Sledování prostředků aneb prověřujeme běžící služby ve Windows

Publikováno: 06. 06. 2017, v rubrice: Bezpečnost, autor: , zobrazeno: 7 931x

Cílem tohoto příspěvku je popsat, jak zjistit, co nejvíce zatěžuje CPU, zaplňuje RAM, intenzivně zapisuje na disk a komunikuje po síti.

Co nejvíce zatěžuje procesor a spotřebovává paměť, zjistíte celkem snadno ve správci úloh. Ten můžete vyvolat např. trojhmatem CTRL+SHIFT+ESC.

Na záložce „Procesy“ jsou zobrazeny všechny aktuálně běžící procesy a u každého je i uvedeno, kolik spotřebovává paměti a na kolik procent vytěžuje procesor. (Pokud vidíte volbu „Zobrazit procesy všech uživatelů“, zaškrtněte ji.)

Krátce po zapnutí počítače se může zatížení procesoru blížit ku 100 %, neboť mohou probíhat nejrůznější kontroly, a také mohou být stahovány důležité aktualizace. Ovšem po několika minutách by mělo vytížení procesoru na počítači, na kterém nic neděláte, podstatně klesnout a mělo by dosahovat maximálně několika jednotek procent.

Pokud se však zatížení procesoru dlouhodobě pohybuje přes několik desítek procent, a rovněž i paměť je zvětší části zaplněna a to i v okamžiku, kdy se již žádné aktualizace nestahují, a ani nejsou spuštěny žádné aplikace, tak není něco v pořádku, a je vhodné prověřit, které procesy se na tomto zatížení podílejí.

Detailní informace o těchto procesech získáte, když spustíte program „Sledování prostředků“ a procesy si seřadíte podle toho, jak zatěžují procesor. Následně pak můžete zaškrtnutím označit proces, který budete dále analyzovat. Zobrazí se vám, do jakých souborů daný proces zapisuje a z jakých souborů čte, na jaké adresy komunikuje a jak využívá paměť, a co nás bude zajímat asi nejvíce, jaké další služby spouští.

Můžete zde sledovat, co přesně dělá Windows po startu a jak moc samotný systém zatěžuje procesor, a zjistit tak, že např. příčinou zpomalení vašeho počítače je samotná aktualizační služba Windows, která spouští několik dalších procesů, které otvírají desítky souborů pro čtení a zápis a to na poměrně dlouhou dobu.

Měli byste prověřit, co se spouští se startem počítače, mohlo by se jednat o malware, který antivirus nedetekuje, ale i o ne nezbytně nutný SW. To je možné provést tak, že ručně projdete všechna místa, odkud se služby spouští, ale stejně tak můžete použít i nějaký nástroj, např. autoruns, který to provede za vás a zobrazí vám seznam všech běžících služeb. (Nezapomeňte se také podívat do seznamu naplánovaných úloh.)

Zaměřte se proto na běžící služby, a pokuste se zjistit, k čemu slouží a odkud se spouští a pokud chcete mít jistotu, zkontrolujte je antivirem anebo je nahrajte na VirusTotal. Dost často se jedná o nejrůznější utility, které nepotřebujete, a proto můžete jejich spouštění zakázat a případně je i odinstalovat.

Onou na pozadí běžící službou však může být i škodlivý kód, který se může vydávat za legitimní službu Windows, různě se maskovat, nebo dokonce injektovat do jiného běžícího procesu, takže ho ve správci úloh v seznamu běžících procesů neuvidíte.

Problém je, že škodlivý kód dokáže obelstít i antivirus, takže to, že váš antivirus žádný škodlivý kód ve vašem počítači nenašel, ještě neznamená, že tam žádný není. A např. zpomalení počítače může být příznakem toho, že se škodlivý kód ve vašem počítači nachází. Zde je vhodné provést hloubkovou analýzu podezřelého počítače.

Poznámka: Škodlivý kód se do vašeho počítače může dostat i přesto, že dodržujete veškeré bezpečnostní zásady, tedy že pracujete pod účtem s omezenými právy, používáte nějaký antivirus, udržujete software na vašem počítači aktuální, chodíte jen na bezpečné stránky, otvíráte přílohy e-mailů pouze od známých osob, instalujete software jen z důvěryhodných zdrojů a připojujete k němu jen vlastní USB zařízení.

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print
Související články:
  1. Jak zrychlit počítač s Windows?
  2. Jak si zajistit persistenci v systému Windows
  3. Podpora Windows XP skončila, je to důvod k okamžitému přechodu na jiný systém?
  4. Podíl Windows 10 v zemích Oceánie, Eurasie a Eastasie roste
  5. Poweliks je perzistentní malware, který se nachází jen v registrech Windows

Štítky:


K článku “Sledování prostředků aneb prověřujeme běžící služby ve Windows” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Témata
analýza rizik Android APT autentizace bankovní malware bezpečnostní incident buzzword BYOD cloud computing cybercrime DLP Flash GDPR hodnocení zranitelností HR hrozby informační bezpečnost internetové bankovnictví internetový marketing iOS IT governance IT náklady kryptografie kybernetická bezpečnost LinkedIn lámání hesel malware n-tier nové hrozby OTP phishing ransomware rizika rozhovor SEO smartphone socialní sítě strategický management tablety Testování SW Windows zranitelnosti zákon o kybernetické bezpečnosti řízení informační bezpečnosti řízení informačních rizik