Şüpheli işlemleri nasıl tanıyabilirsiniz?

Windows'unuzda çalışan işlemlerin hangisi zararlı, hangileri zararsız, bu makalemizde açıklıyoruz!

Windows 7, etkili bir yapıya sahip dev bir işletim sistemi, ancak işlemler ve hizmetler arasına girdiğinizde kafanız karışabilir.

Windows Görev Yöneticisinde neye bakacağınızı bilmiyorsanız, zararlıların kendilerini farklı ve iyi yazılımlar gibi göstererek sizden gizlenmesi veya aksine, iyi bir yazılımın size zararlıymış gibi görünüp işlemi kapatmanıza ve bilgisayarı kilitlemenize neden olabilir.

Bunların dışında güvenlik yazılımınız tarafından size sorulan işlemlere kaynaklara erişmesi için verdiğiniz izinler var. Bir işleme izin vermek, PC'nize virüs bulaşmasına neden olur mu? Bu makalemizde Windows'unuzda çalışan işlemleri nasıl tanıyacağınızı, hangisinin zararlı olup hangisinin olmadığını nasıl anlayabileceğinizi sizlere anlatacağız.

İşlem hiyerarşisi

Birden çok svchost.exe işlemi gözünüzü korkutmasın, bunlar büyük ihtimalle zararlı değildirler

İşlem hiyerarşisi

Bir işlemin iyi mi yoksa zararlı mı olduğunu anlamak için Windows 7'nin yapısını anlamak faydalı olacaktır. PC'nizi açtıktan sonra PC'niz kendisini test eder, ardından birincil diskten ana boot kaydı yüklenir. Bu, Windows 7 kernel görüntüsünün yüklenmesi ile devam eder, ardından diğer işlemler yüklenmeye başlar.

Tüm modern işletim sistemleri bir işlem hiyerarşisine sahiptir. Windows 7'de genellikle üç veya dört üst seviye işlem bulunur. Bunlardan bir tanesi 'wininit.exe'in devamı olan 'services.exe'dir.

Bu işlemin işi, arka planda bağımsız olarak çalışan işlemleri oluşturmaktır. Ancak bu basit işlem, genellikle kullanıcıların kafasında bir karışıklığa neden olur.

Bu karışıklığın nedeni, 'services.exe'nin 'svchost.exe'nin birkaç sürümünü başlatmasıdır. Bu terimi internette arattığınızda işlemi nasıl kapatacağını araştıran birçok kullanıcı göreceksiniz.

Ancak birden çok svchost.exe'nin çalışması normaldir ve bu işlemleri öldürmek, işletim sisteminin işleyişine zarar verebilir.

svchost.exe ve diğer ana işlemler

svchost.exe'nin birçok sürümünün açık olmasının arkasındaki neden, DLL'ler ile çalışan işlemleri çalıştıran bir 'çalıştırıcı' olarak işlemesidir. Bu işlemler, verimlilik, hız ve sistem dirençliliği adına farklı sürümler olarak çalıştırılır.

Service.exe, EXE dosyalarından çalışan birçok hizmeti de çalıştırır. Bunlar arasında anti-zararlı yazılımınızın hizmet bölümü, üçüncü parti uygulamalar ve Windows 7 için güncelleme araçları ve güç gönetimi vardır.

Akılları karıştıran ve endişe uyandıran diğer bir masum işlem ise 'Search Indexer.exe'dir. Sabit diskinizin ışığı uzun süreyle yandığında endişlenmeniz normal olabilir, ancak 'Search Indexer.exe' genellikle zararlı bir işlem değildir. Bu işlem, Windows araması için dosyalarınızı indeksler ve bu sayede aramayı daha hızlı bir hale getirir.

Diğer önemli üst seviye işlemlerden bir tanesi de'explorer.exe'dir. Bu işlem, Windows 7 masaüstünü çalıştırır ve görev çubuğunun sistem tepsisi gibi çalışan birçok uygulamanız için ana işlemdir.

Görünümü geliştirme

Gizli öğeleri de görmeniz ve detaylı bir denetim için ücretsiz Process Explorer'ı öneriyoruz

Görünümü geliştirme

İşlemler, hizmetler ve uygulamalar geleneksel olarak Görev Yöneticisi ile görüntülenir. Görev Yöneticisini Windows 7'de Ctrl+Alt+Del klavye kısayolunu kullanarak, ardından aracı menüden seçerek açabilirsiniz. Ctrl+Shift+Esc kısayolu ise Görev Yöneticisini direkt olarak açacaktır.

Görev Yöneticisi, tüm uygulamaları, sistem işlemlerini ve hizmetleri üç sekmeye ayırır; ancak bu size her şeyi göstermez. Örneğin 'svchost.exe' işlemleri normalde görünmemektedir. Görev Yöntecisi, sizden birçok öğeyi gizler ve sistem etkinliğini izlerken bu kısıtlı görünümden kaçınmanız gerekir.

Bunun için daha iyi bir seçenek olan Process Explorer'ı indirip çalıştırabilirsiniz. Program yükleme gerektirmiyor, zip dosyasının içeriğini bir klasöre kopyalamanız yeterli.

Process Explorer'ı çalıştırma

Process Explorer'ı yönetici izinleriyle çalıştırdığınızda daha fazla bilgiye erişim sağlayabilecektir

Process Explorer'ı çalıştırmak için simgesine sağ tıklayın ve 'Yönetici olarak çalıştır'ı seçin. Ekrana gelen 'Kullanıcı hesabı denetimi' penceresinde 'Evet' düğmesine tıklayın.

