AutoRun по-прежнему представляет угрозу под Windows
Автор
AM_Bot, в Общий форум по информационной безопасности
Объявления
-
Сообщения
-
От demkd · Опубликовано
Дополнение:
В Vista dns лог не работает и работать не будет,
Win7, Win8 не работает, но возможно получится прикрутить в урезанном виде без фильтрации левых адресов и ответа сервера.
Работает начиная с Win 8.1.
Адреса можно вносить в базу проверенных. -
От demkd · Опубликовано
---------------------------------------------------------
4.11.7
---------------------------------------------------------
o Твики 39 и 40 обновлены и теперь включают ведение DNS лога.
В uVS добавлен раздел "DNS лог", в нем находятся адреса, которые запрашивали процессы с момента загрузки системы,
в окне информации для каждого адреса указан процесс, его pid, дата обращения к DNS и результат, если он был, промежуточные адреса
в список не включены. Например при запросе IP адреса CXCS.MICROSOFT.NET будет получен адрес CXCS.MICROSOFT.NET.EDGEKEY.NET,
который в свою очередь будет ссылаться например на E3230.B.AKAMAIEDGE.NET, в итоге в список попадет лишь исходный адрес CXCS.MICROSOFT.NET,
промежуточные адреса будут отфильтрованы.
Этот раздел поможет в выявлении зловредов/майнеров и руткитов подключающихся к определенным адресам.
(!) После включения функции требуется перезагрузить систему,
(!) только в этом случае вы получите полную информацию с момента загрузки системы.
(!) Только для активных и удаленных систем начиная с Vista (NT6.0).
(!) Включение ведения DNS лога требует дополнительно 512mb на системном диске, этого объема хватает на 30-50 минут,
(!) поэтому рекомендуется проводить анализ или создание образа сразу после перезагрузки. -
От santy · Опубликовано
да, уж. пишут с ошибками, а туда же - про обслуживание на высшем уровне -
От akoK · Опубликовано
И в эту тему спамеры добрались. -
От PR55.RP55 · Опубликовано
Предлагаю создать новую базу SHA1(+ ) < > ЭЦП Это не база проверенных файлов... Это база проверенных файлов с ЭЦП. т.е. На системе №1 Проверяем файл ( ЭЦП - проходит проверку ) > SHA1 файла добавляется в базу SHA1(+ ) > Оператор переходит к системе №2 и проверяет ЭЦП ... по базе SHA1(+). Почему по базе... Возможна ли проверка SHA2 на WINDOWS XP и т.д ; На системах без обновлений с повреждённым каталогом ЭЦП ? А так... Программа вычисляет SHA1 файла > SHA1 проверяется по базе SHA1(+ ) ... > ЭЦП есть в базе = подтверждение цифровой. + Выигрыш по времени при проверке. Да, подпись могут отозвать и т.д. Но...
-