black4

Обнаружение вторжений Windows

В этой теме 4 сообщения

Привет народ. На Youtube я смотрел видео по инф.без., в котором девушка специалист по инф. без. извлекала винчестер из компьютера в банке, что бы у себя в офисе исследовать его содержимое на следы взлома.

У меня аналогичная цель - приобрести навыки по исследованию вторжений в свой компьютер. С чего следует начать, где что искать в фалах на диске, что бы обнаружить следы вторжения. Я так понимаю Винда ведет логи а где эти логи найти на диске С? Или вот такой вопрос- я замечаю следы проникновения- компьютер тормозит, софт работает с ощутимыми глюками, и т.п. Я запускаю например netstat -an посмотреть соединения, и у меня вопрос- может злоумышленник скрыть свое присутствие что бы netstat -an не выдал его коннект к моему компьютеру. Возможно это не злоумышленник, а вирус- тогда с чего начинать искать в системе у себя этот вирус?

Одним словом меня интересует, научится определять проникновение в компьютер под Виндой, то ли это вирус то ли злоумышленник. У меня за плечами значительный опыт на С++, я ИТ- специалистом проработал всю жизнь. Как без помощи "левого" софта который часто заражен- самому научится определять и устранять вторжения к себе в комп.

То есть как такой вопрос решают профессионалы? С чего начать изучать эту проблему?

Заранее спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Венда мало чего путного ведет просто так, все надо донастраивать и при этом мало будет информации. Если мы говорим о обнаружении вторжения (IDS), то тут надо анализировать сетевой трафик, разобраться в работе протоколов и OSI, затем перехватить или перенаправить трафик на специализированно ПО, может быть обычный linux с snort\surricat, или самому копаться в пакетах, может быть и венда с специализированный ПО как IDS, так и для ручного извращения wireshark.

То чем занималась девушка называется Forensic можно почитать тут (https://geektimes.ru/post/136816/ )

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Давайте четко разберемся что именно нужно. Если нужны знания и умения провести анализ системы на предмет заражения вредоносом или несанкционированного доступа, то это одно. Здесь нужно начать с умения обнаруживать подозрительную активность, аномалии. Можно научиться этому здесь https://virusinfo.info/content.php?r=384-learningrules Далее развиваться в сторону анализа сетевого трафика и связанных с этим подозрительных активностей.

Если же интересно расследование уже произошедшего инцидента, то это другое. Здесь нужно вникать в компьютерную форензику. Это целая дисциплитна внутри ИБ. У нас есть несколько статей на эту тему:

https://www.anti-malware.ru/analytics/Technology_Analysis/use__eMMC_standard_for_data_access_in_mobile_devices

https://www.anti-malware.ru/analytics/Technology_Analysis/Forensic_data_extraction_from_mobile_devices_Apple

https://www.anti-malware.ru/analytics/Technology_Analysis/How_create_forensic_copy_hard_disc

https://www.anti-malware.ru/analytics/Technology_Analysis/analysis_cloud_storage_investigation_of_crimes

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

спасибо, для начала ознакомится достаточно. в общем случае, для выхода в интернет, надо svchost что бы выходил в интернет, плюс порт 80 и 443 то есть для http и https. и вот насколько я понял- можно в файерволе заблокировать все- оставить только выход svchost и эти два порта для интернет браузера. я правильно думаю? и еще вопрос- модуль Alexa в Windows в каком dll файле расположен?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • ToptynOON
      Желательно оставлять ссылку на официальный сайт, у вас конечно не много рекламы но все же есть риск скачать амиго. Так что ссылка на оф.сайт http://adguard.mobi/
    • djum
      Ставь Авас т  не парься.... Из бесплатных он один из лучших, если не лучший... У меня именно он, даи если хочешь, вон почти по всем обзорам: 4пда, гикхакер, компревю все в основном его рекомендуют... Так что можешь смело ставить...  
    • PR55.RP55
      Разобрался в чём дело. uVS  не видит настройки. А именно:  Перенес кеша Google Chrome, Firefox или Opera и т.д. т.е. не видит изменения в файле:  profiles.ini %appdata%\Mozilla\Firefox\profiles.ini uVS просто всё сносит по Alt+Del - все настройки, расширения, закладки. Про перенос кеша браузеров: https://sonikelf.ru/perenos-kesha-brauzerov-google-chrome-firefox-opera/ Я так понимаю, что он при изменении настроек много чего не видит ( думаю и ряд активных файлов\дополнений )
    • PR55.RP55
      + По этой теме:  http://www.tehnari.ru/f35/t256998/ C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\WINHTTP.DLL Файл не попал в список подозрительных - хотя имя файла соответствует системному: C:\WINDOWS\SYSWOW64\WINHTTP.DLL
      C:\WINDOWS\SYSTEM32\WINHTTP.DLL + Файл явно в автозапуске  - чего опять же не видно. по всей видимости ситуация аналогична раннее исправленной ошибке с wsaudio.dll ----------- + Вчера запустил uVS > отфильтровал все отсутствующие и применил для них: все файлы в текущей категории ( с учётом фильтра проверены )  > и  применил Alt+Del У меня на Mozilla Firefox снесло все расширения ( 3) два из которых были отключены. причём сами файлы в каталоге: Application Data\Mozilla\Firefox\Profiles\********.default\extensions присутствуют - но браузер их не видит.
    • santy
      и здесь тот случай, когда предполагаемое вредоносное действие может быть задетектировано через критерии, но статус "проверенный" восстанавливается за счет чистого хэша легитимного файла.