Перейти к содержанию

Как по логам определяются вирусы или само заражение компьютера?

STEVEN-Seagal

От STEVEN-Seagal
в Технологии и техника

 Share

Рекомендуемые сообщения

STEVEN-Seagal Опытный

STEVEN-Seagal

Опубликовано
Опубликовано
Если топикстартер хочет вылечиться, то пусть делает логи.

Здрасти ...

Я может слегка нарушу тему разговора ... Но можно узнать хотя бы в общих чертах: Как по логам определяются вирусы или само заражение компьютера? Я сколько ни искал отличий в нормальном логе и в заражённом - ни нашёл. На что смотреть то надо?

Так же я после долгого лазанья по форуму ни нашёл куда вставить мой вопрос. Так что сильно ни пинайте, пожалуйста

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin Корифей

C. Tantin

Опубликовано
Опубликовано
Но можно узнать хотя бы в общих чертах: Как по логам определяются вирусы или само заражение компьютера?
Первое. Второе вытекает из первого.

 

Сообщение от модератора C. Tantin
Хватит оффтопить - ждём логов топикстартера.
Ссылка на комментарий
Поделиться на другие сайты
hinote Ветеран

hinote

Опубликовано
Опубликовано (изменено)
Здрасти ...

Я может слегка нарушу тему разговора ... Но можно узнать хотя бы в общих чертах: Как по логам определяются вирусы или само заражение компьютера? Я сколько ни искал отличий в нормальном логе и в заражённом - ни нашёл. На что смотреть то надо?

Так же я после долгого лазанья по форуму ни нашёл куда вставить мой вопрос. Так что сильно ни пинайте, пожалуйста

 

Если вы хотите этому научиться, то возможно вам сюда:

http://virusinfo.info/index.php?page=learning

(придется подождать - пока наберутся очередные группы студентов, страждущих знаний)

 

(Модераторы - вынесите плз это в отдельную тему, не хочется интересующегося человека без ответа оставлять, но и в этой теме тоже не место...)

Изменено пользователем hinote
Ссылка на комментарий
Поделиться на другие сайты
C. Tantin Корифей

C. Tantin

Опубликовано
Опубликовано
(Модераторы - вынесите плз это в отдельную тему, не хочется интересующегося человека без ответа оставлять, но и в этой теме тоже не место...)
Сделано.

 

Так же я после долгого лазанья по форуму ни нашёл куда вставить мой вопрос. Так что сильно ни пинайте, пожалуйста
В новую тему. ;)
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
iskander-k Новичок

iskander-k

Опубликовано
Опубликовано (изменено)
Я сколько ни искал отличий в нормальном логе и в заражённом - ни нашёл. На что смотреть то надо?

В общем - смотреть надо на файлы, системные службы. Анализировать логи и по определённым признакам определять какие файлы , службы и т.д являются легитимными(настоящими и т.п.) , а какие созданы зловредами.

После этого даётся скрипт и рекомендации для лечения.

 

Если вы хотите этому научиться, то возможно вам сюда:

http://virusinfo.info/index.php?page=learning

(придется подождать - пока наберутся очередные группы студентов, страждущих знаний)

 

или также можете записаться на обучение по адресу http://virusnet.info/forum/index.php

Изменено пользователем iskander-k
Ссылка на комментарий
Поделиться на другие сайты
iskander-k Новичок

iskander-k

Опубликовано
Опубликовано (изменено)
iskander-k, урл, пожалуйста, а не ссылку на форум.

 

Как скажите. В старом изменить не могу, поэтому новый пост.

 

На форуме проводится обучение

по оказанию помощи в лечении ОС пользователя от вредоносных программ.

 

Чтобы подать заявку для вступления в группу «Студенты», необходимо:

Далее по ссылке полный текст ...

http://virusnet.info/forum/showthread.php?t=1012

Изменено пользователем iskander-k
Ссылка на комментарий
Поделиться на другие сайты
SergeyUser Опытный

SergeyUser

Опубликовано
Опубликовано
Здрасти ...

Я может слегка нарушу тему разговора ... Но можно узнать хотя бы в общих чертах: Как по логам определяются вирусы или само заражение компьютера? Я сколько ни искал отличий в нормальном логе и в заражённом - ни нашёл. На что смотреть то надо?

Так же я после долгого лазанья по форуму ни нашёл куда вставить мой вопрос. Так что сильно ни пинайте, пожалуйста

 

BATMAN,

 

Вирусы имеют целый ряд возможных проявлений, по которым и можно зафиксировать их наличие или отсутствие. В частности:

 

1. Наличие "лишних" файлов. Как правило, зловреды используют или заранее "зашитые" в своих данных имена файлов (часто похожие на имена системных файлов, т.е. которые у НЕспециалиста не вызовут сомнения в легитимности, своего рода маскировка), или используют случайные имена (вроде "DSAYDSA.sys"), или мимикрируют под существующие файлы, меняя, например, расширение, добавляя числа в конец и пр. (т.е. будет у вас к примеру настоящий файл "ARP.EXE", а зловред "примажется" и назовется "ARP32.exe" (намек на 32-битность :coffee:)).

