DPH:Process.Hollowing.EP в Game Bar: что это и как удалить
Dr.Web обнаружил DPH:Process.Hollowing.EP в Game Bar. Узнайте, что такое process hollowing, почему это может быть ложным срабатыванием, как диагностировать и безопасно удалить угрозу. Пошаговая инструкция по проверке и очистке системы.
Что представляет собой вирус DPH:Process.Hollowing.EP, обнаруженный Dr.Web в Game Bar?
Я случайно просканировал свой ноутбук антивирусом Dr.Web и обнаружил в Game Bar подозрительный объект с названием DPH:Process.Hollowing.EP. Не могу понять, что это за вирус и какую угрозу он представляет. Кто может объяснить природу этого вредоносного ПО и как с ним бороться?
DPH:Process.Hollowing.EP — это название детекции Dr.Web, которое указывает на подозрение в использовании техники process hollowing: подмена кода в памяти легитимного процесса. Появление этой метки в Game Bar может означать и реальную инъекцию зловреда, и ложное срабатывание, связанное с поведением оверлеев/служб Windows; ниже — как отличить одно от другого и какие шаги предпринять для проверки и удаления.
Содержание
- Краткое резюме
- Что такое Process Hollowing?
- DPH:Process.Hollowing.EP и Game Bar — правда ли это вирус?
- Как проверить и диагностировать обнаружение
- Как удалить и восстановить систему
- Профилактика и мониторинг
- Источники
- Заключение
Краткое резюме
DPH:Process.Hollowing.EP — метка детекции Dr.Web, указывающая на поведение, характерное для техники process hollowing (внедрение кода в адресное пространство другого процесса). Если такое обнаружено в контексте Game Bar, это может быть либо ложным срабатыванием (оверлей/службы Windows создают похожую активность), либо признаком реальной компрометации; чтобы понять, что именно — нужно собрать простые признаки и выполнить последовательные проверки.
Что такое Process Hollowing?
Process hollowing — это приём, когда злоумышленник создаёт легитимный процесс в приостановленном состоянии, очищает (или “опустошает”) его адресное пространство и записывает туда свой исполняемый код, после чего возобновляет поток — и вредонос выполняется под видом доверенного процесса. Такое поведение подробно описано в базе MITRE ATT&CK Process Hollowing (T1055.012).
Почему это работает? Представьте: у системы запущен известный процесс с хорошей репутацией — если в нём выполнить чужой код, детекторы и политики (иногда) будут смотреть на процесс, а не на исходную природу кода. Malwarebytes коротко формулирует тот же принцип: “замена памяти легитимного процесса на вредоносный код” — отсюда и пометка Exploit.ProcessHollowing в их базе детекций Malwarebytes.
Технически шаги обычно такие:
- CreateProcess с флагом suspended → создание процесса без выполнения.
- Unmap/удаление образа (NtUnmapViewOfSection / аналог).
- Запись/восстановление собственного PE-образа в адресном пространстве.
- ResumeThread — процесс продолжает работу, но уже с чужим кодом.
Подробный разбор API-вызовов и поведения можно найти в учебных материалах и разборе техники на Infosec Institute.
DPH:Process.Hollowing.EP и Game Bar — правда ли это вирус?
Короткий ответ: не обязательно. Dr.Web дал метке имя DPH:Process.Hollowing.EP — это правило детекции, отмечающее похожую активность. Но появление этой метки в процессе, связанном с Game Bar (Xbox Game Bar / Broadcast DVR Server и др.), часто вызывает вопросы, потому что игровые оверлеи и связанные с ними службы могут создавать поведение, похожее на инъекции (создание потоков, загрузка модулей, манипуляция памятью). Windows‑блог и технические материалы отмечают, что процессы Game Bar/связанного DVR иногда ведут себя нетривиально и не сразу завершаются, что может приводить к подозрительной телеметрии и ложным срабатываниям — см. разбор поведения Broadcast DVR Server на Windows School.
Примеры из практики: на официальном форуме Dr.Web пользователи сообщали о появлении DPH-обнаружений при запуске игр — иногда это было ложным срабатыванием, иногда — следствием реальной инфекции; логи и кейсы публиковались в ветках форума 1 и 2.
Как понять, где правда?
- Если исполняемый файл подписан Microsoft и располагается в C:\Windows\… — скорее всего легитимный компонент (но не 100%).
- Если файл находится в нестандартной папке, неподписан, имеет странный хеш или наблюдается сетевой трафик к неизвестным адресам — повод насторожиться.
- Если обнаружена постоянная автозагрузка, изменение реестра Run‑ключей или неизвестные службы — это признаки реальной инфекции.
Реальные кампании, использующие process hollowing (например, для внедрения RAT), описаны в отчётах Mandiant/Google Cloud и AhnLab; эти разборы показывают, как атаки выглядят “в природе” и на что обращать внимание: Mandiant / Google Cloud и AhnLab (ASEC).
Как проверить и диагностировать обнаружение
Вы наверняка хотите быстрых, понятных шагов. Вот что делать последовательно (без риска навредить системе).
- Соберите базовую информацию (не сразу удаляйте ничего):
- Посмотрите путь к исполняемому файлу и подпись издателя (через Диспетчер задач → “Открыть расположение файла” / свойства).
- Запишите PID, время запуска процесса, родительский процесс.
- Обновите сигнатуры и повторите сканирование:
- Обновите Dr.Web и перезапустите полное сканирование. Иногда обновлённые сигнатуры снимают ложные срабатывания.
- Параллельная проверка независимым сканером:
- Запустите проверку Malwarebytes или встроенным Защитником Windows; если оба найдут проблему — тревога серьёзнее. Справочная заметка по детекциям и методам есть у Malwarebytes.
- Проверка автозапуска и устойчивости:
- Просмотрите Autoruns/Task Manager → Startup, Scheduled Tasks, службы на предмет неизвестных записей.
- Сетевой след и активность:
- Если процесс устанавливает соединения с неизвестными IP/доменами — это сильный индикатор компрометации.
- Для продвинутых пользователей / аналитиков:
- Сделайте дамп процесса до и после поведения (procdump/отладчик), дамп можно анализировать или отправить специалистам; практические приёмы по извлечению образа обсуждаются в сообществах (например, reddit и репозиториях с примерами реализации GitHub).
- Если сомневаетесь — соберите логи и обратитесь в поддержку:
- Прикрепите свойства файла, путь, хеш (SHA256), скриншоты и логи Dr.Web — это ускорит разбирательство (пользовательские кейсы есть на форуме Dr.Web: https://forum.drweb.com).
(И да: если вы в поиске “dph process как удалить” — дальше есть практические шаги по очистке.)
Как удалить и восстановить систему
Как действовать — в зависимости от результата диагностики.
Если вы уверены, что это ложное срабатывание:
- Обновите систему и драйверы, обновите Dr.Web, сделайте повторную проверку.
- Если файл подписан Microsoft и всё соответствует — временно можно добавить исключение для конкретного процесса/пути или переустановить компонент Game Bar через параметры Windows. Но аккуратно: исключения лучше делать только после проверки.
Если есть признаки реальной инфекции:
- Отключите интернет (минимизируете связь с возможным C2).
- Загрузитесь в безопасном режиме и выполните полное сканирование Dr.Web + Malwarebytes + Защитник Windows Offline.
- Удалите подозрительные автозапуски (Autoruns), остановите и удалите неизвестные службы/задачи.
- Проверьте и очистите сетевые подключения, черные/белые списки брандмауэра.
- Если угроза сохраняется — рассмотрите восстановление из известной чистой резервной копии или полную переустановку ОС. Это радикально, но даёт 100% чистоту.
Если вы не уверены в своих действиях — сохраните дамп/логи и обратитесь к специалистам или в поддержку Dr.Web (публиковали случаи и логи на форуме: https://forum.drweb.com/index.php?showtopic=338608). Это защитит вас от ошибок при ручном удалении вреда. И не забудьте после очистки сменить пароли (если есть риск компрометации аккаунтов).
Профилактика и мониторинг
Небольшой чек‑лист, чтобы снизить риск и быстрее заметить проблему:
- Держите ОС и антивирусы в актуальном состоянии.
- Устанавливайте ПО только из надежных источников; избегайте “кряков” и сомнительных сборок игр.
- Включите двухфакторную аутентификацию там, где возможно.
- Для продвинутых пользователей/организаций — EDR/контроль целостности и Application Whitelisting сильно снижают риск скрытых инъекций.
- Если вы видите метку DPH, не паникуйте: в поисковой статистике “DPH” часто относится к моделям устройств D-Link, а не к вредоносам — важно смотреть контекст и признаки компрометации.
Источники
- MITRE ATT&CK — Process Hollowing (T1055.012)
- Malwarebytes — Exploit.ProcessHollowing
- Infosec Institute — Process Hollowing (разбор)
- TechTarget — What is process hollowing?
- Portnox — What is Process Hollowing?
- AhnLab ASEC — Tracking Process Hollowing (Remcos пример)
- Google Cloud / Mandiant — Dissecting NETWIRE (пример использования Hollowing)
- Picus Security — T1055.012 Process Hollowing (разбор)
- Habr — Fileless malware и методы детекции (рус.)
- SecurityLab — Process Hollowing (глоссарий)
- Windows School — Broadcast DVR Server / Game Bar (поведение)
- Dr.Web форум — кейс 338608 (лог/обсуждение)
- Dr.Web форум — кейс 336634 (обсуждение при запуске игр)
- Kaspersky Club форум — примеры DPH-обнаружений
- Mail.ru Answers — вопросы пользователей про DPH
- Reddit r/Malware — практические советы по дампу/анализу hollowing
- GitHub — примеры реализации Process-Hollowing (issues)
Заключение
DPH:Process.Hollowing.EP — это не «имя конкретного вируса», а метка детекции, сигнализирующая о поведении, характерном для техники process hollowing. Иногда это реальная угроза (зловред внедрялся в процесс), иногда — ложное срабатывание, особенно в контексте Game Bar и игровых оверлеев. Проверьте путь и подпись исполняемого файла, обновите и перебейте сканирование Dr.Web + независимые сканеры (например, Malwarebytes), соберите логи/дампы при подозрении и при необходимости обратитесь в поддержку Dr.Web или к специалистам. Если хотите, могу подготовить для вас конкретный пошаговый чек‑лист с командами и инструментами для безопасной проверки вашего ноутбука.