Актуально Поиск в Windows следов взлома

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

vitalii.biehunov

Участник

vitalii.biehunov

Участник
7 Июл 2017
1
0
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
– это несложная программа для выявления признаков компрометации. Она поможет увидеть явные признаки проникновения и заражения компьютера. Также она является хорошим инструментом для изучения и понимания своей операционной системы, происходящих в ней процессов.

Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!


В этой заметке будет рассказано о
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
– простом сканере для обнаружения признаков взлома. У Loki открыт исходный код, программа бесплатна, является кроссплатформенной, включает в себя возможности ряда бесплатных инструментов и открытых баз данных по вредоносным файлам. На данный момент программа активно развивается и постоянно пополняется новыми сигнатурами.

Вы можете проверить свой компьютер или сервер как на Linux, так и на Windows.

Я рассмотрю запуск и анализ результатов на Windows.

Скачайте последний выпуск программы с
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
. Распакуйте архив. Программа не требует установки, достаточно распаковать скаченный архив. Для запуска откройте командную строку: нажмите Win+x и выберите «Командная строка (администратор)». Начните с обновления программы и сигнатур, для этого перетащите в открывшееся окно командной строки файл loki-upgrader.exe, нажмите ENTER и дождитесь завершения процесса.

После этого перетащите в командную строку файл loki.exe и нажмите ENTER — начнётся сканирование всегокомпьютера.

Если вы не доверяете исполнимым файлам, то на
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
программы описано, как самостоятельноскомпилировать её из исходного кода.

В первую очередь, нужно обращать внимание на сообщения, выделенные красным:
Посмотреть вложение 29532
В поле DESCRIPTION дано описание файла и причины его подозрительности. Обычно это вирусы, бэкдоры и другие подобные программы, которые не могут присутствовать на компьютерах большинства пользователей (если они не занимаются анализом вредоносного ПО).

Далее следует обратить внимание на жёлтые предупреждения:
Посмотреть вложение 29533
На первом сркиншоте – найден инструмент для восстановления
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
.

Найдена программа для
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
:
Посмотреть вложение 29534
Если вы их не скачивали, то подобных программ не должно быть в вашей системе. Их мог забыть человек, который пытался извлечь сведения из вашего компьютера.

Здесь:
Посмотреть вложение 29535
подозрительный владелец процесса (возможно, проблема в кириллице).

Уведомления, помеченные синим, могут означать вполне легитимную деятельность. Например, на этомскриншоте подключения работающего веб-браузера:
Посмотреть вложение 29536
Далее Tor и приложение для VoIP:
Посмотреть вложение 29537
Посмотреть вложение 29538
В данном случае они являются легитимными – установлены владельцем. Тем не менее, стоит просмотреть, какие программы прослушивают порты или устанавливают соединения.

Далее пример исполнимого файла,который расположен в директории, где обычно не должно быть исполнимых файлов. Это не обязательновредоносные файлы, но на них стоит обратить внимание:
Посмотреть вложение 29539
Судя по всему, ложное срабатывание (файл идентифицирован по одному только имени файла), тем не менее, стоит хотя бы посмотреть дату создания, цифровые подписи, наличие активности и т.д.:
Посмотреть вложение 29540
Программа нашла исполнимый файл
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
:
Посмотреть вложение 29541
Вероятно, ложное срабатывание (слишком общий паттерн поиска для Cloud Hopper):
Посмотреть вложение 29542

Файл Microsoft Office содержащий функцию AutoOpen (такое редко встречается в нормальных офисных файлах):
Notice:
FILE: C:\Users\Alex\Downloads\INFO_0323310510_alexey\9806.doc SCORE: 40 TYPE: OLE SIZE: 90112
FIRST_BYTES: d0cf11e0a1b11ae1000000000000000000000000 /
MD5:31746eb6e63d4d3dc913121b0a4f3146
SHA1: 49cb5f309931a282c466a8f4e0bc60773731fb76
SHA256:e5a489137478adc100409ca51e69f957991c3e0aad477a4de3bfea1fc41b10ee CREATED: Tue Jan 17 08:20:49 2017 MODIFIED: Tue Jan 17 06:05:01 2017 ACCESSED: Tue Jan 17 08:20:49 2017
REASON_1: Yara Rule MATCH: Office_AutoOpen_Macro SUBSCORE: 40 DESCRIPTION: Detects an Microsoft Office file that contains the AutoOpen Macro function MATCHES: Str1: AutoOpen Str2: Macros
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя