Toggle sidebar

Найти и разобрать вирус

B

Bush_Kape

Green Team
24.01.2018
37
8
Всем доброго времени суток!
Есть жесткий диск с вирусом точно известно, данный вредитель унёс важную информацию.
Задача:
1)Как его найти не повредив?
2)Как его разобрать и вынести из него ценную информацию(куда унёс или отправил файлы)?
Буду признателен за любую информацию, если задаю банальные вопросы и есть ответы в актуальных статьях, буду любезен за предоставленную информацию ссылками.
Заранее спасибо!
 
Последнее редактирование:
Сортировать по дате Сортировать по голосам
Если я правильно понял, тогда
1) Сканирование ПК (например тулзой drweb) - отметив в настройках "в карантин все отправлять"
2) Найденный вирус загрузить для анализа (разбора) на сайт того же drweb-парсера
3) Если с парсером запутаешься, обратиться в тех.поддержку drweb.
 
За 0 Против
Чтобы узнать куда вирус передал инфу(любые байты) можно его найти любым средством AV, затем либо декомпилировать и найти IP сервера либо на виртуальной машине(VirtualBox & WMare) запустить и проверить сетевую активность(Process Hacker).
Хорошо было, если был бы дамп памяти(Тогда можно более все детально узнать)

Bush_Kape сказал(а):
Как снять дамп памяти?
Нажмите, чтобы раскрыть...
Дамп нужен того времени когда вирус атаковал(отправлял данные)
 
За 0 Против
Debug сказал(а):
Чтобы узнать куда вирус передал инфу(любые байты) можно его найти любым средством AV, затем либо декомпилировать и найти IP сервера либо на виртуальной машине(VirtualBox & WMare) запустить и проверить сетевую активность(Process Hacker).
Хорошо было, если был бы дамп памяти(Тогда можно более все детально узнать)
Нажмите, чтобы раскрыть...
Как снять дамп памяти?

Debug сказал(а):
Дамп нужен того времени когда вирус атаковал(отправлял данные)
Нажмите, чтобы раскрыть...
Точное время известно, их с логов системы снять? Стоит windows 7
 
За 0 Против
Bush_Kape сказал(а):
Как снять дамп памяти?
Нажмите, чтобы раскрыть...
  1. Открыть Диспетчер задач Windows (например, нажав Ctrl + Shift + Esc).
  2. Перейти на вкладку "Процессы", если у вас Windows Vista/7. Перейти на вкладку "Подробности", если у вас Windows 8/8.1/10. В Windows XP снять дамп памяти процесса через Диспетчер задач невозможно.
  3. Нажать кнопку "Отображать процессы всех пользователей".
  4. Найти процесс с необходимым PID. Если PID не отображается в списке, используейте "Вид -> Выбрать столбцы... -> ИД процесса (PID)".
  5. Кликнуть правой кнопкой на интересующем процессе и выбрать пункт "Создать файл дампа памяти". После завершения сбора дампа вам отобразиться окно с указанием пути расположения самого дампа.
 
За 0 Против
Прошу прощения , а снифером если перезапустить вирус никак нельзя узнать?
 
За 0 Против
Bush_Kape сказал(а):
Всем доброго времени суток!
Есть жесткий диск с вирусом точно известно, данный вредитель унёс важную информацию.
Задача:
1)Как его найти не повредив?
2)Как его разобрать и вынести из него ценную информацию(куда унёс или отправил файлы)?
Буду признателен за любую информацию, если задаю банальные вопросы и есть ответы в актуальных статьях, буду любезен за предоставленную информацию ссылками.
Заранее спасибо!
Нажмите, чтобы раскрыть...

Что вам даст информация о том, куда он что-либо отправил? Ну будет там IP центра управления в банановой республике. Что дальше?

По поводу расследования инцидента тут вы найдете массу материалов:
Компьютерная криминалистика (форензика): каталог статей "list of articles".
Точечно можете задать вопрос @Sunnych - он модератор раздела "форензика". Является экспертом в данной области
 
Последнее редактирование:
За 0 Против
pr0phet сказал(а):
Что вам даст информация о том, куда он что-либо отправил? Ну будет там IP центра управления в банановой республике. Что дальше?

По поводу расследования инцидента тут вы найдете массу материалов:
Компьютерная криминалистика (форензика): каталог статей "list of articles".
Точечно можете задать вопрос @Sunnych - он модератор раздела "форензика". Является экспертом в данной области
Нажмите, чтобы раскрыть...
Если работал не профи, и использовал статический ip адрес, так как я уже установил что был обычный рат.
 
За 0 Против
Bush_Kape сказал(а):
Если работал не профи, и использовал статический ip адрес, так как я уже установил что был обычный рат.
Нажмите, чтобы раскрыть...
IP то явно статический, но дедика или впс, купленный за битки. Надо быть на всю голову отстреленным, чтобы делать такое с реального ип.
 
За 0 Против
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

Koloboking
  • Статья Статья
Статья Цифровой коллапс: как вирус за 11 минут парализовал крупнейшую нефтяную компанию мира
Ответы
0
Просмотры
984
Новости кибербезопасности
Koloboking
Koloboking
DeathDay
  • Статья Статья
Статья Историческая вирусология: как срывалась ядерная программа Ирана - повествование о самом сложном вирусе-ассасине - Flame: история, хронология, анализ
Ответы
0
Просмотры
2 тыс.
Новости кибербезопасности
DeathDay
DeathDay
Сергей Попов
  • Статья Статья
Статья Nmap уже не тот? Эти 5 команд сделают из тебя гуру сетевого сканирования!
Ответы
0
Просмотры
1 тыс.
Арсенал специалиста по ИБ
Сергей Попов
Сергей Попов
Сергей Попов
  • Статья Статья
Статья FAQ начинающего в ИБ: от выбора языка до первого оффера. Разбор от экспертов Codeby 🔥
Ответы
0
Просмотры
916
Карьера в ИБ: вакансии и проекты
Сергей Попов
Сергей Попов

Hacker Lab

Категории

CTF и практические задания
127
Linux и инфраструктура
32
Анонимность и приватность
121
Инструменты пентестера
169
Искусственный интеллект и ИБ
3
Кибербезопасность
686
Конкурсы и активности
62
Криптография и шифрование
51
Мобильная безопасность
40
Новости и события
143
Программирование для ИБ
227
Работа и обучение в ИБ
119
Сетевые технологии
24
Форензика и OSINT
192

Наши курсы

Пользователи онлайн

Всего: 1 823 (пользователей: 21, гостей: 1 802)

Статистика форума

Темы
50 722
Сообщения
345 378
Пользователи
138 463
Новый пользователь
mice
Верх Низ
Назад