Как вычислить вирус в компьютере?

Тема в разделе "ВОПРОС-ОТВЕТ. БАРАХОЛКА", создана пользователем RobinXak, 16 фев 2015.

↑ ↓
  1. RobinXak Хакер любитель
    RobinXak
    Ответить в чате

    Форумчанин

    Регистрация:
    12.03.2014
    Сообщения:
    17
    Симпатии:
    9
    Пол:
    Мужской
    Репа:
    +9 / 0 / -0
    Хотел бы чтобы вы ответили как можно найти вирус в компьтере через реестр,автозагрузку,фаервол и т.д. Тоесть методы нахождение этих вирусов в компе если антирь их не видит.
     
  2. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Есть уязвимые места:

    1)Автозагрузка, это пуск->выполнить и в командной строке ввести msconfig, там можно просмотреть автозагрузку, проанализировать что нужно а что нет, так-же автозагрузку отдельного пользователя в пуске нужно посмотреть;

    2)Далее в том-же msconfig нужно посмотреть службы на подозрительные, что-бы было легче, можно отключить "Отображать службы от Microsoft" ;

    3)Далее проверить планировщик задач, на подозрительные задания;

    4)Просмотреть основные ярлыки (В свойствах), нет-ли там подозрительных записей.

    80% вирусов лечится этими советами, остальные 20% будем надеется что не Ваш случай !WinkSmile
     
    • Мне нравится Мне нравится x 3
  3. RobinXak Хакер любитель
    RobinXak
    Ответить в чате

    Форумчанин

    Регистрация:
    12.03.2014
    Сообщения:
    17
    Симпатии:
    9
    Пол:
    Мужской
    Репа:
    +9 / 0 / -0
    Ведь вряд ли вирус будет добавляться в автозагрузку в msconfig,автозагрузку надо искать в реестре
     
  4. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Нормально всё показывает, вот например у меня:

    upload_2015-2-16_19-50-11.

    Из реестра и берёт, можете конечно в реестре смотреть, но это не удобно-же...Не въехал!!!
     
    • Мне нравится Мне нравится x 2
  5. RobinXak Хакер любитель
    RobinXak
    Ответить в чате

    Форумчанин

    Регистрация:
    12.03.2014
    Сообщения:
    17
    Симпатии:
    9
    Пол:
    Мужской
    Репа:
    +9 / 0 / -0
    Но почему тогда не показывают автозапуск explorer,понятным делом если вирус хорош он может не показываться в msconfig
     
  6. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    251
    Симпатии:
    144
    Пол:
    Мужской
    Репа:
    +170 / 5 / -28
    Не существует малвари, которая не использует кодопатчи. Сравниваем код в памяти и на диске, получаем место перехвата. Ставим туда брейк. Снимаем трасу. Раскуриваем механизм. По нему находим тело.
     
    • Мне нравится Мне нравится x 1
  7. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.807
    Симпатии:
    426
    Пол:
    Мужской
    Репа:
    +959 / 152 / -29
    Jabber:
    Skype:
    ICQ:

    638294628

    Совет хороший, но для анализа заражённой системы навряд-ли годится, т.к. неудобно !

    Лучше юзать спец. утилиты, которые всё сделают сами !

    Пример Anvir Task Manager, все процессы видны и "Тело":

    upload_2015-2-24_19-18-25.

    Можете посоветовать другие программы, неважно, но суть в принципе-да такая-же..WinkSmile
     
    • Мне нравится Мне нравится x 2
  8. Nedovirus Уважаемый пользователь
    Nedovirus
    Ответить в чате

    Форумчанин

    Регистрация:
    14.05.2014
    Сообщения:
    478
    Симпатии:
    821
    Пол:
    Мужской
    Репа:
    +845 / 14 / -5
    с системы сборкой тулз (и желательно из win pe - т.е на мертвой системе) собираются доги (тот же uvs) в помощь и анализируются. все. Искать что-то там в памяти, сравнивать с тем, что на диске и т.д - для хобби. А если никакого кодопатча и все одинаково? Просто обычный ехе-файл в папке автозагрузки, а антивирус не видит? Вот тут и нужен лог, по которому анализируешь (причем большинство белого ПО будет из лога убрано, чтоб не мешалось).
    Это же понятно, зачем изобретать велосипед.
     
    • Мне нравится Мне нравится x 3
  9. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    251
    Симпатии:
    144
    Пол:
    Мужской
    Репа:
    +170 / 5 / -28
    Nedovirus

    > А если никакого кодопатча и все одинаково?
    > Просто обычный ехе-файл в папке автозагрузки

    Смысл вашего утверждения - разница между статическим анализом и динамической работой малварки.

    Когда она в виде файла и не запущена, то может анализироваться лишь статически. Когда она запущена, она берёт под контроль некоторые осевые механизмы. По этому она спалиться динамически, ибо изменяет код. Есть методы типо маршрутизации, которые позволяют незаметно мониторить потоки данных и управления скрытно. Но эти методы сложны, они не доступны даже пониманию обычных кодеров малварки.
     
    • Мне нравится Мне нравится x 1
  10. Indy Уважаемый пользователь
    Indy
    Ответить в чате

    Форумчанин

    Регистрация:
    21.01.2015
    Сообщения:
    251
    Симпатии:
    144
    Пол:
    Мужской
    Репа:
    +170 / 5 / -28
    X-Shar

    > Можете посоветовать другие программы

    Anubis.
     

Поделиться этой страницей