Заблудившиеся в зеркалах

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.

Вы здесь » Заблудившиеся в зеркалах » Техподдержка » технические полезности

технические полезности

Страница: 1

Сообщений 1 страница 3 из 3

1

  • Автор: Ириска
  • участник
  • Ириска
  • Зарегистрирован: Среда, 10 ноября, 2010г.
  • Приглашений: 0
  • Сообщений: 14284
  • Уважение: [+257/-1]
  • Позитив: [+216/-0]
  • Пол: Женский
  • Провел на форуме:
    11 месяцев 21 день
  • Последний визит:
    Вчера 21:04:27

Данный пост является копипастой комментария пользователя @Ashcraft, из поста http://pikabu.ru/story/_3718870.

Парень, все кто советует тебе антивирусы - полные ламеры, которые ни одного вируса в своей жизни не убили.

Для начала ставь Process Explorer - замена стандартному, убогому "диспетчеру задач".

Да, да, эта штука на столько серьезна, что её выкупила империя зла и разместила на своём официальном сайте.
В списке программ наглядно видно какая программа запустила какую и кому принадлежит.

В первую очередь обрати внимание на столбец "Company Name". В большинстве случаев будет Microsoft Corporation и другие известные компании - например программки производителя ноутбука или драйверы от видеокарт. Увидишь что-то незнакомое - лови наркомана.

Во вторую очередь обрати внимание на столбец "Description" (описание по русски) - у _всех_ приличных программ есть хоть какое-то описание из нескольких слов. Иногда даже вполне внятное. Исключения в данный момент составляют только стандартные программы из комплекта windows10 (калькулятор, смотрелка изображений и тд). Увидишь что-то еще без описания (description) - лови наркомана.

В третью очередь обрати внимание где лежат исполняемые файлы программ. Для этого попросту наведи мышкой на программу в списке и всплывающая подсказка тебе быстро покажет путь до файла программы. Хорошие программы могут лежать _только_ в папках:
C:Windows
C:Program Files
C:Program Files (x86)
и ни в каких других! Увидишь программу, которая лежит в каком-то другом месте, особенно в каком-нибудь "Temp" или где-то в "AppData" - лови наркомана.

С некоторым опыт на автомате запомнишь все куски системы и сразу будешь видеть лишнее - когда некоторые вредные программы маскируются под запчасти Microsoft Corporation и подобное и уже чуть ли не на автопилоте будешь видеть и ловить наркоманов.

Далее ставишь Autoruns.
Авторы программы те же, точно так же выкуплено M$.

Там по вкладкам:
Logon - то что загружается при входе пользователя, смотрим - всё ли нам знакомо - к незнакомым программам приглядываемся, проверяем где они лежат. Нашли что-то подозрительное - отключаем, проверяем, если что не так - ловим наркомана.

Explorer - расширения рабочего стола. Например, там часто прописываются дополнительные меню при нажатии правой кнопкой мыши или вирусня. Точно так же проверяем и ловим если что.

Internet Explorer - расширения ослика ИЕ. Шерстим, ловим.

Sheduled Tasks - задания встроенного системного планировщика windows. Там тоже очень часто вирусня заседает. Очень уж удобный инструмент. Задания можно настроить на выполнение по разным событиям. Например - убил ты вирус, задание тут же (или завтра или при следующей перезагрузке или еще как-то) запускается и ставит вирус по новой. Так что это дерьмо следует тщательно проверить. Всё незнакомое и/или подозрительное выключить. Благо если ошибёмся - можно включить обратно любой пункт в Autoruns.

Services - те же самые Службы что можно проверить и в windows, но тут с преферансом и мадемуазелями.

"Boot Executable" и "Image Hijacks" - в идеале должны быть пустыми.

Теперь немножко о способах ловли наркомана.
Видите наркомана в Process Explorer? В первую очередь не надо пытаться его убить. Любой сносный вирус это поймёт и начнёт противодействовать - например как минимум запускаться снова. Вместо убийства, нажмите правой кнопкой мыши и выберите Suspend (приостановить - по русски). Процесс окажется как бы запущен но на паузе и соответственно ничего не сможет сделать. Далее открываем его свойства (Properties) через ПКМ или двойной щелчок. Смотрим: где эта сволочь живёт и от чьего имени запущена (система, пользователь или еще чего) (закладка Image) и куда он лезет в сети (закладка TCP/IP). С этой информацией мы уже практически оседлали бяку.

