Controlli manuali per segni di infezione su Windows 7

Naviga le tue risposte
2

Supponiamo di voler eseguire alcuni controlli manuali per verificare se il mio computer Windows 7 è stato infettato. Di solito non faccio nulla per infettarlo, ma vorrei verificare se i passaggi seguenti sono sufficienti per fornirmi un livello base di sicurezza che non è stato infettato. In questo scenario, considera che la macchina non ha un antivirus installato.

  1. Riavvia il computer
  2. Uso del comando netstat -ano per vedere se ci sono connessioni esterne dalla mia macchina. Mi assicuro di non aver aperto il browser prima di questo controllo.
  3. Confronta il PID dall'output di netstat -ano con Task Manager di Windows
  4. Controlla altri processi in Task Manager di Windows
  5. Controlla la scheda Esegui avvio da Configurazione di sistema (aperta digitando msconfig al prompt Esegui )

  6. Controlla il Registro in:

    HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run

    HKEY_USERS.DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

    HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

  7. Controlla i registri di Windows

  8. Controlla la cartella Esecuzione automatica da Tutti i programmi

Se nessuno dei controlli sopra riportati mostra qualcosa di sospetto, ritengo che sia abbastanza sicuro che il mio sistema non sia stato infettato da alcunché. So che un Rootkit appropriato supererà facilmente tutti questi controlli e non sarei in grado di identificarlo sul sistema.

Domande

  1. Questa procedura è utile?
  2. Se sì, o potenzialmente sì, quali altri passaggi dovrei prendere?
  3. C'è davvero bisogno di un antivirus?
  4. Dovrei aver fatto i check-up in Modalità provvisoria ?
  5. Se si tratta di un intero carico di spazzatura, qualcuno sarebbe abbastanza gentile da fornire un puntatore a un approccio migliore?

NOTA : la natura della domanda è più che accademica / didattica piuttosto che pratica.

    
posta Lex 12.10.2013 - 23:04
fonte

2 risposte

3

Poiché la natura della tua domanda è più didattica che pratica, la risposta è semplice: no, quella procedura non è utile.

Il progettista / programmatore di malware è più intelligente di te, conosce il tuo sistema operativo più di te, ha trascorso centinaia di ore nel seminterrato di sua madre (o nei laboratori della sua rispettiva agenzia) a esplorare angoli e fessure. Il suo intero lavoro è rendere estremamente difficile per te trovare convenzionalmente il suo programma o persino essere consapevole della sua esistenza.

Supponiamo che ogni malware installi un rootkit, corregge il tuo sistema operativo, modifica il tuo bootloader, illumina il tuo BIOS, sovrascrive le tue impostazioni e cambia il comportamento predefinito di tutto ciò su cui stai giudicando.

Detto questo, in pratica e nel contesto del malware semplice pre-2008 (non ho esaminato il codice / analisi del malware per anni), sì il tuo metodo è un approccio forense accettabile per un livello da principiante a intermedio.

Infine, l'utilizzo di un software antivirus è una buona idea e una buona linea di difesa. Pensa ai milioni e milioni di firme, schemi e comportamenti che il software è in grado di cercare per verificare i tuoi file anche prima che potrebbero influenzarti.

    
risposta data 17.10.2013 - 00:55
fonte
2

Is this process useful at all?

Per malware semplice sì.

Is there really a need for an anti-virus?

Sì, perché i programmi AV progettati per questo lavoro e quelli AV hanno soprattutto metodi per proteggere il tuo sistema. 

Should I have done the check-ups in Safe Mode?

NO! è necessario farlo con un sistema operativo live (dischi di avvio come BOOT di Hiren) perché il malware dei complessi può modificare il comportamento del sistema operativo in modo che non sia rilevabile.

If this is a whole load of rubbish, would someone be kind enough to provide a pointer to a better approach?

se hai abbastanza informazioni sul malware e sul metodo, la tua strada può essere anche utile.

    
risposta data 16.10.2013 - 21:31
fonte

Leggi altre domande sui tag

Openssl visualizza le estensioni csr Sqlmap - sembra essere iniettabile UNION