Как по логам определяются вирусы или само заражение компьютера?

[STEVEN-Seagal 12]

Если топикстартер хочет вылечиться, то пусть делает логи.

Здрасти ...

Я может слегка нарушу тему разговора ... Но можно узнать хотя бы в общих чертах: Как по логам определяются вирусы или само заражение компьютера? Я сколько ни искал отличий в нормальном логе и в заражённом - ни нашёл. На что смотреть то надо?

Так же я после долгого лазанья по форуму ни нашёл куда вставить мой вопрос. Так что сильно ни пинайте, пожалуйста

[C. Tantin 340]

Но можно узнать хотя бы в общих чертах: Как по логам определяются вирусы или само заражение компьютера?

Первое. Второе вытекает из первого.

 

Сообщение от модератора C. Tantin

Хватит оффтопить - ждём логов топикстартера.

[hinote 116]

Здрасти ...

Я может слегка нарушу тему разговора ... Но можно узнать хотя бы в общих чертах: Как по логам определяются вирусы или само заражение компьютера? Я сколько ни искал отличий в нормальном логе и в заражённом - ни нашёл. На что смотреть то надо?

Так же я после долгого лазанья по форуму ни нашёл куда вставить мой вопрос. Так что сильно ни пинайте, пожалуйста

 

Если вы хотите этому научиться, то возможно вам сюда:

http://virusinfo.info/index.php?page=learning

(придется подождать - пока наберутся очередные группы студентов, страждущих знаний)

 

(Модераторы - вынесите плз это в отдельную тему, не хочется интересующегося человека без ответа оставлять, но и в этой теме тоже не место...)

Изменено 2 июля, 2009 пользователем hinote

[C. Tantin 340]

(Модераторы - вынесите плз это в отдельную тему, не хочется интересующегося человека без ответа оставлять, но и в этой теме тоже не место...)

Сделано.

 

Так же я после долгого лазанья по форуму ни нашёл куда вставить мой вопрос. Так что сильно ни пинайте, пожалуйста

В новую тему.

[iskander-k 2]

Я сколько ни искал отличий в нормальном логе и в заражённом - ни нашёл. На что смотреть то надо?

В общем - смотреть надо на файлы, системные службы. Анализировать логи и по определённым признакам определять какие файлы , службы и т.д являются легитимными(настоящими и т.п.) , а какие созданы зловредами.

После этого даётся скрипт и рекомендации для лечения.

 

Если вы хотите этому научиться, то возможно вам сюда:

http://virusinfo.info/index.php?page=learning

(придется подождать - пока наберутся очередные группы студентов, страждущих знаний)

 

или также можете записаться на обучение по адресу http://virusnet.info/forum/index.php

Изменено 5 июля, 2009 пользователем iskander-k

[C. Tantin 340]

или также можете записаться на обучение по адресу http://virusnet.info/forum/index.php

iskander-k, урл, пожалуйста, а не ссылку на форум.

[iskander-k 2]

iskander-k, урл, пожалуйста, а не ссылку на форум.

 

Как скажите. В старом изменить не могу, поэтому новый пост.

 

На форуме проводится обучение

по оказанию помощи в лечении ОС пользователя от вредоносных программ.

 

Чтобы подать заявку для вступления в группу «Студенты», необходимо:

Далее по ссылке полный текст ...

http://virusnet.info/forum/showthread.php?t=1012

Изменено 7 июля, 2009 пользователем iskander-k

[SergeyUser 19]

Здрасти ...

Я может слегка нарушу тему разговора ... Но можно узнать хотя бы в общих чертах: Как по логам определяются вирусы или само заражение компьютера? Я сколько ни искал отличий в нормальном логе и в заражённом - ни нашёл. На что смотреть то надо?

Так же я после долгого лазанья по форуму ни нашёл куда вставить мой вопрос. Так что сильно ни пинайте, пожалуйста

 

BATMAN,

 

Вирусы имеют целый ряд возможных проявлений, по которым и можно зафиксировать их наличие или отсутствие. В частности:

 

1. Наличие "лишних" файлов. Как правило, зловреды используют или заранее "зашитые" в своих данных имена файлов (часто похожие на имена системных файлов, т.е. которые у НЕспециалиста не вызовут сомнения в легитимности, своего рода маскировка), или используют случайные имена (вроде "DSAYDSA.sys"), или мимикрируют под существующие файлы, меняя, например, расширение, добавляя числа в конец и пр. (т.е. будет у вас к примеру настоящий файл "ARP.EXE", а зловред "примажется" и назовется "ARP32.exe" (намек на 32-битность )).

