CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Sådan afslører du mistænkelige processer

Find ud af, om systemprocesser er ondsindede eller nyttige. Hvad er det helt nøjagtigt, der foregår under kølerhjelmen i din Windows 7-installation?.

15. august 2012 kl. 08.30

Af Torben Okholm, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Windows 7 er et stort operativsystem med en effektiv arkitektur, men dets indre verden af processer og tjenester kan være et forvirrende område, hvis man ikke er vant til det. Hvis man ikke ved, hvad man ser på, kan malware nemt forklæde sig som legitime processer, og legitime processer kan virke så skræmmende, at man dræber dem, smadrer systemet og mister data.

Hertil kommer problemet med anti-malwarebeskyttelse eller Windows, der leverer advarsler om processer, som kræver ens tilladelse til at bruge ressourcer. Bliver maskinen inficeret, hvis man accepterer anmodningen, eller går det endnu værre?

Et hierarki af processer

Når man vil finde ud af, om en proces er godartet eller ondsindet, er det godt at forstå noget af den struktur, der ligger bag en kørende installation af Windows 7. Efter at man har startet pc’en, og den gennemgår sine egne test, indlæser bios master boot-record’en fra harddisken og kører den. Den indlæser og kører så Windows 7’s kerne-image, der begynder at udpakke de andre processer, der skal være med til at oprette alle de processer, der udgør et operativsystem.

Alle moderne operativsystemer har et hierarki af processer. I Windows 7 er der som regel tre eller fire processer på topniveau. En af disse processer hedder wininit, og dens umiddelbare efterkommer (den proces, som den personligt sætter i gang) hedder services.exe. Som man kan forvente, er det denne proces’ opgave at igangsætte underprocesser, der kører som uafhængige tjenester i baggrunden.

Der indtræder imidlertid ofte en vis forvirring i brugerens bevidsthed i forbindelse med denne tilsyneladende enkle opgave. Forvirringen skyldes, at ’services.exe’ starter flere udgaver af en proces, der hedder ’svchost.exe’. Søg efter begrebet, og du vil finde mange forum-tekster fra bekymrede brugere, der spørger, om deres pc er blevet overtaget af malware, og som beder om hjælp til at aflive alle disse processer. Det er imidlertid normalt at have mange udgaver kørende parallelt, og hvis man slukker dem, kan det beskadige det kørende operativsystem. Hvis det sker, skal man genstarte, og det kan føre til tab af data eller sågar beskadigelse af harddisken.

Når der er så mange forekomster af svchost.exe, skyldes det, at de starter processer, der kører fra dll’er, ikke fra exe-filer. Disse processer bliver af hensyn til effektivitet, hastighed og systemets alsidighed fordelt på de mange forekomster af svchost.exe.

Service.exe starter også mange andre tjenesteprocesser, der kører direkte fra exe-filer. Det drejer sig om tjenestedelen af ens anti-malwareprodukter, opdateringer til tredjepartsprodukter og Windows 7 og om tjenes-ter til strømstyring og Tilmeldingsassistent til Windows Live.

En anden proces, der forårsager forvirring og frygt hos mange brugere, er det uskyldige Search Indexer.exe. Når harddisklampen lyser i længere tid, er det normalt at bekymre sig om, hvad der foregår, men det skyldes som regel denne godartede og nyttige del af Windows 7. Den indekserer simpelthen alle ens filer til brug i Windows Search. Dens indeks bliver brugt, når man skriver et filnavn i Startmenuens søgeboks, og når man søger efter filer i Stifinder. Den bliver også brugt af Windows 7’s Biblioteker-funktion.

En anden vigtig topniveauproces er explorer.exe. Denne proces kører Windows 7’s desktop og er moderprocessen for alle ens kørende applikationer, herunder dem, der ligger i proceslinjen, klar til brug.

