Anche se Windows 10 ha un Task manager, o Gestione Attività, dove possiamo vedere, e gestire, tutti i processi attivi nel computer in quel momento, molto spesso questa funzione viene presa di mira dai malware e disattivata perché possano nascondersi meglio e non rivelare la loro presenza. Un buon sostituto, con una marcia in più, per vedere tutto quello che è attivo nel computer, è Process Explorer programma portable scaricabile da questo indirizzo, attualmente è arrivato alla versione 17.06.
Basta estrarre il contenuto dell'archivio e avviare l’eseguibile corrispondente alla versione, 32 bit o 64 bit, del proprio sistema operativo, la prima volta che lo utilizzate in un computer vi chiederà di accettare la licenza premendo il pulsante Agree
, poi non lo richiederà più nello stesso computer.
Avviate l’eseguibile di Process explorer come amministratore e ora compare la lista di tutti i processi attivi con le informazioni relative a essi.
Cliccando con il tasto destro del mouse sul singolo processo lo possiamo chiudere (Kill Process
), riavviare (Restart
) o avviare una ricerca Online per capire se si tratta di un malware o se è tutto regolare.
Potete anche leggere le proprietà del singolo processo in modo da ottenere numerosi dettagli su di esso.
Dalle Options
del programma è possibile sostituire Process Explorer al Task Manager di Windows (manca però la possibilità di ripristinare il Task Manager originale quindi in fondo all’articolo spiego come fare per tornare ai valori originali), mentre da View
si possono visualizzare altre informazioni o i grafici di quanto è impegnato il sistema con la sua CPU e memoria RAM.
Significato colori
Process Explorer evidenzia alcune righe con colori diversi, personalizzabili da Options – Configure Colors, vediamo cosa indicano:
Verde
(New Objects) indica un nuovo processo appena avviatoRosso
(Deleted Objects) un processo che è stato chiuso tramite Process ExplorerIlRosa
(Services) un servizio di WindowsGrigio
(Suspended Process) un processo sospeso in attesa di essere riattivatoAzzurro chiaro
(Own Process) indica i processi avviati direttamente dal mio accountAzzurro scuro
(Immersive) sono app e processi di sistemaViola
(Packed Images) è un colore molto sospetto, ne vedete un esempio più in basso in “Individuare un malware”, perché Process Explorer ha individuato, tramite la ricerca euristica, del codice nascosto al suo interno. Non è detto al 100% che sia un malware però è un processo che necessita di essere analizzato.
Dal tab Process
possiamo verificare sul sito di VirusTotal.com se i nostri processi attivi sono sospetti e, cliccandoci sopra, andare a vedere la relativa analisi fatta.
Individuare un possibile malware
Sino ad ora abbiamo visto dei processi di sistema “buoni”, quando però scopriamo di avere un file che si chiama svchost.exe, come un normale processo di Windows, che utilizza moltissima CPU e apre un cmd.exe la cosa deve farci sospettare.
Se andiamo a vedere le proprietà di questo file si scopre che non è nella cartella Windows\system32, dove normalmente si deve trovare, ma è in esecuzione automatica così da avviarsi insieme al vostro sistema operativo.
Ripristinare il Task Manager originale
Se avevate deciso di usare Process Explorer al posto di quello di Windows, ripristinare quello originale non è del tutto così immediato, bisogna aprire il registro di configurazione di Windows, regedit.exe, e andare alla chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
.
Bisogna ora cancellare la chiave Debugger
che vedete a destra, il Task Manager originale tornerà subito funzionante.