使用taskmanager可以检测到病毒吗？

如果我的系统上有正在运行的病毒，我可以在taskmanager中看到该过程吗？我的意思是，正在运行的病毒是否有可能绕过任务管理器，因此该过程不会出现在Windows7的任务列表中？

或者换句话说。如果现在我真的真的可以安全地管理taskmanager中的所有进程，那么我也知道我的PC干净吗？

不，通常不。任务管理器（和操作系统的其他部分）本身可能会受到威胁，从而隐藏病毒。这称为rootkit。

如果我现在真的要确保Taskmanager中的所有流程都是安全的

您永远无法知道taskmanager中的所有过程都是安全的。病毒使用系统组件的名称是有原因的，有时甚至会取代它们。

使用防病毒软件。

防病毒软件只能检测到这么多（“在2011年第4季度，遇到的Web恶意软件中有33％是零日恶意软件，在遇到恶意软件时，传统的基于签名的方法无法检测到”），来源：http：//blogs.cisco.com / security / cisco-4q11-global-threat-report /）。

经过一些培训，您就可以检测到某些恶意软件，因为它们以某种特定方式运行，这与操作系统上常见的行为有所不同。可能是网络流量增加，CPU使用率增加，磁盘访问异常或其他原因。恶意软件不仅可以通过任务管理器检测到的单个二进制文件形式获得，而且还可以作为附加到其他进程的动态库（dll）获得。

您可以使用Sysinternal Suite中的诸如Process Explorer这样的任务管理器来了解系统上正在运行什么的线索，并且可以使用同一套件中的Process Monitor之类的东西来观察系统上发生的事情。习惯使用工具并注意“奇怪”的迹象：

• 未签名的二进制文件（可执行文件或dll）
• 奇怪的写入奇怪的文件
• 网络活动异常

（“奇怪”部分是您需要进行的区分“正常”和“奇怪”的训练）

Sysinternal Suite的作者展示了使用上述工具的一些巧妙方法：

https://www.youtube.com/watch?v=7heEYEbFim4

因此，是的，您可以使用体面的任务管理器来检测某些恶意软件。恶意软件越复杂，检测起来就越容易。如果恶意软件试图检测使用诸如Process Explorer之类的任务管理器，则您可能甚至需要采取高级步骤，例如使用其他“ 会话 ”来检测奇怪的行为，但是仍然可能。

无法从任务管理器检测病毒。

有几种病毒。病毒，特洛伊木马，rootkit，广告软件/ puk等。某些病毒对任务管理器隐藏起来。因此，它不会出现在任务管理器中。

我建议您停止在任务管理器中寻找并安装防病毒软件。

如何：访问Windows®事件查看器？

1. 按Image + R并键入“ eventvwr.msc”，然后单击“确定”或按Enter。
2. 展开Windows日志，然后选择安全性。
3. 在中间，您将看到一个列表，其中包含日期和时间，源，事件ID和任务类别。任务类别几乎解释了事件，登录，特殊登录，注销和其他详细信息。

如今，病毒非常复杂。这意味着他们可以对任务管理器隐藏自己，运行自己的多个副本（以防删除一个副本）以及更多的技巧。根据定义，病毒也将自身注入系统进程以隐藏自身。

通常，仅通过识别正在运行的异常进程，通常就可以很容易地检测出恶意软件。但是，病毒通常通常只能通过将其有效负载注入目标进程来进行识别。

因此，防病毒实际上是唯一可以准确检测到……病毒……的东西！

从程序员的角度来看，我建议您尝试使用Windows API以及API挂钩学习编程。

OS内核会保留一个表，其中包含您需要识别和连接的本机API函数。然后，您的钩子将重定向并修改/过滤输出。这段代码必须在内核空间上运行，并且为了控制它（即加载/停止），您还必须在用户空间上拥有一块软件。尽管这些在用户空间上也是可能的，但现代AV很有可能将其标记为某种恶意活动。

该方法将是钩一段代码以拦截API调用（即，NtQueryDirectoryFile（）），以便您修改/过滤输出-一种中间人方法。在用户空间上运行的进程（即TaskManager，Windows Explorer，Process Explorer）将仅显示由您的钩子提供的筛选后的输出...而且，ACL在此层没有电源

当然，现代的AV也有在内核空间上运行的代码，和/或PATTERN MATCHING（还记得什么时候将AV更新称为AV Patterns Update？），以检测并防止此类恶意钩子。