 

Таким образом, просматривая списки файлов, можно выявить такие странности (специалисты на глаз помнят имена почти всех стандартных файлов системы, и быстро вычислят "лишний"; рандомные имена сразу бросаются в глаза, с маскировками под существующие имена файлов чуть сложнее но тоже обнаружимо). Более того, если есть подозрение на конкретного зловреда, как правило, делается проверка конкретного файла или множества файлов.

 

Стоит отметить, впрочем, что в последнее время все больше и больше создается зловредов, которые используют различные stealth-технологии, т.е. попросту маскируют свое присутствие в системе и "прячут" свои файлы и целые папки. Обнаружить такое может только антивирус или инструмент, который содержит anti-rootkit-компоненту, позволяющую обращаться к файловой системе, в частности на низком уровне, сравнивая результат с работой на уровне стандартных интерфейсов Windows. Без этого обычный сбор логов ничего не выявит.

 

2. Изменения в реестре. Тут сложнее, потому что в реестре черт ногу сломит. Впрочем, конкретный зловред прежде всего интересуется механизмами автоматического запуска приложений и компонент при старте системы, которые все известны (их порядка 20 штук имеется). Соответственно, собираемые логи могут быть нацелены на просмотр таких ключей в реестре. Далее делается анализ, нет ли чего-то лишнего в автоматически запускаемых компонентах, по принципам, сравнимым с п. 1 выше (т.е. так как запускаются конкретные файлы, на них есть ссылка с именем, которое и можно проверить на "подозрительность").

 

Продвинутые зловреды могут маскировать изменения в реестре точно так же, как это делается для файлов.

 

3. Наличие необычных файлов в списке процессов, загруженных модулей, драйверах.

 

Большинство зловредов находятся в памяти постоянно, и им соответствуют какие-то модули. Система, как правило, хранит имена загруженных файлов, соответственно просматривая списки загруженного, его можно аналогичным описанному выше подходу проверить на "подозрительность".

 

Тут следует опять вспомнить про stealth-технологии (скрытие процессов), а также про зловредов, которые осуществляют загрузку себя в память не в виде отдельных файлов, а непосредственно внедряя себя в память системных процессов (которые, как правило, даже не контролируются защитными программами и являются доверенными). Это существенно усложняет детектирование, и, как правило, для эвристического детектирования используется описанный ниже способ.

 

 

4. Наличие перехватчиков системных функций.

 

Для того, чтобы зловред мог жить в системе, оставаясь при этом "бестелесным" (т.е. не имеющим собственного модуля, который проще обнаружить), в любом случае следует перехватить какие-то из системных функций. Способов перехвата существует очень много - от контроля на самом низком уровне, вплоть до работы с конкретными драйверами и связанным железом, но контроля обращения к ресурсам на уровне API. Некоторые из существующих инструментов записи логов могут анализировать таблицы функций различных типов и выявлять странности в этих таблицах, по которым специалист сможет понять, например, что данный "перехват" функции зловредный. Критерии подозрительности опускаю, это уже требует понимания работы отдельных модулей системы, чтобы разобраться, легально ли указанному модулю контролировать ту или иную системную функцию.

 

5. Дополнительные проявления иных типов.

 

Есть еще куча чего, что может проявлять зловредов. Например, сетевая активность, "открытые" порты (т.е. когда зловред слушает и ждет команд извне), наличие системных объектов с определенными именами и пр. Тут тоже требуется хорошее знание того, что такое хорошо, а что такое - плохо и странно, что тоже под силу только специалистам.

 

Это в очень общем виде мое IMHO, способов можно придумать еще много, но думаю для общего понимания должно хватить.

 

Также хочу отметить, что:

 

a. Для диагностики указанных выше stealth-зловредов можно использовать огромное количество бесплатных анти-руткит - утилит (вроде RootkitRevealer от Microsoft, или от антивирусных вендоров;

 

c. С учетом вышесказанного, идеально осуществлять сканирование зараженной системы с "Диска аварийного восстановления", когда основная система и все возможные зловреды тихо спят и не мешают их обнаружению. Таким образом получится наиболее чистый результат. В этом смысле online-антивирусы весьма не надежны, и большинство "продвинутых" зловредов обнаружено не будет вообще, даже если они уже есть в обновлениях данного вендора (проверял лично не раз, если кто-то будет спорить - приведу и зловреды, для которых это имеет место быть).

[russ-witja 0]

посмотри видео. оно должно ответить на твой вопрос.

http://www.computerbild.de/videos/So-arbei...ky-4056303.html

[Dzon 46]

посмотри видео. оно должно ответить на твой вопрос

 

Предоставленная вами ссылка на видео на немецком языке - можете дать ссылку на русском языке?

Изменено 9 августа, 2009 пользователем Dzon