Få en bedre visning

Traditionelt får man processer, tjenester og ap- plikationer vist ved hjælp af Jobliste. I Windows 7 åbner man den ved at trykke [Ctrl]+[Alt]+ [Del], hvorefter man vælger den i menuen. Jobliste sorterer komplette applikationer, underliggende systemprocesser og tjenester på tre faner, men den viser ikke det hele. Hvor er alle disse svchost.exe-processer? Jobliste skjuler meget for en, og når man undersøger systemaktiviteten, bør man undgå denne begrænsede visning af det, der foregår.

En bedre løsning består i at downloade og køre vores gamle ven Process Explorer, som man kan få af Windows Sysinternals-forfatteren Mark Russinovich. Process Explorer kræver ingen installation. Du udpakker blot arkivet og trækker filerne ind i en passende mappe. Når du skal køre programmet, højreklikker du på dets ikon og vælger ’Kør som administrator’. Når du starter på denne måde, får Process Explorer større adgang til vigtige oplysninger. Klik ’Yes’ på det ’User account control’-vindue, der dukker op.

Hvis du kører på en 64bit-cpu, vil du bemærke, at der pludselig viser sig endnu en eksekverbar fil i den mappe, der indeholder Process Explorer. Den hedder procexp64 og er en wrapper, som den oprindelige 32bit-fil opretter med henblik på kørsel på en 64bit-maskine. Det er en midlertidig fil, og den bør forsvinde, når du lukker det kørende program. Du kan dog være nødt til at trykke [F5] for at opfriske mappevisningen, så du kan se, at den er væk.

Process Explorer virker ens i 32bit- og 64bit-miljøer. Den giver langt flere detaljer end Jobliste, og den kan håndtere opgaverne lige så godt som Windows 7’s bud. Du begynder med at klikke i søjlen ’Process’, indtil visningen bliver ændret til et indrykket hierarki. Det gør det nemt at se, hvilke processer der er ophav til andre processer. Wininit er for eksempel ophav til en lang række processer, herunder de mange forekomster af svchost.exe.

Nu har vi et bedre overblik over det kørende operativsystem, og vi kan begynde at lede efter ondsindede processer, der foregiver at være legitime. Med alle disse svchost-processer i gang er det relativt nemt for malware at kalde sig selv noget, der ligner svchost for den utrænede iagttager. Den kan for eksempel kalde sig svch0st.exe (med et nul), svhost.exe (uden c’et) eller en anden kombination af bogstaver og tal, der snedigt efterligner det originale filnavn. De er alle ondsindede bedragere. Det er nemmere at afsløre disse filer, hvis du klikker i overskriften i søjlen ’Process’, indtil der kommer en alfabetisk liste.

Hvis du vil have flere oplysninger om en proces, skal du dobbeltklikke på den. Du kan bekræfte, at der ikke er blevet fusket med processen, eller at den ikke er inficeret med malware, ved at vælge ’Image’. Ved siden af processens ikon står ordene ’Not verified’. Hvis du klikker på ’Verify’-knappen, verificerer du dette image over for en gemt signatur. Process Explorer bruger den kørende proces til at generere sin egen signatur og sammenligner de to. Hvis de stemmer, ændrer programmet teksten, så der står ’Verified’. Når du verificerer images, skal du især holde øje med processer, der ikke er nævnt i kolonnen ’Company name’, dem med tomme eller meningsløse beskrivelser og dem, hvis navne er et rodsammen af bogstaver.

Hvis verifikation af en tilsyneladende legitim proces afføder meddelelsen ’Unable to verify’, skal du ikke lade sig gribe af panik. Sandsynligvis er producenten ikke en verificeret image-undeskriver. Visse former for meget gammel software, for eksempel Microsoft Office 2000, har ingen signatur at verificere imod, og det fører til meddelelsen ’Unable to verify’. I disse tilfælde har Process Explorer en fiks funktion, der tjekker en kørende proces’ validitet på baggrund af den generelle viden blandt brugere af Windows 7.

