恶意软件和Windows 7

Question

我试图进入一个新的军事专业，为网络社区，我有一些困难，对一些问题的调查问卷。我遇到的两个问题如下。我愿意阅读其他网站找到答案。

1. 如何使用通过Tasklist或Pslist查看的Windows进程列表来识别恶意进程？找出至少3种方法。
2. 一段恶意软件通过进程注入在Windows 7计算机上运行，因此它不会出现在进程列表中。什么样的远程法医技术可以用来发现恶意软件在特定进程的内容下运行？

Answer 1

1. 您可以发现以下进程：
   • 有一个与正式命名的process相似的名称-示例: svch0st而不是svchost，解释器资源管理器
   • 有随机生成的名字-例如: fh74w7ha，xf8f4a34，m599j42k。
   • 没有足够的/不准确的一般描述-例如:文件

2. 通过学习可以检测到P.I.恶意软件：
   • 父-子进程关系(例如:进程相应命名，但不是由winlogon.exe或wininit.exe启动，而是由另一个进程启动)
   • 使用可疑内存保护(PAGE_EXECUTE_READWRITE -有时位于一个圆形地址，如0x1000000)。
   • PEB与VAD结构(进程内存与内核内存)的比较