• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Найти и разобрать вирус

Bush_Kape

Green Team
24.01.2018
37
8
BIT
0
Всем доброго времени суток!
Есть жесткий диск с вирусом точно известно, данный вредитель унёс важную информацию.
Задача:
1)Как его найти не повредив?
2)Как его разобрать и вынести из него ценную информацию(куда унёс или отправил файлы)?
Буду признателен за любую информацию, если задаю банальные вопросы и есть ответы в актуальных статьях, буду любезен за предоставленную информацию ссылками.
Заранее спасибо!
 
Последнее редактирование:
A

am29f010b

Если я правильно понял, тогда
1) Сканирование ПК (например тулзой drweb) - отметив в настройках "в карантин все отправлять"
2) Найденный вирус загрузить для анализа (разбора) на сайт того же drweb-парсера
3) Если с парсером запутаешься, обратиться в тех.поддержку drweb.
 

Debug

Red Team
07.07.2017
217
445
BIT
4
Чтобы узнать куда вирус передал инфу(любые байты) можно его найти любым средством AV, затем либо декомпилировать и найти IP сервера либо на виртуальной машине(VirtualBox & WMare) запустить и проверить сетевую активность(Process Hacker).
Хорошо было, если был бы дамп памяти(Тогда можно более все детально узнать)

Как снять дамп памяти?
Дамп нужен того времени когда вирус атаковал(отправлял данные)
 

Bush_Kape

Green Team
24.01.2018
37
8
BIT
0
Чтобы узнать куда вирус передал инфу(любые байты) можно его найти любым средством AV, затем либо декомпилировать и найти IP сервера либо на виртуальной машине(VirtualBox & WMare) запустить и проверить сетевую активность(Process Hacker).
Хорошо было, если был бы дамп памяти(Тогда можно более все детально узнать)
Как снять дамп памяти?

Дамп нужен того времени когда вирус атаковал(отправлял данные)
Точное время известно, их с логов системы снять? Стоит windows 7
 

lameruser

Green Team
03.09.2016
54
17
BIT
151
Как снять дамп памяти?
  1. Открыть Диспетчер задач Windows (например, нажав Ctrl + Shift + Esc).
  2. Перейти на вкладку "Процессы", если у вас Windows Vista/7. Перейти на вкладку "Подробности", если у вас Windows 8/8.1/10. В Windows XP снять дамп памяти процесса через Диспетчер задач невозможно.
  3. Нажать кнопку "Отображать процессы всех пользователей".
  4. Найти процесс с необходимым PID. Если PID не отображается в списке, используейте "Вид -> Выбрать столбцы... -> ИД процесса (PID)".
  5. Кликнуть правой кнопкой на интересующем процессе и выбрать пункт "Создать файл дампа памяти". После завершения сбора дампа вам отобразиться окно с указанием пути расположения самого дампа.
 
A

arsof

Прошу прощения , а снифером если перезапустить вирус никак нельзя узнать?
 

pr0phet

Platinum
02.04.2018
358
496
BIT
12
Всем доброго времени суток!
Есть жесткий диск с вирусом точно известно, данный вредитель унёс важную информацию.
Задача:
1)Как его найти не повредив?
2)Как его разобрать и вынести из него ценную информацию(куда унёс или отправил файлы)?
Буду признателен за любую информацию, если задаю банальные вопросы и есть ответы в актуальных статьях, буду любезен за предоставленную информацию ссылками.
Заранее спасибо!

Что вам даст информация о том, куда он что-либо отправил? Ну будет там IP центра управления в банановой республике. Что дальше?

По поводу расследования инцидента тут вы найдете массу материалов:
Компьютерная криминалистика (форензика): каталог статей "list of articles".
Точечно можете задать вопрос @Sunnych - он модератор раздела "форензика". Является экспертом в данной области
 
Последнее редактирование:

Bush_Kape

Green Team
24.01.2018
37
8
BIT
0
Что вам даст информация о том, куда он что-либо отправил? Ну будет там IP центра управления в банановой республике. Что дальше?

По поводу расследования инцидента тут вы найдете массу материалов:
Компьютерная криминалистика (форензика): каталог статей "list of articles".
Точечно можете задать вопрос @Sunnych - он модератор раздела "форензика". Является экспертом в данной области
Если работал не профи, и использовал статический ip адрес, так как я уже установил что был обычный рат.
 

pr0phet

Platinum
02.04.2018
358
496
BIT
12
Если работал не профи, и использовал статический ip адрес, так как я уже установил что был обычный рат.
IP то явно статический, но дедика или впс, купленный за битки. Надо быть на всю голову отстреленным, чтобы делать такое с реального ип.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!