Højreklik på en mistænkelig proces, og vælg ’Search online’. Nu bliver din browser åbnet, og Process Explorer gennemfører en onlinesøgning. En særlig god kilde til viden om alle processer er www.processlibrary.com.Hvis dette site ikke er med i søgeresultaterne, kan du med Google Search føje strengen site:www.processlibrary.com til slutningen af søgningen for at få resultater fra dette site.

En anden god metode til at verificere, at en proces er malware, består i at undersøge den sti, der fører til dens eksekverbare fil. Ved at dobbeltklikke på en mistænkelig proces og klikke på ’Image’ kan du se den fulde sti til den eksekverbare fil, mulighederne for at starte processen og den arbejdende mappe, den bruger. Systemmapper i Windows 7 er alle godt beskyttet som standard, og eventuel malware skal derfor bruge en midlertidig mappe uden for systemområdet. Enhver proces, der ikke er en applikation, du har startet (eller en tjeneste i forbindelse med en applikation, du har startet), og som viser en sti eller en arbejdende mappe uden for c:Windows-mappetræet, bør betragtes som potentiel malware, navnlig hvis den bruger Temp-mappen.

Udspioner spyware

Når du vil afgøre, om en proces er ondsindet, er det en god ide at finde ud af, hvad den er forbundet med. Hvis en botnet-klient for eksempel har inficeret din computer, skal den regelmæssigt ringe hjem for at modtage ordrer.

I Process Explorer skal man dobbeltklikke på den mistænkelige proces og derefter kikke på ’TCP/IP’. Når du vil konvertere de opregnede ip-adresser til dns-navne, skal du sikre dig, at boksen ’Resolve Adresses’ er valgt til. Noter alle ukendte sites, og søg efter dem online.

Mange af de processer, man undersøger på denne måde, lytter til den lokale maskine. Det kan man se, idet den lokale eller fjerne adresse ikke er et eksternt dns-navn, men i stedet pc’ens navn, et kolon og derefter portnummeret. Mange processer bruger porte til at kommunikere lokalt. Det er der ikke noget galt i.

Sommetider kan normale processer gå amok og pludselig overtage næsten 100 procent af cpu-tiden. Hvis du har en dual core-processor eller nyere, kan du stadig få adgang til systemet og stoppe processen med Process Explorer. Det er en god ide at holde Process Explorer åben i baggrunden i nogle dage for derved at få en fornemmelse for, hvad der er normalt for ens pc på baggrund af typisk brug. Du kan se din anti-malware opdatere sig selv, afsløre, hvad der bruger mest cpu-tid, se de applikationer, der sluger mest hukommelse og meget mere.

Du kan også føje kolonner til skærmbilledet ved at højreklikke på en kolonneoverskrift og vælge ’Select columns’. Rækken af kolonner dækker hukommelse, disk- og netværksbrug, tråde, dll’er og endda .net-komponenter.

Rootkits er malware, der giver indtrængende og ondsindet materiale vedvarende adgang til en computer. Det, der gør dem virkelig farlige, er, at de er gode til at gemme sig for anti-malware-software, der ikke er forberedt på rootkits. De opfanger som regel systemkald til funktioner, der returnerer lister over kørende processer, og redigerer sig selv uden for disse data.

Heldigvis findes der adskillige gratis produkter, der kan scanne pc’en for rootkits. Et af dem er GMER, som du kan downloade fra www.gmer.net. Brug knappen ’Download EXE’ til at downloade GMER. Det genererer et vilkårligt filnavn. – Meningen er, at ethvert aktivt rootkit, der leder efter GMER, bør ignorere en vilkårligt navngivet exe.

Efter download dobbeltklikker du på filnavnet og giver det tilladelse til at køre. Scanningen er færdig i løbet af nogle minutter, og standardvinduet bør være tomt, hvis scanningen ikke afslører nogen rootkits. Hvis den opdager et, beskriver den infektionens væsen.

