Trójai vadászat kézzel
Trójai vadászat kézzel
Ebben a cikkben talál választ az alábbi kérdésekre:
- Mit tegyek, ha feltételezheted, hogy számítógépedre telepítettek kémprogramokat vagy trójaiakat?
- Hogyan találhat trójai vagy kémprogramokat, ha a víruskereső vagy az AdWare nem találja?
Ha röviden leírjuk a nemkívánatos műveleteket végrehajtó program keresését, akkor az algoritmus általában:
Az első pont meglehetősen érthető és az esetek 80% -ában segít. A harmadik pont esetében a leginkább elhanyagolt esetet kell figyelembe venni, és még jobb a számítógépes biztonsági szakértő (a továbbiakban KB). Próbáljuk meg végrehajtani a második bekezdésben leírt intézkedéseket. Ezen túlmenően, minden művelet gondos végrehajtásával megtalálhatja és megölheti a számítógépe által süllyedt zagyot.
Van kérdés, vajon szükség van-e leválasztani az internetről, ha vírust vagy trónját keresünk? Különféle segédprogramokra lesz szükséged a trójai megtalálásához (amelyet később részletesen ismertetünk). Ha ezek a segédprogramok már léteznek akár a merevlemezen vagy egy CD-ROM-on, vagy megteheti a szükséges lemezeket, vagy letöltheti és felírhatja a szükséges programokat egy másik fertőzött számítógép CD-jére, akkor kapcsolódnia kell a hálózatból. Ezt meg kell tenni annak érdekében, hogy megakadályozzák a számítógép további információszivárgását. Csatlakoztasson le akár a helyi hálózaton, például az irodai hálózaton vagy az otthoni hálózaton, hogy ne fertőzze meg a szomszédos számítógépeket.
Néha azonban vannak olyan elhanyagolt esetek, amikor a szükséges programokat interneten keresztül kell letölteni. Például egyszer meglátogattam Szibériában rokonokat, örülök, hogy van egy számítógépem, amely modemes internet-hozzáféréssel rendelkezik, leültem neki, és miután rájöttem a szokásra. azonnal észlelte a trójaiat a folyamatok listáján. Mivel a megfelelő programok nem voltak kézben, manuálisan kellett kezelni. A számítógép egyetlen "védelme" a Windows XP-vel két évvel ezelőtt büszke antivírus vírusadatbázisokkal. A Windows-ban az ICF sem szerepelt benne.
Sajnos a felhasználók túlnyomó többsége tapasztalatlan és nem ismeri a számítógépes biztonsági kérdéseket. Az Intel platformon és a Windows operációs rendszeren lévő számítógépek csúcstechnológiájú termékek. Végtére is, még azok között is, akik a jól ismert Microsoft Word programot használják, nem annyira sokan tanultak tanfolyamon, vagy legalábbis elolvasták a dokumentációt. Mit mondhatunk a számítógépes biztonság területén folyó oktatásról?
A számítógépbiztonsági szakember minden felhasználója nem kerül felállításra. Ezért az ilyen számítógépeken minden olyan előkészület, amelyet a tulajdonosok csinálnak maguknak, amikor a trójai futnak, és az internet csatlakozik, mert az internet az egyetlen hely, ahol segítséget és szoftvert találhatnak a trójaiak keresésére. Különösen attól, amitől félnek - az összes fontos trójai már ellopta és elküldte a tulajdonosának. De még ebben az esetben is, miután letöltötte az összes szükséges segédprogramot a helyi lemezre, kapcsolódnia kell a hálózattól.
A harci feladat tehát, hogy sikeresen befejezze három szakaszát: megtalálja a trójaiat, megöli és megváltoztatja ellopott jelszavát. Ebben a sorrendben van.
Megjegyzés: a Windows operációs rendszerben található program olyan folyamat, amelyen több szál működhet, és ezek a szálak a lemezen tárolt fájlokból töltődnek be a memóriába. Rendszerint ezek az EXE és DLL kiterjesztésű fájlok. A bővítmények mások lehetnek. A támadók gyakran használnak más kiterjesztéseket, hogy senki sem találja meg.
A trójai programok néhány megnyilvánulása:
- jogosulatlan kapcsolatok az interneten található különböző házigazdák számára;
- Nyissa meg a külső kapcsolatot váró kapcsolódási programokat;
- próbálja meg megnyitni azokat a fájlokat, amelyek szükségtelenek a normál tevékenységhez a helyi lemezen;
- hozzátéve magát az autorun listákhoz;
- maszkolás a szabványos rendszerfolyamatokhoz és az elhelyezés a Windows rendszer mappájába.
Keressen egy trójai programot, amely vár egy bejövő kapcsolatra
Ezek a programok megnyitják a TCP portot az áldozat számítógépén, beállítják a LISTENING és várják, hogy a hacker csatlakozzon ehhez a porthoz. Tehát meg kell határoznunk azokat a folyamatokat, amelyeket a TCP-portok megnyitottak, és amelyek a LISTENING állapotban vannak, és eldönti, hogy jóváhagyja-e ezt a kapcsolatot vagy sem. Ugyanez mondható el az UDP portokról is - ezeket is figyelni kell, azzal az eltéréssel, hogy nem rendelkeznek állapotokkal - mindkét port képes információt fogadni és elküldeni. Mozgásban elmondhatod, hogy ha egy rendes számítógéphez van csatlakoztatva egy dedikált vonalhoz vagy modemhez az interneten, ideális esetben nem kell hallgatni a portokat. Még akkor is, ha a Windows alkalmazások vagy szolgáltatások megnyitják ezeket a portokat, azokat egy személyes tűzfal zárja le.
C: Dokumentumok és BeállításokUser> netstat -ano
TCP 0.0.0.0:135 0.0.0.0:03 MEGJELENÉS 856