 

Таким образом, просматривая списки файлов, можно выявить такие странности (специалисты на глаз помнят имена почти всех стандартных файлов системы, и быстро вычислят "лишний"; рандомные имена сразу бросаются в глаза, с маскировками под существующие имена файлов чуть сложнее но тоже обнаружимо). Более того, если есть подозрение на конкретного зловреда, как правило, делается проверка конкретного файла или множества файлов.

 

Стоит отметить, впрочем, что в последнее время все больше и больше создается зловредов, которые используют различные stealth-технологии, т.е. попросту маскируют свое присутствие в системе и "прячут" свои файлы и целые папки. Обнаружить такое может только антивирус или инструмент, который содержит anti-rootkit-компоненту, позволяющую обращаться к файловой системе, в частности на низком уровне, сравнивая результат с работой на уровне стандартных интерфейсов Windows. Без этого обычный сбор логов ничего не выявит.

 

2. Изменения в реестре. Тут сложнее, потому что в реестре черт ногу сломит. Впрочем, конкретный зловред прежде всего интересуется механизмами автоматического запуска приложений и компонент при старте системы, которые все известны (их порядка 20 штук имеется). Соответственно, собираемые логи могут быть нацелены на просмотр таких ключей в реестре. Далее делается анализ, нет ли чего-то лишнего в автоматически запускаемых компонентах, по принципам, сравнимым с п. 1 выше (т.е. так как запускаются конкретные файлы, на них есть ссылка с именем, которое и можно проверить на "подозрительность").

 

Продвинутые зловреды могут маскировать изменения в реестре точно так же, как это делается для файлов.

 

3. Наличие необычных файлов в списке процессов, загруженных модулей, драйверах.

 

Большинство зловредов находятся в памяти постоянно, и им соответствуют какие-то модули. Система, как правило, хранит имена загруженных файлов, соответственно просматривая списки загруженного, его можно аналогичным описанному выше подходу проверить на "подозрительность".

 

Тут следует опять вспомнить про stealth-технологии (скрытие процессов), а также про зловредов, которые осуществляют загрузку себя в память не в виде отдельных файлов, а непосредственно внедряя себя в память системных процессов (которые, как правило, даже не контролируются защитными программами и являются доверенными). Это существенно усложняет детектирование, и, как правило, для эвристического детектирования используется описанный ниже способ.

 

 

4. Наличие перехватчиков системных функций.

 

Для того, чтобы зловред мог жить в системе, оставаясь при этом "бестелесным" (т.е. не имеющим собственного модуля, который проще обнаружить), в любом случае следует перехватить какие-то из системных функций. Способов перехвата существует очень много - от контроля на самом низком уровне, вплоть до работы с конкретными драйверами и связанным железом, но контроля обращения к ресурсам на уровне API. Некоторые из существующих инструментов записи логов могут анализировать таблицы функций различных типов и выявлять странности в этих таблицах, по которым специалист сможет понять, например, что данный "перехват" функции зловредный. Критерии подозрительности опускаю, это уже требует понимания работы отдельных модулей системы, чтобы разобраться, легально ли указанному модулю контролировать ту или иную системную функцию.

 

5. Дополнительные проявления иных типов.

 

Есть еще куча чего, что может проявлять зловредов. Например, сетевая активность, "открытые" порты (т.е. когда зловред слушает и ждет команд извне), наличие системных объектов с определенными именами и пр. Тут тоже требуется хорошее знание того, что такое хорошо, а что такое - плохо и странно, что тоже под силу только специалистам.

 

Это в очень общем виде мое IMHO, способов можно придумать еще много, но думаю для общего понимания должно хватить.

 

Также хочу отметить, что:

 

a. Для диагностики указанных выше stealth-зловредов можно использовать огромное количество бесплатных анти-руткит - утилит (вроде RootkitRevealer от Microsoft, или от антивирусных вендоров;

 

c. С учетом вышесказанного, идеально осуществлять сканирование зараженной системы с "Диска аварийного восстановления", когда основная система и все возможные зловреды тихо спят и не мешают их обнаружению. Таким образом получится наиболее чистый результат. В этом смысле online-антивирусы весьма не надежны, и большинство "продвинутых" зловредов обнаружено не будет вообще, даже если они уже есть в обновлениях данного вендора (проверял лично не раз, если кто-то будет спорить - приведу и зловреды, для которых это имеет место быть).