64 bit CPU kullanıyorsanız program klasöründe yeni bir uygulama dosyasının belirdiğini farkedeceksiniz. 'procexp64' adındaki bu uygulama, 64-bit makinenin gereksinimlerini karşılamak için oluşturulan bir wrapper'dır ve Process Explorer'ı kapattığınızda kaybolacaktır. Program, 32 bit ve 64 bit ortamlarda aynı şekilde çalışmaktadır ve Görev Yöneticisine göre çok daha fazla detay sunmaktadır.

Başlamak için istediğiniz hiyerarşi görünümünü elde edene dek 'Process' sütununa tıklayın. Bu sayede hangi işlemin hangisinin ana işlemi olduğunu kolaylıkla görebilirsiniz. Artık işletim sistemi hakkında daha iyi bir görünüme sahibiz ve iyi işlem gibi görünen zararlı işlemleri aramaya başlayabiliriz.

İşlemleri doğrulama

'Verified' ibaresi, işlemin doğrulandığını anlamına gelir.

svchost işlemlerinin çok olması nedeniyle bir zararlı yazılımın kendini 'svchost'a benzer olarak adlandırması onun gözardı edilmesine neden olabilir. Buna 'svch0st.exe' (sıfır ile) veya 'svhost.exe' ('c' olmadan) gibi örnekler verebiliriz.

Bu tür dosyaları kolaylıkla görebilmek için alfabetik sırayı elde edene dek 'Process' sütun başlığına tıklayabilirsiniz. Bir işlem hakkında daha fazla bilgi elde etmek için o işleme çift tıklayın. 'Image' sekmesinde bir işleme zararlı bulaşıp bulaşmandığını doğrulayabilirsiniz.

İşlem simgesinin hemen yanında 'Not verified' (doğrulanmamış) sözcüklerini göreceksiniz. 'Verify' düğmesine basarak dosyayı depolanmış imza ile doğrulayabilirsiniz. Process Explorer, kendi imzalarını oluşturmak için çalşan işlemleri kullanır ve bu ikisini karşılaştırır. Eğer ikisi birbirine uyuyorsa 'Verified' (doğrulandı) metni görüntülenir.

Ya doğrulanmayan işlemler?

İşlemler hakkında iyi bilgi veren sitelerden bir tanesi

İmajları doğrularken 'Company name' (şirket adı) bölümünde hiçbir şey yazmayan, açıklaması saçma veya anlamsız işlemlere dikkat edin.

Eğer iyi gibi görünen bir işlem için 'Unable to verify' (doğrulanamadı) mesajı alırsanız panik yapmayın. Üreticinin imaj imzalarını doğrulamamış olması mümkündür. Office 2000 gibi çok eski yazılımlar da imza denetimine sahip değildir ve 'Unable to verify' mesajının görüntülenmesine yol açabilir.

Bu tür dosyalarda işleme sağ tıklayıp 'Search Online'a tıklayarak işlem hakkında internette bir arama gerçekleştirebilirsiniz.

Bu konuda güvenilir bilgi veren sitelerden bir tanesi de www.processlibrary.com. Arama sonuçlarında bu siteye rastlamıyorsanız, arama sonuna site:www.processlibrary.com dizisini ekleyerek sadece bu site içinde arama yapmayı deneyebilirsiniz.

Bir işlemin zararlı olup olmadığını anlamanın diğer iyi bir yolu ise, uygulamanın bulunduğu konumdur. İşleme çift tıkladıktan ve Image sekmesine geldikten sonra tam konumu, çalışma dizinini ve işlemi başlatmakta kullanılan seçenekleri görebilirsiniz.

Windows 7'deki sistem klasörleri korumalı olduğundan, birçok zararlı yazılım sistem alanının dışında bir yerde konumlanacaktır. Başlatmadığınız herhangi bir uygulama (veya yüklediğiniz bir uygulamayla ilgisiz hizmet) C:\Windows dizin ağacının dışında bir konumdaysa ona potansiyel bir zararlı gözüyle bakmalısınız. Özellikle de 'Temp' klasörünü kullanan işlemlere dikkat edin.

Casus yazılımın izini sürmek

Process Explorer'ı arka planda birkaç gün açık bırakarak PC'nizde neyin olup bittiği hakkında fikir edinebilirsiniz.

Casus yazılımın izini sürmek

Şüpheli yazılımın nereye bağlandığını denetlemek de karar vermenizde yardımcı olacaktır. Bilgisayarınız bir botnet tarafından enfekte edildiyse, belirli aralıklarla bir sunucuya bağlanıp örneğin komut almak isteyecektir.

Process Explorer'da şüpheli işleme çift tıklayın ve 'TCP/IP' sekmesine tıklayın. IP adreslerini DNS adları olarak listelemek için 'Resolve addresses' kutucuğunu seçtiğinizden emin olun.

Bu şekilde sorguladığınız birçok program, yerel makineyi dinliyor olacaktır. Birçok işlem, portları kullanarak yerel olarak iletişim kurmaktadır ve bunda endişelenecek bir durum yoktur.

Process Explorer'ı arka planda birkaç gün açık tutarak PC'nizin çalışması hakkında bir fikir elde edebilirsiniz. Örneğin anti-zararlı yazılımınızın kendini güncellediğini, CPU'nuzu en çok neyin kullandığını, belleğinizi hangi uygulamaların tükettiğini ve çok daha fazlasını görebilirsiniz.

Bir sütuna sağ tıklayıp 'Select columns'a tıklayarak görünüme birçok sütun eklemeniz de mümkün.

Sonraki Haber

Forum