• Уменьшение отступа

    Обратная связь

    (info@ru-sfera.pw)

Как вычислить вирус в компьютере?


RobinXak

Хакер любитель
Форумчанин
Регистрация
12.03.2014
Сообщения
17
Репутация
9
Хотел бы чтобы вы ответили как можно найти вирус в компьтере через реестр,автозагрузку,фаервол и т.д. Тоесть методы нахождение этих вирусов в компе если антирь их не видит.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Хотел бы чтобы вы ответили как можно найти вирус в компьтере через реестр,автозагрузку,фаервол и т.д. Тоесть методы нахождение этих вирусов в компе если антирь их не видит.
Есть уязвимые места:

1)Автозагрузка, это пуск->выполнить и в командной строке ввести msconfig, там можно просмотреть автозагрузку, проанализировать что нужно а что нет, так-же автозагрузку отдельного пользователя в пуске нужно посмотреть;

2)Далее в том-же msconfig нужно посмотреть службы на подозрительные, что-бы было легче, можно отключить "Отображать службы от Microsoft" ;

3)Далее проверить планировщик задач, на подозрительные задания;

4)Просмотреть основные ярлыки (В свойствах), нет-ли там подозрительных записей.

80% вирусов лечится этими советами, остальные 20% будем надеется что не Ваш случай !WinkSmile
 

RobinXak

Хакер любитель
Форумчанин
Регистрация
12.03.2014
Сообщения
17
Репутация
9
Есть уязвимые места:

1)Автозагрузка, это пуск->выполнить и в командной строке ввести msconfig, там можно просмотреть автозагрузку, проанализировать что нужно а что нет, так-же автозагрузку отдельного пользователя в пуске нужно посмотреть;
Ведь вряд ли вирус будет добавляться в автозагрузку в msconfig,автозагрузку надо искать в реестре
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Ведь вряд ли вирус будет добавляться в автозагрузку в msconfig,автозагрузку надо искать в реестре
Нормально всё показывает, вот например у меня:

upload_2015-2-16_19-50-11.png


Из реестра и берёт, можете конечно в реестре смотреть, но это не удобно-же...Не въехал!!!
 

RobinXak

Хакер любитель
Форумчанин
Регистрация
12.03.2014
Сообщения
17
Репутация
9
Нормально всё показывает, вот например у меня:

Посмотреть вложение 52373

Из реестра и берёт, можете конечно в реестре смотреть, но это не удобно-же...Не въехал!!!
Но почему тогда не показывают автозапуск explorer,понятным делом если вирус хорош он может не показываться в msconfig
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
105
Не существует малвари, которая не использует кодопатчи. Сравниваем код в памяти и на диске, получаем место перехвата. Ставим туда брейк. Снимаем трасу. Раскуриваем механизм. По нему находим тело.
 

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
6 068
Репутация
8 176
Не существует малвари, которая не использует кодопатчи. Сравниваем код в памяти и на диске, получаем место перехвата. Ставим туда брейк. Снимаем трасу. Раскуриваем механизм. По нему находим тело.
Совет хороший, но для анализа заражённой системы навряд-ли годится, т.к. неудобно !

Лучше юзать спец. утилиты, которые всё сделают сами !

Пример Anvir Task Manager, все процессы видны и "Тело":

upload_2015-2-24_19-18-25.png


Можете посоветовать другие программы, неважно, но суть в принципе-да такая-же..WinkSmile
 

Nedovirus

Уважаемый пользователь
Форумчанин
Регистрация
14.05.2014
Сообщения
399
Репутация
310
с системы сборкой тулз (и желательно из win pe - т.е на мертвой системе) собираются доги (тот же uvs) в помощь и анализируются. все. Искать что-то там в памяти, сравнивать с тем, что на диске и т.д - для хобби. А если никакого кодопатча и все одинаково? Просто обычный ехе-файл в папке автозагрузки, а антивирус не видит? Вот тут и нужен лог, по которому анализируешь (причем большинство белого ПО будет из лога убрано, чтоб не мешалось).
Это же понятно, зачем изобретать велосипед.
 

Indy

Уважаемый пользователь
Форумчанин
Регистрация
21.01.2015
Сообщения
277
Репутация
105
Nedovirus

> А если никакого кодопатча и все одинаково?
> Просто обычный ехе-файл в папке автозагрузки

Смысл вашего утверждения - разница между статическим анализом и динамической работой малварки.

Когда она в виде файла и не запущена, то может анализироваться лишь статически. Когда она запущена, она берёт под контроль некоторые осевые механизмы. По этому она спалиться динамически, ибо изменяет код. Есть методы типо маршрутизации, которые позволяют незаметно мониторить потоки данных и управления скрытно. Но эти методы сложны, они не доступны даже пониманию обычных кодеров малварки.
 
Автор темы Похожие темы Форум Ответы Дата
IvanPetrov ВОПРОС-ОТВЕТ. БАРАХОЛКА 11
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 0
NeLamer ВОПРОС-ОТВЕТ. БАРАХОЛКА 10
0b170xor ВОПРОС-ОТВЕТ. БАРАХОЛКА 6
Platon666 ВОПРОС-ОТВЕТ. БАРАХОЛКА 4
H ВОПРОС-ОТВЕТ. БАРАХОЛКА 13
D ВОПРОС-ОТВЕТ. БАРАХОЛКА 3
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 27
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 18
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 5
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 2
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 3
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 19
S ВОПРОС-ОТВЕТ. БАРАХОЛКА 14
ason ВОПРОС-ОТВЕТ. БАРАХОЛКА 23
сега ВОПРОС-ОТВЕТ. БАРАХОЛКА 5
Верх Низ