• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Решено Вредонос не определяющийся антивирусами

C

c0de3r

Уважаемые форумчане Сodeby.net
Прошу помочь мне в одной не простой задаче Речь идет про ручную работу, возможно использовав вспомогательноые программы, вообщем имеется ПК на нем содержится троян или какая нибудь другая вредоносная программа или к примеру он участвовал в DDoS на сайт, использовав при этом LOIC или HOIC . Антивирус не определяет даже с последними обновлениями баз.(Неважно какой, даже самый лучший на свете)
1. Какие действия необходимо выполнить чтобы найти следы деятельности вредоносного ПО, и как понять что твой ПК участвовал в DDoS через LOIC или HOIC ?
2. Можно ли определить примерную дату заражения или извлечь еще какую нибудь полезную информацию ?
3. И что делать если вредоносное ПО замаскировалось под настоящее.
 
Последнее редактирование модератором:

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 352
BIT
0
Привет! Посмотри логи подключений этого хоста на внешние адреса, логи подключений роутера (возможно выявишь дату), если он за NAT. Есть софт который может помочь определить какой процесс куда стучится - link removed
 
  • Нравится
Реакции: fuzscore и c0de3r
C

c0de3r

У кого еще какие нибудь предположения ?
 

z3RoTooL

Grey Team
28.02.2016
803
696
BIT
9
ну можно включить комп, ничего не запускать на нём и послушать трафик wireshark например... посмотреть куда он стучится, может выяснишь чего... А откуда инфа, что комп участвовал в чём-то ? ты мент чтоль ?
 
  • Нравится
Реакции: BaJIepraH и Vander
C

c0de3r

Инфа гипотетическая . Нет я не он самый .
 

z3RoTooL

Grey Team
28.02.2016
803
696
BIT
9
:)) ну я думаю хрен так с ходу что-то обнаружить можно, если его хорошо шифранули. Смотри процессы, какой от чего запущен, смотри какой трафик куда идёт. Потому что если комп часть ботнета, клинтская часть с нагрузкой должна всегда висеть в процессах, иначе как он будет получать команду от сервера.
 
  • Нравится
Реакции: c0de3r и Vander
C

c0de3r

Может еще у кого какие дельные советы или идеи ? ))) Может кто то где то читал об этом , я был бы признателен за ссылку на ресурс
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Я + за вариант с ваершарком.
Программой autoruns можно посмотреть что стартует при запуске компьютера,какие программы в реестре,планировщик заданий и т.д.
Вот не плохой обзор программы autoruns
 
  • Нравится
Реакции: c0de3r

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 352
BIT
0
Я + за вариант с ваершарком.
Программой autoruns можно посмотреть что стартует при запуске компьютера,какие программы в реестре,планировщик заданий и т.д.
Вот не плохой обзор программы autoruns
Да, это даст полную инфу
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!