Перейти к содержанию

Recommended Posts

black4

Привет народ. На Youtube я смотрел видео по инф.без., в котором девушка специалист по инф. без. извлекала винчестер из компьютера в банке, что бы у себя в офисе исследовать его содержимое на следы взлома.

У меня аналогичная цель - приобрести навыки по исследованию вторжений в свой компьютер. С чего следует начать, где что искать в фалах на диске, что бы обнаружить следы вторжения. Я так понимаю Винда ведет логи а где эти логи найти на диске С? Или вот такой вопрос- я замечаю следы проникновения- компьютер тормозит, софт работает с ощутимыми глюками, и т.п. Я запускаю например netstat -an посмотреть соединения, и у меня вопрос- может злоумышленник скрыть свое присутствие что бы netstat -an не выдал его коннект к моему компьютеру. Возможно это не злоумышленник, а вирус- тогда с чего начинать искать в системе у себя этот вирус?

Одним словом меня интересует, научится определять проникновение в компьютер под Виндой, то ли это вирус то ли злоумышленник. У меня за плечами значительный опыт на С++, я ИТ- специалистом проработал всю жизнь. Как без помощи "левого" софта который часто заражен- самому научится определять и устранять вторжения к себе в комп.

То есть как такой вопрос решают профессионалы? С чего начать изучать эту проблему?

Заранее спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Onixus

Венда мало чего путного ведет просто так, все надо донастраивать и при этом мало будет информации. Если мы говорим о обнаружении вторжения (IDS), то тут надо анализировать сетевой трафик, разобраться в работе протоколов и OSI, затем перехватить или перенаправить трафик на специализированно ПО, может быть обычный linux с snort\surricat, или самому копаться в пакетах, может быть и венда с специализированный ПО как IDS, так и для ручного извращения wireshark.

То чем занималась девушка называется Forensic можно почитать тут (https://geektimes.ru/post/136816/ )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Давайте четко разберемся что именно нужно. Если нужны знания и умения провести анализ системы на предмет заражения вредоносом или несанкционированного доступа, то это одно. Здесь нужно начать с умения обнаруживать подозрительную активность, аномалии. Можно научиться этому здесь https://virusinfo.info/content.php?r=384-learningrules Далее развиваться в сторону анализа сетевого трафика и связанных с этим подозрительных активностей.

Если же интересно расследование уже произошедшего инцидента, то это другое. Здесь нужно вникать в компьютерную форензику. Это целая дисциплитна внутри ИБ. У нас есть несколько статей на эту тему:

https://www.anti-malware.ru/analytics/Technology_Analysis/use__eMMC_standard_for_data_access_in_mobile_devices

https://www.anti-malware.ru/analytics/Technology_Analysis/Forensic_data_extraction_from_mobile_devices_Apple

https://www.anti-malware.ru/analytics/Technology_Analysis/How_create_forensic_copy_hard_disc

https://www.anti-malware.ru/analytics/Technology_Analysis/analysis_cloud_storage_investigation_of_crimes

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
black4

спасибо, для начала ознакомится достаточно. в общем случае, для выхода в интернет, надо svchost что бы выходил в интернет, плюс порт 80 и 443 то есть для http и https. и вот насколько я понял- можно в файерволе заблокировать все- оставить только выход svchost и эти два порта для интернет браузера. я правильно думаю? и еще вопрос- модуль Alexa в Windows в каком dll файле расположен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Lavrans
      Могу еще Мелбет букмекера порекомендовать 
      Я на него полный обзор на https://ratingbet.com/bookmaker/myelbyet-obzor-bukmyekyerskoy-kontory-melbet.html имею 
      Действительно,  честная компания,  которая всегда идет на встречу своим клиентам. В любых  непонятных  ситуациях сразу же обращаюсь в службу поддержки,  они оперативно реагируют на заявки
    • MarijyaFrolova
      Играешь за тётку ангела или типо того, по мере прохождения получаешь/апгрейдишь крылья. Дерешься мечем, можно летать вроде. Присутствуют элементы головоломок, типо в принце Персии, но это не точно. Геймплей не особо длинный часов может на 6-10. По месту действия вспоминаются перемещения по парящим островкам не большим.Может, кто знает название игры?
    • Mawa27
      Здравствуйте)Я довольно часто заказываю букеты, так как живу далеко от своих родственников и единственным вариантом их поздравить остается букет на заказ. Чаще всего пользуюсь фирмой https://kvitochka.kiev.ua/ .У них очень оригинальные и красивые букеты, особенно люблю те, что в коробках. Смотрятся очень стильно и при этом красиво.Так что рекомендую вам)
    • Sawa26
      Где заказать шикарный букет цветов?
    • Mawa27
      Компания ProHoster запускает линейку дешевых выделенных серверов LC Intel  от 26,7$. Рекордно низкая стоимость обеспечит Вам максимальный доход. Размещение - Украина. Процессоры Intel и Intel Core. Есть возможность установить ОС Windows server 2008 R2 и Windows server 2012 R2. Доступ к серверу через DCI панель.     Конфигурации серверов:   Тариф LC Intel G1610 по цене $26.7/месяц + Установочная цена 12$ 4Gb ОЗУ 500GB Intel G1610 CPU or similar 1 IPv4    Тариф LC Intel Core i5 по цене $34.7/месяц + Установочная цена 12$ 8Gb ОЗУ 2x500GB Intel i5 CPU or similar 1 IPv4   Тариф LC Intel Core i7 по цене $40/месяц + Установочная цена 12$ 16Gb ОЗУ 2x500GB Intel i7 CPU or similar 1 IPv4   Подробнее о тарифах, а также информацию о других услугах можете найти на нашем сайте
×