Processi utente Windows in esecuzione come child di explorer.exe

Naviga le tue risposte
1

Ho sentito che una delle indicazioni di un processo dannoso è se un processo non è in esecuzione come figlio di explorer.exe

Qual è la ragione di ciò?

Da quanto ho capito, ogni volta che avvio un eseguibile, avrà il PID di explorer.exe come se fosse un PPID. Solo i servizi sembrano avere un altro processo genitore.

    
posta netik 02.02.2017 - 10:42
fonte

1 risposta

1

Non l'ho mai sentito, ma ha perfettamente senso: un rootkit verrà eseguito anche senza essere un figlio di explorer.exe, per definizione. Se il sistema di controllo del processo di Windows può vederlo, non è un rootkit.

Non so quanto siano comuni ora, ma in passato erano infestazioni popolari.

    
risposta data 02.02.2017 - 14:46
fonte

Leggi altre domande sui tag

Può un WAF bloccare o rilevare il file html creato e lo script / shell PHP offuscato L'RBAC non è solo un'implementazione di MAC?