Перейти к содержанию

Как по логам определяются вирусы или само заражение компьютера?

STEVEN-Seagal

Автор STEVEN-Seagal
в Технологии и техника

 Поделиться

Рекомендуемые сообщения

STEVEN-Seagal Опытный

STEVEN-Seagal

Опубликовано
Опубликовано
Если топикстартер хочет вылечиться, то пусть делает логи.

Здрасти ...

Я может слегка нарушу тему разговора ... Но можно узнать хотя бы в общих чертах: Как по логам определяются вирусы или само заражение компьютера? Я сколько ни искал отличий в нормальном логе и в заражённом - ни нашёл. На что смотреть то надо?

Так же я после долгого лазанья по форуму ни нашёл куда вставить мой вопрос. Так что сильно ни пинайте, пожалуйста

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin Корифей

C. Tantin

Опубликовано
Опубликовано
Но можно узнать хотя бы в общих чертах: Как по логам определяются вирусы или само заражение компьютера?
Первое. Второе вытекает из первого.

 

Сообщение от модератора C. Tantin
Хватит оффтопить - ждём логов топикстартера.
Ссылка на комментарий
Поделиться на другие сайты
hinote Ветеран

hinote

Опубликовано
Опубликовано (изменено)
Здрасти ...

Я может слегка нарушу тему разговора ... Но можно узнать хотя бы в общих чертах: Как по логам определяются вирусы или само заражение компьютера? Я сколько ни искал отличий в нормальном логе и в заражённом - ни нашёл. На что смотреть то надо?

Так же я после долгого лазанья по форуму ни нашёл куда вставить мой вопрос. Так что сильно ни пинайте, пожалуйста

 

Если вы хотите этому научиться, то возможно вам сюда:

http://virusinfo.info/index.php?page=learning

(придется подождать - пока наберутся очередные группы студентов, страждущих знаний)

 

(Модераторы - вынесите плз это в отдельную тему, не хочется интересующегося человека без ответа оставлять, но и в этой теме тоже не место...)

Изменено пользователем hinote
Ссылка на комментарий
Поделиться на другие сайты
C. Tantin Корифей

C. Tantin

Опубликовано
Опубликовано
(Модераторы - вынесите плз это в отдельную тему, не хочется интересующегося человека без ответа оставлять, но и в этой теме тоже не место...)
Сделано.

 

Так же я после долгого лазанья по форуму ни нашёл куда вставить мой вопрос. Так что сильно ни пинайте, пожалуйста
В новую тему. ;)
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
iskander-k Новичок

iskander-k

Опубликовано
Опубликовано (изменено)
Я сколько ни искал отличий в нормальном логе и в заражённом - ни нашёл. На что смотреть то надо?

В общем - смотреть надо на файлы, системные службы. Анализировать логи и по определённым признакам определять какие файлы , службы и т.д являются легитимными(настоящими и т.п.) , а какие созданы зловредами.

После этого даётся скрипт и рекомендации для лечения.

 

Если вы хотите этому научиться, то возможно вам сюда:

http://virusinfo.info/index.php?page=learning

(придется подождать - пока наберутся очередные группы студентов, страждущих знаний)

 

или также можете записаться на обучение по адресу http://virusnet.info/forum/index.php

Изменено пользователем iskander-k
Ссылка на комментарий
Поделиться на другие сайты
iskander-k Новичок

iskander-k

Опубликовано
Опубликовано (изменено)
iskander-k, урл, пожалуйста, а не ссылку на форум.

 

Как скажите. В старом изменить не могу, поэтому новый пост.

 

На форуме проводится обучение

по оказанию помощи в лечении ОС пользователя от вредоносных программ.

 

Чтобы подать заявку для вступления в группу «Студенты», необходимо:

Далее по ссылке полный текст ...

http://virusnet.info/forum/showthread.php?t=1012

Изменено пользователем iskander-k
Ссылка на комментарий
Поделиться на другие сайты
SergeyUser Опытный

SergeyUser

Опубликовано
Опубликовано
Здрасти ...