Øverst i brugerfladen er der en fane med ’>>>’. Klik her for at få vist flere faner, der dækker scanningens aktiviteter for at afsløre ondsindede processer, tjenester, filer, registreringsdatabasetekster og så videre. Hvis der bliver afdækket noget upassende, bliver den ondsindede aktivitet markeret med rødt, og GMER vil prøve at fjerne infektionen.

Kan du være stensikker på, at din computer ikke rummer malware? En metode består i at opbygge hardwaren fra grunden, indlæse softwaren fra legitime dvd’er og aldrig gå på internettet, men det begrænser maskinens anvendelighed betydeligt.

Problemet er, at malware til stadig flytter grænserne. Hvis man er online, kan man ikke vide, om en infektion, der er krøbet ind, før man indførte malwarebeskyttelse, undergraver systemkald, således at ens beskyttelse er uvidende om infektionen.

En fremgangsmåde består i at bygge endnu en computer og kun indlæse operativsystemet og anti-malwaresoftware. Fjern derefter den disk, du vil scanne, fra den suspekte computer, og tilføj den som endnu en disk på den anden pc. Scan den, og verificer, at den er virusfri. Du kan også vælge at oprette en virtuel pc med VirtualBox og installere antivirussoftware på den. Den virtuelle pc er midlertidig og ren. Formålet er at give den adgang til computerens fysiske harddisk og lade den scanne efter malware.

Process Explorer har nogle fikse funktioner til procesmanipulation gemt væk i kontekstmenuerne.

Hvis du er så heldig, at du har en computer med mere end en cpu, eller med en cpu med flere kerner, kan du lade en proces få forrang frem for andre. Det kan sommetider forbedre effektiviteten.

Som standard har processer lov til at køre på enhver tilgængelig processor eller kerne. Det kan du tjekke ved at dobbeltklikke på en proces og vælge ’Set affinity’. Det heraf følgende undervindue opregner 64 cpu’er, nummereret fra nul (Process Explorer skelner ikke mellem kerne og fysisk mikroprocessor). De fleste af dem er grå, men de andre er markeret i deres afkrydsningsbokse. Når du fravælger en, betyder det, at de eksekveringstråde, der bliver kørt af processen, ikke kører på den cpu.

Process Explorer kan også indstille en proces’ prioritet. Applikationer, der kræver masser af cpu-tid, kan nyde godt af en højere prioritet, mens applikationer, der bruger for megen cpu-tid, kan tæmmes med en lavere prioritet. Det er navnlig nyttigt på enkeltprocessorer, single-kerne-pc’er.

Nogle former for malware kan opsnappe systemkald og bruge den evne til at skjule sig selv ved at lukke Windows 7’s Jobliste, så snart den bliver åbnet. Det er et primitivt forsøg på at forhindre brugeren i at afsløre og stoppe malwarens processer. Hvis du prøver at køre Jobliste, og det sker, er tiden inde til at køre en komplet antivirusscanning på computeren.

Tag det med ro

Selvom du er sikker på, at du har med en malwareinfektion at gøre, skal du ikke blot slette eller omdøbe systemfiler i håbet om, at det gør situationen bedre. Sandsynligheden taler for, at du gør tingene meget værre, og du risikerer, at Windows ikke kan boote. Lad altid et velrenommeret anti-malwareprodukt rense dit system i stedet for at prøve at gøre det selv. Hvis det ikke opdager noget, selvom du er sikker på, at pc’en er inficeret, kan du prøve at installere et gratis alternativ for at få en frisk undersøgelse.

Systemet er passivt

Din computers cpu udfører instruktioner med imponerende hastighed, men hvad nu, hvis den ikke har noget at lave? Ledig systemproces overtager cpu’en, når der ikke er nogen processer, der har brug for den. På grund af strukturen i moderne operativsystemer er der brug for ledig systemproces til at holde cpu’en beskæftiget ved at udføre instruktioner, der bringer den i en tilstand med lavt strømforbrug, indtil en anden proces har brug for den.

Du kan få Process Explorer fra http://www.snapfiles.com/get/processexplorer.html.

Download den gratis rootkit-detektor og systemrenser GMER fra www.gmer.net.

Process Library er et gratis website, der opregner stort set alle de processer, man kan forvente at finde på en kørende Windows-pc: www.processlibrary.com.

Sitet Windows Sysinternals er en guldmine af nyttige systemfunktioner, der kan undersøge en Windows-computer.

En nyttig Technet-side, der afmystificerer brugen af virtuel hukommelse i Windows, så man bedre kan forstå Process Explorers hukommelsesstatistik: http://support.microsoft.com/kb/2267427.

[themepacific_accordion]
[themepacific_accordion_section title="Fakta"]

Det skal du bruge

[/themepacific_accordion_section]
[/themepacific_accordion]



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
Laura Klitgaard
Laura Klitgaard
opinion
Jonathan Løw
Jonathan Løw
Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?
Læs indlæg
Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Artikel teaser billede

David Guldager

Guldager: Jeg har bare tre enkle ønsker til min næste bil

Artikel teaser billede

Jacqueline Johnson

Dansk IT: Hvad du som CIO bør vide om AI Act

Artikel teaser billede

Andreas Holbak Espersen

Derfor er den nye digitale taskforce det helt rigtige initiativ

Mest læste klummer og blogs
Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op
Klumme: ChatGPT opfører sig som en høflig og tålmodig, amerikansk DJØF'er, og den vil SÅ gerne please os. Der er stadig brug for os.
Af: Mogens Nørgaard
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Klumme: Nutidens AI-modeller aner ikke, hvad det vil sige at være et menneske eller en menneskelig samtalepartner, men udnytter blot de dybe mønstre, som de har fundet i sproget. Faktisk vil jeg argumentere for, at man skal til at designe fremtidens AI helt anderledes, end man gør i dag
Af: Erik David Johnson
Dansk IT: Hvad du som CIO bør vide om AI Act
Klumme: I marts blev EU’s forordning om AI endeligt besluttet. Dele af den træder i kraft til efteråret og resten i løbet af 2026. Men det betaler sig at have en grundig forståelse af de mest betydningsfulde dele allerede nu. Her er fire områder, hvor I bør være ekstra opmærksomme.
Af: Jacqueline Johnson
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion Erik David Johnson
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Læs indlæg

Premium
Teaser billede
“Den investering, som jeg dengang foretog i krypto, er blevet mangedoblet. I dag er de 10.000 dollar blevet til 1,4 millioner kroner”
Læs mere »
Danske CloudNordic går konkurs efter stort ransomware-angreb
Efter ballade: Comm2ig skal levere computere til danske skoler med kæmpeordre til 629 millioner kroner
Afgørelse: Rejsekorts kæmpeaftale med Netcompany og Trifork bliver tvangs-ophævet - stor regning venter
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
Test af ny generation af video-overvågning: Her tilbydes de bedste features – nu til en skarpere pris
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Se alle »
CIO
Teaser billede
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Stort angreb skyller ind over en lang række VPN-tjenester: Løsninger fra Cisco, Fortinet og andre ramt
Danfoss er i fuld gang med stor SAP-transformation: Særligt setup skal sikre, at selskabet forbliver herre i eget hus
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Får havudsigt: IBM Danmarks 700 medarbejdere flytter til nyt hovedkvarter om få dage
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Fujitsu Danmark fyrer medarbejdere og udfaser al nysalg af cloud
Se alle »
White paper
Teaser billede
Vejen væk fra WAN: Sådan skifter du til en moderne infrastruktur
Læs mere »
Sådan høster du forretningsfordelene ved Internet of Things
MDR: Transparent sikkerhed og overvågning i realtid
SASE: Træf det rette valg – første gang
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »