتباط بوده اند و یا در حال حاضر هستند را در اختیار شما میگذارد . پس از اینکه لیست برنامه ها را مشاهده کردید و احیانا مورد مشکوکی را دیدید ، کافیست مانند روش بالا شروع به تحقیق در مورد برنامه ی مورد نظرتان کنید . در اینترنت جستجو کنید . راجع به خود فایل اطلاعات کسب کنید .

اگر پس از تحقیقاتی که انجام دادید ، متوجه شدید که این پردازش یک پردازش مشکوک و خطرناک است که در حال خرابکاری و یا سرقت اطلاعات شماست ، میتوانید عملیاتی در جهت مقابله با آن انجام دهید .
ابتدا باید ارتباط این سری پردازش ها را با سیستم قطع کنید . کافیست در پنجره Process Explorer روی پردازش مشکوک راست کلیک کرده و گزینه Kill Process را انتخاب کنید . پیغامی نیز ظاهر خواهد شد که باید دکمه OK را بزنید .
3647
مرحله بعدی اینست که اجازه اجرای مجدد را به آنها ندهید . اجرای مجدد را میتوان با چند روش محدود کرد . اگر اجرا مجدد در هنگام راه اندازی مجدد سیستم در نظر بگیریم ، باید آن فایل را از لیست autorun ها حذف کنیم . شما میتوانید در بسته Sysinternal ، برنامه autoruns را اجرا کنید . لیستی بسیار کاملی در اختیار شما قرار خواهد گرفت و میتوانید تمامی برنامه هایی که در هنگام راه اندازی مجدد سیستم عامل اجرا میشوند را مشاهده کنید . به دنبال همان فایل یا فایل های مشکوک بگردید و آن را از لیست حذف کنید .
اما اگر میخواهید مانع از اجرای مجدد آن پردازش در هر شرایطی شوید ، باید آن را به اصطلاح به لیست سیاه اضافه کنید . معمولا بیشتر برنامه های امنیتی مثل آنتی ویروس ها و فایروال ها چنین امکانی را به شما میدهند . کافیست فایل مورد نظر خود را به لیست سیاه اضافه کنید تا در هر شرایطی مانع از انجام اجرای مجدد آن شوید .
دانلود بسته نرم افزاری Sysinternal Suite