Я может слегка нарушу тему разговора ... Но можно узнать хотя бы в общих чертах: Как по логам определяются вирусы или само заражение компьютера? Я сколько ни искал отличий в нормальном логе и в заражённом - ни нашёл. На что смотреть то надо?

Так же я после долгого лазанья по форуму ни нашёл куда вставить мой вопрос. Так что сильно ни пинайте, пожалуйста

 

BATMAN,

 

Вирусы имеют целый ряд возможных проявлений, по которым и можно зафиксировать их наличие или отсутствие. В частности:

 

1. Наличие "лишних" файлов. Как правило, зловреды используют или заранее "зашитые" в своих данных имена файлов (часто похожие на имена системных файлов, т.е. которые у НЕспециалиста не вызовут сомнения в легитимности, своего рода маскировка), или используют случайные имена (вроде "DSAYDSA.sys"), или мимикрируют под существующие файлы, меняя, например, расширение, добавляя числа в конец и пр. (т.е. будет у вас к примеру настоящий файл "ARP.EXE", а зловред "примажется" и назовется "ARP32.exe" (намек на 32-битность :coffee:)).

 

Таким образом, просматривая списки файлов, можно выявить такие странности (специалисты на глаз помнят имена почти всех стандартных файлов системы, и быстро вычислят "лишний"; рандомные имена сразу бросаются в глаза, с маскировками под существующие имена файлов чуть сложнее но тоже обнаружимо). Более того, если есть подозрение на конкретного зловреда, как правило, делается проверка конкретного файла или множества файлов.

 

Стоит отметить, впрочем, что в последнее время все больше и больше создается зловредов, которые используют различные stealth-технологии, т.е. попросту маскируют свое присутствие в системе и "прячут" свои файлы и целые папки. Обнаружить такое может только антивирус или инструмент, который содержит anti-rootkit-компоненту, позволяющую обращаться к файловой системе, в частности на низком уровне, сравнивая результат с работой на уровне стандартных интерфейсов Windows. Без этого обычный сбор логов ничего не выявит.

 

2. Изменения в реестре. Тут сложнее, потому что в реестре черт ногу сломит. Впрочем, конкретный зловред прежде всего интересуется механизмами автоматического запуска приложений и компонент при старте системы, которые все известны (их порядка 20 штук имеется). Соответственно, собираемые логи могут быть нацелены на просмотр таких ключей в реестре. Далее делается анализ, нет ли чего-то лишнего в автоматически запускаемых компонентах, по принципам, сравнимым с п. 1 выше (т.е. так как запускаются конкретные файлы, на них есть ссылка с именем, которое и можно проверить на "подозрительность").

 

Продвинутые зловреды могут маскировать изменения в реестре точно так же, как это делается для файлов.

 

3. Наличие необычных файлов в списке процессов, загруженных модулей, драйверах.

 

Большинство зловредов находятся в памяти постоянно, и им соответствуют какие-то модули. Система, как правило, хранит имена загруженных файлов, соответственно просматривая списки загруженного, его можно аналогичным описанному выше подходу проверить на "подозрительность".

 

Тут следует опять вспомнить про stealth-технологии (скрытие процессов), а также про зловредов, которые осуществляют загрузку себя в память не в виде отдельных файлов, а непосредственно внедряя себя в память системных процессов (которые, как правило, даже не контролируются защитными программами и являются доверенными). Это существенно усложняет детектирование, и, как правило, для эвристического детектирования используется описанный ниже способ.

 

 

4. Наличие перехватчиков системных функций.

 

Для того, чтобы зловред мог жить в системе, оставаясь при этом "бестелесным" (т.е. не имеющим собственного модуля, который проще обнаружить), в любом случае следует перехватить какие-то из системных функций. Способов перехвата существует очень много - от контроля на самом низком уровне, вплоть до работы с конкретными драйверами и связанным железом, но контроля обращения к ресурсам на уровне API. Некоторые из существующих инструментов записи логов могут анализировать таблицы функций различных типов и выявлять странности в этих таблицах, по которым специалист сможет понять, например, что данный "перехват" функции зловредный. Критерии подозрительности опускаю, это уже требует понимания работы отдельных модулей системы, чтобы разобраться, легально ли указанному модулю контролировать ту или иную системную функцию.

