Troieni de vânătoare manual
În acest articol veți găsi răspunsuri la următoarele întrebări:
- Ce ar trebui să fac dacă presupun că aveți pe computerul dvs. Windows un program spyware sau un troian?
- Cum să găsiți un troian sau spyware dacă antivirusul sau AdWare nu îl găsiți?
Dacă descriem pe scurt procesul de căutare a unui program care efectuează acțiuni nedorite, atunci algoritmul este de obicei:
Primul punct este destul de ușor de înțeles și ajută în 80% din cazuri. Pentru al treilea punct este necesar să luăm cazul cel mai neglijat și chiar mai bine cu un specialist în securitate informatică (în continuare KB). Să încercăm să realizăm acțiunile descrise în al doilea paragraf. Mai mult, cu o execuție atentă a tuturor operațiunilor, puteți găsi și ucide orice muck care sa scufundat în computer.
Există o întrebare dacă este necesar să fiți deconectat de pe Internet dacă căutăm un virus sau un troian? Veți avea nevoie de diverse utilitare pentru a căuta troianul (care va fi descris în mod specific mai jos). Dacă aceste utilitare există deja pe hard disk sau pe un CD-ROM sau dacă aveți posibilitatea să mergeți la discurile necesare sau să descărcați și să inscripționați programele necesare pe un CD pe alt computer neinfectat, atunci trebuie să vă deconectați de la rețea. Acest lucru trebuie făcut pentru a preveni scurgeri ulterioare de informații de la computer. Deconectați chiar și de la rețeaua locală, de exemplu, rețeaua de birou sau rețeaua de domiciliu, pentru a nu infecta calculatoarele vecine.
Cu toate acestea, uneori există cazuri deosebit de neglijate în care trebuie să descărcați programele necesare prin Internet. De exemplu, am venit să vizitez rude în Siberia, m-am bucurat să am un computer cu acces modem la Internet, să mă așez la el și să mă duc la obișnuință. a detectat imediat troianul în lista de procese. Din moment ce programele potrivite nu erau la îndemână, trebuiau tratate manual. Singura "protecție" a acestui computer cu Windows XP a fost un antivirus mândru cu baze de date de virusi acum doi ani. În Windows, ICF nu a fost nici măcar inclus.
Din nefericire, majoritatea covârșitoare a utilizatorilor nu au experiență și nu cunosc problemele legate de securitatea calculatoarelor. Computerele de pe platforma Intel și sistemul de operare Windows sunt produse de înaltă tehnologie. La urma urmei, chiar și printre cei care folosesc programul bine cunoscut Microsoft Word, nu atât de mulți oameni care l-au studiat în cursuri sau cel puțin au citit documentația. Ce putem spune despre educația din domeniul securității informatice.
Nu se pune la dispoziția fiecărui utilizator al unui specialist în domeniul securității informatice. Prin urmare, pe astfel de computere, toate pregătirile pe care proprietarii le vor face ei înșiși atunci când troianul rulează și Internetul este conectat, pentru că Internetul este singurul loc unde pot găsi ajutor și software pentru a căuta troieni. Mai ales ceea ce le este frică - toți troianii importanți au furat deja și i-au trimis proprietarului. Dar chiar și în acest caz, după ce ați descărcat toate utilitățile necesare pe discul local, trebuie să vă deconectați de la rețea.
Deci, sarcina de luptă este de a finaliza cu succes trei etape: găsiți un troian, omorâți-l și schimbați parolele furate. Este în această secvență.
Notă: programul din sistemul de operare Windows este reprezentat ca un proces în care mai multe fire pot funcționa și toate aceste fire sunt încărcate în memorie din fișierele stocate pe disc. De regulă, acestea sunt fișiere cu extensia EXE și DLL. Extensiile pot fi altele. Atacatorii folosesc adesea alte extensii, astfel încât nimeni nu poate ghici.
Unele manifestări ale programelor troian sunt:
- conexiuni neautorizate la diferite gazde de pe Internet;
- Deschideți programele de conectare care așteaptă conexiunea din exterior;
- încercați să deschideți fișiere care nu sunt necesare pentru activitatea normală pe discul local;
- adăugându-vă la listele autorun;
- mascarea pentru procesele de sistem standard și plasarea în folderul sistemului Windows.
Găsiți un troian care așteaptă o conexiune de intrare
Astfel de programe deschid un port TCP pe computerul victimei, îl pun la LISTENING și așteaptă ca hackerul să se conecteze la acest port. Deci, trebuie să identificăm toate procesele pe care porturile TCP le-au deschis și care sunt în starea LISTENING și să decidă dacă aprobați această conexiune sau nu. Același lucru se poate spune despre porturile UDP - acestea ar trebui de asemenea urmărite, cu singura diferență fiind faptul că acestea nu au state - ambele porturi pot primi informații și pot fi trimise. În mișcare, puteți spune că, dacă aveți un computer obișnuit conectat la o linie dedicată sau printr-un modem pe Internet, atunci în mod ideal nu este necesar să ascultați porturi. Chiar dacă aplicațiile sau serviciile Windows au deschis aceste porturi, acestea trebuie să fie închise de un firewall personal.
C: Documente și setăriUser> netstat -ano
TCP 0.0.0.0:135 0.0.0.0:03 LISTENING 856