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
  • 1 month later...
Dzon Ветеран

Dzon

Опубликовано
Опубликовано (изменено)
посмотри видео. оно должно ответить на твой вопрос

 

Предоставленная вами ссылка на видео на немецком языке - можете дать ссылку на русском языке?

Изменено пользователем Dzon
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • IvanMel
      [РЕШЕНО] Само воспроизводимый вирус майнер CPU XMrig
      От IvanMel
      Где то в начале января 2025 подцепил майнер cpu. Путем нахождения процесса через процесс хакер, по классике при запуске любого мониторинга по типу диспетчера основной процесс майнера тухнет и теряется из процессов, но осставляет за собой  левый процес updater, по нему вычислил где лежит зараза. Маскируется отовсюду либо за updater либо за edge браузером. Путем разных манипуляций пробовал чистить его майнер clean прогами, очисткой левых задач в винде, через CCleaner автозапуски и задачи, чистил реестр на сколько смог, через утилиты. Проблема решается на неделю, а именно до среды, в среду он как ни в чем не было восстанавливается отовсюду. Последняя надежда этот форум, не очень хочется ребутать винду. Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      2 - C:\Users\cinem\AppData\Roaming\driverUpdate тоже в такой же скрытой папке, ну уверен что это тоже от этого вируса но утилита его нашла и пометила; 
      3 - в планировщике задач;
      4 - в установленных прогах второй edge, находится только через ccleaner; 5 - в Ccleanere в запуске тоже есть от edge какой то автозапуск.
      Через утилиту находит только в безопасном режиме по обоим путям файлы (1 и 2 пункт выше) но при чистке в первой папке не удаляет все файлы, а только лишь один, оставшийся файлы в папке удалил вручную. Из найденных вирусов на скрине - онлайн фиксы для игры, dpi очевидно тоже считается вирусом, но этим программам уже много месяцев и они работают нормально, ну и процесс хакер это тот же диспетчер задач.
      Логи в архиве. 
       
      CollectionLog-2025.02.19-15.12.zip
    • ARKHIPOV
      [РЕШЕНО] На компьютере обнаружил вирус майнера, не удаляется Касперским
      От ARKHIPOV
      Добрый день! Пару дней назад компьютер после стандартного запуска вывел синий экран (BSOD). При отключении интернет соединения данная проблема исчезла. Это побудило меня приобрести ключ к Касперскому (до этого пользовался Malware, пробником, который истек и защиту в реальном времени уже не оказывал). Проверив ПК на вирусы, обнаружились Трояны (к сожалению логов и скринов не сохранил, причина дальше). Вирус сидел в exeшнике GoogleUpdate. Отключил службы, связанные с апдейтом гугла, удалил файлы связанные с ним, после полной проверки перезагрузил ПК и обнаружил надпись в Касперском: "Некоторые компоненты защиты повреждены", переустановил К (сообщение пропало и логи про удаленный вирус тоже), снова проверил на вирусы, снова перезагрузил, получил тот же результат. У меня подозрение на наличие майнера, который не удаляется стандартным путем и сидит где-то в системных файлах и службах. Прошу помочь восстановить работу служб и системы. Без интернет соединения ПК летает хорошо, при подключении работает медленней.
      CollectionLog-2025.02.18-11.00.zip
    • Dwight
      Возможное заражение компьютера
      От Dwight
      Думаю заразил Пк вирусами, так-как при банальном открытии браузера вентиляторы начинают активно набирать обороты, а работать в программах для монтажа стало просто невозможно, но все проблемы меня покидают после открытия диспетчера задач
       
      CollectionLog-2024.10.24-13.20.zip
    • iaroslav
      Майнер на компьютере
      От iaroslav
      Я подозреваю что у меня майнер или троян так как у меня не открываются параметры( все способы перепробовал) а также при открытии например панели управления выскакивает табличка: операция отменена из за огранечений..... Обратитесь к администратору хотя я и есть администратор. Перед этим я использовал AVbr и только потом AutoLogger
      AV_block_remove_2025.02.02-17.03.log report2.log report1.log CollectionLog-2025.02.02-17.19.zip
    • Ivan Serov
      Зависание и перезагрузка компьютера
      От Ivan Serov
      Приветствую. Спокойно сидел в пк, как вдруг завис экран на одной картинке, звук непрерывный и потом компьютер перезагрузился. Стоит запись "Дамп памяти ядра". При необходимости могу скинуть.
      Компьютер был перезагружен после критической ошибки. Код ошибки: 0x0000007e (0xffffffffc0000005, 0xfffff80454f90e36, 0xffff968309bf5d28, 0xffff968309bf5560). Дамп памяти сохранен в: C:\WINDOWS\MEMORY.DMP. Код отчета: e629bc3c-8a0e-450c-a73a-9176ef5d590d.
      Прикладываю малый дамп, сведения о системе и DxDiag.
      Desktop.zip
×
×
  • Создать...