Доброго времени суток! Подскажите пожалуйста, как обычному юзеру научиться выявлять трояны, которые находятся в оперативной памяти - ведь антивирусы для них зачастую не являются барьером. В интернете пишут что все же такие вирусы оставляют следы в реестре, дампах, а так же их можно вычислить по сетевой активности. Есть ли какие-то утилиты заточенные именно для выявления таких вирусов? Я знаю о таких программах как Wireshark или Process Monitor. Можно их как то настроить чтобы автоматизировать процесс мониторинга?
-
B правой части каждого сообщения есть стрелки ⇧ и ⇩. Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок ✔ в правой части сообщения.
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Мониторинг вирусов, живущих в оперативной памяти
- Автор темы nebobo
- Дата начала
Сильно размазанный вопрос.
Аверы вполне себе справляются со своей работой, ну или как минимум не плохо помогают.
Далее.. нужны знания ОС что бы ручками что то искать.. но первые шаги это конечно реестр, и автозагрузка + tmp
----------------------------------------
Автозагрузка: в Win + r и в форму ----> Msconfig
Реестр Win + r и в форму ----> regedit
Варнинг: Реестре это вам не это, и клубы черного дыма из системника + ядовитосиний экран
-------- Текущий
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
--------для всех
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
-------------------------------------------------------------------------------------------
"Акула" слишком сложно.
NetworkMiner вполне себе + следит за тем, кто непосредственно осуществляет эту отправку и получение.
Зы. Ну мало ли..
Аверы вполне себе справляются со своей работой, ну или как минимум не плохо помогают.
Далее.. нужны знания ОС что бы ручками что то искать.. но первые шаги это конечно реестр, и автозагрузка + tmp
----------------------------------------
Автозагрузка: в Win + r и в форму ----> Msconfig
Реестр Win + r и в форму ----> regedit
Варнинг: Реестре это вам не это, и клубы черного дыма из системника + ядовитосиний экран
-------- Текущий
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
--------для всех
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
-------------------------------------------------------------------------------------------
"Акула" слишком сложно.
NetworkMiner вполне себе + следит за тем, кто непосредственно осуществляет эту отправку и получение.
Зы. Ну мало ли..
Обучение наступательной кибербезопасности в игровой форме. Начать игру!