Кратко: Task Manager показывает лишь вершину айсберга. Скрытые процессы, трояны под видом системных служб и автозагрузки — всё это скрыто от глаз. Чтобы разобраться, нужны правильные инструменты: Process Explorer, Autoruns и Sysmon. Это рентген, показывающий не только кости, но и то, что под ними.

▫️ Process Explorer: Task Manager на стероидах Process Explorer от Microsoft Sysinternals показывает то, что скрывает Task Manager: · Дерево процессов: Кто кого запустил. Если svchost.exe запущен из папки пользователя, а не из C:\Windows\System32 — это аномалия. · Цветовая маркировка: Жёлтый — .NET, розовый — службы, циан — UWP-приложения. Помогает быстро ориентироваться. · Нижняя панель: Handles показывает, какой процесс заблокировал файл. Modules — все DLL в процессе (обнаружение инъекций). · VirusTotal интеграция: Проверка хеша любого процесса прямо из интерфейса. Пример: Подозрительный svchost.exe жрёт ресурсы. Process Explorer показывает его путь и родителя. Если он запущен не из System32 или родитель — explorer.exe (а должен быть services.exe) — это маскировка.

▫️ Autoruns: Всё, что грузится при старте Task Manager показывает лишь малую часть автозагрузки. Autoruns показывает всё: службы, задачи планировщика, драйверы, расширения оболочки. · Hide Microsoft Entries: Оставляет только сторонние элементы, по которым легко заметить подозрительные записи, неподписанные или указывающие во временные папки. · Безопасная очистка: Сначала снять галку с записи, перезагрузиться, убедиться, что всё работает — и только потом удалять.

▫️ Sysmon: Подробные логи для расследования Sysmon создаёт подробный журнал событий: создание процессов (с полной командной строкой и хешами), сетевые подключения, создание/удаление файлов, изменения реестра. Всё это попадает в Event Viewer, давая материал для расследования.

▫️ Как применить на практике Медленная загрузка: Autoruns → Hide Microsoft Entries → отключить лишнее → перезагрузка. Подозрительный процесс: Process Explorer → найти процесс → посмотреть путь и родителя. Подозрительный путь или необычный родитель → проверить файл на VirusTotal. Непонятная активность: Запустить Sysmon со стандартным конфигом → изучить логи в Event Viewer на предмет подозрительных событий.

Главный вывод: Встроенные инструменты Windows — лишь верхушка айсберга. Process Explorer, Autoruns и Sysmon — минимальный набор для каждого, кто хочет понимать, что происходит в системе. Умение отличить системный процесс от маскировки — ключевой навык безопасности Windows.

#windows #sysinternals #processexplorer #autoruns #sysmon #безопасность #форензика