Далее можно запретить обращения к адресам куда лезет вирусня и навести геноцид в папке его обитания на вашем компе. Если папка не какая-то рандомная, а вирус всегда появляется в одной и тоже папке, то можно её не удалять. Вместо удаления папки, удаляем её содержимое, потом в свойствах папки делаем "только чтение ". А теперь нам нужна информация - от чьего имени был запущен вирус, например от имени "СИСТЕМА" (системный суперпользователь). В настройках прав доступа к папке, запрещаем пользователю СИСТЕМА любые действия с папкой как-то запись или чтение. На себя любимого эти права на всякий случай оставляем. PROFIT. Даже если вирус запустится - он не сможет себя сохранить в привычном месте и жестоко обломится.

В общем устал я писать, и так более чем достаточное руководство расписал. Удачи в поисках наркоманов!

0

2

  • Автор: Лолипоп
  • Активный участник
  • Лолипоп
  • Откуда: Москва
  • Зарегистрирован: Среда, 10 ноября, 2010г.
  • Приглашений: 0
  • Сообщений: 12331
  • Уважение: [+207/-1]
  • Позитив: [+204/-3]
  • Пол: Женский
  • Возраст: 62 [1961-08-19]
  • Провел на форуме:
    11 месяцев 0 дней
  • Последний визит:
    Вчера 21:11:39

Прости, навеяло, потом грохнешь :)

технические полезности

0

3

  • Автор: Ириска
  • участник
  • Ириска
  • Зарегистрирован: Среда, 10 ноября, 2010г.
  • Приглашений: 0
  • Сообщений: 14284
  • Уважение: [+257/-1]
  • Позитив: [+216/-0]
  • Пол: Женский
  • Провел на форуме:
    11 месяцев 21 день
  • Последний визит:
    Вчера 21:04:27

В комментариях к посту из шапки развернулась такая бурная дискуссия и мне интересно, почему никто не удосужился указать ИМХО два главных достоинства Process Explorer в борьбе со всякой нечистью: проверка цифровых подписей и интеграция с VirusTotal.

1. Кто-то в комментариях упомянул, что вирусы внедряются в существующие файлы в системе. Это хоть и очень редкое поведение на сегодняшний день, но имеет место быть. Для таких случаев есть проверка цифровой подписи приложения на достоверность. Включается через Options->Verify Image Signatures. Теперь в столбце Verified Signer видно наличие цифровой подписи у каждого запущенного процесса, а так же результат его проверки. Наиболее подозрительно, как мне кажется, будет: либо отсутствие цифровой подписи, либо сообщение типа "Цифровая подпись объекта не была проверена", что означает, что цифровая подпись есть, но она не прошла проверку по каким-либо причинам (например файл был изменен). Естественно, что эти признаки далеко не 100%, что данный процесс каким-либо образом является вредоносным, а просто индикатор того, что к этим процессам стоит присмотреться внимательнее.

2. Самое вкусное в этой программе, это возможность сверять список процессов (точнее их контрольные суммы) с базой VirusTotal. Включается через Options->VirusTotal.com->Check VirusTotal.com Для тех, кто не знает, что это такое: VirusTotal — бесплатная служба, осуществляющая анализ подозрительных файлов и ссылок (URL) на предмет выявления вирусов, червей, троянов и всевозможных вредоносных программ. Помимо сервиса онлайн-сканирования 57-ю (на данный момент) антивирусами, VirusTotal собирает данные о всех, когда-либо проверенных файлах, а так же результаты этих проверок. Эта особенность и помогает программе Process Explorer отображать результаты последнего сканирования всех файлов, что в данный момент у вас запущены. А если, файл никогда раньше на VirusTotal не проверялся (что достаточно редко встречается), то есть возможность отправить файл на проверку прямо из программы, щелкнув правой кнопкой мыши по нужному процессу и выбрав Check VirusTotal.
Немного о результатах: при уровне 1-3 обнаружения стоит не впадать в панику и удалять все подряд, связанное с процессом, а пройти на страничку результатов и ознакомится, какие антивирусы и какую информацию по данному файлу выдали. Т.к. бывает, что антивирусы могут ругаться, например, на файлы, которые были пропатчены для снятия защиты с них (в простонародье - крякнутые), или на файлы, которые в себе содержат код перехвата вызова разных функций операционной системы, что не всегда является чем-то страшным (тот же Fraps или ShadowPlay, например, перехватывает вызовы некоторых функции DirectX для своей работы). Уровень обнаружения 3-4 и выше, это уже серьезный индикатор наличия вредоносного процесса в системе.

Данные два метода с хорошей вероятностью позволят вам обнаружить заразу в системе и при наличии некоторых знаний ее обезвредить.

Спасибо за внимание и надеюсь, что это будет кому-либо полезно.

0

Страница: 1

Вы здесь » Заблудившиеся в зеркалах » Техподдержка » технические полезности