 

5. Дополнительные проявления иных типов.

 

Есть еще куча чего, что может проявлять зловредов. Например, сетевая активность, "открытые" порты (т.е. когда зловред слушает и ждет команд извне), наличие системных объектов с определенными именами и пр. Тут тоже требуется хорошее знание того, что такое хорошо, а что такое - плохо и странно, что тоже под силу только специалистам.

 

Это в очень общем виде мое IMHO, способов можно придумать еще много, но думаю для общего понимания должно хватить.

 

Также хочу отметить, что:

 

a. Для диагностики указанных выше stealth-зловредов можно использовать огромное количество бесплатных анти-руткит - утилит (вроде RootkitRevealer от Microsoft, или от антивирусных вендоров;

 

c. С учетом вышесказанного, идеально осуществлять сканирование зараженной системы с "Диска аварийного восстановления", когда основная система и все возможные зловреды тихо спят и не мешают их обнаружению. Таким образом получится наиболее чистый результат. В этом смысле online-антивирусы весьма не надежны, и большинство "продвинутых" зловредов обнаружено не будет вообще, даже если они уже есть в обновлениях данного вендора (проверял лично не раз, если кто-то будет спорить - приведу и зловреды, для которых это имеет место быть).

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
  • 1 месяц спустя...
Dzon Ветеран

Dzon

Опубликовано
Опубликовано (изменено)
посмотри видео. оно должно ответить на твой вопрос

 

Предоставленная вами ссылка на видео на немецком языке - можете дать ссылку на русском языке?

Изменено пользователем Dzon
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • User-01001
      [РЕШЕНО] Заражение
      Автор User-01001
      Здравствуйте!
      Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
      Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
      Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
      Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
      К слову был активен RDP местами валялись логи.
       Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
      KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
      Нужна помощь добить бяку и восстановить что она там еще порушить успела
      CollectionLog-2025.05.03-10.34.zip
    • 26alexx
      [РЕШЕНО] Наличие вируса/майнера на компьютере.
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
    • asmonekus
      [РЕШЕНО] Подозрение на заражение системы
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
    • saha96
      SSD определяется как HDD
      Автор saha96
      Доброго времени суток, ситуация следующая - делал перенос ОС с HDD на SSD и возник непонятный глюк что винда отмечала новый диск как HDD. Не придал значения пока на ссд не вознкили дикие тормоза. Подключил этот диск к другому компу как второстепенный - скорость очень скачет, но работает стабильно. По crystaldisk всё чётко, диск мало использован. Но обратил внимание что другой комп его так же классифицирует как HDD, и видимо по этой причине не работает TRIM отсюда и дикие тормоза. Вопрос как это исправить? Раньше такого глюка не видел.

    • super__feya
      [РЕШЕНО] Подозрение на наличие вируса/майнера на компьютере.
      Автор super__feya
      Здравствуйте! У меня следующая проблема: в последнее время самопроизвольно переподключалась мышь (воспроизводился системный звук Windows подключения нового внешнего устройства, после этого курсор на долю секунды замирал и после продолжал работать как и прежде). Я думал, что проблема в разъеме, поэтому переподключил мышь в другой usb-разъем, но ситуация не изменилась. Помимо этого, при открытии монитора ресурсов, во вкладке "ЦП" показаны два приостановленных процесса: "SearchApp.exe" и "ShellExperienceHost.exe" (слышал, что это может быть следствием наличия майнера на компьютере). Также я произвел проверку с помощью "Kaspersky Virus Removal Tool". Обнаружилось порядка дюжины подозрительных файлов, которые я удалил, но ситуация не изменилась. Пожалуйста, подскажите решение данной проблемы.
      CollectionLog-2025.05.05-17.33.zip
×
×
  • Создать...