Cerca manualmente l'infezione di file dannosi?

Question

Cerca manualmente l'infezione di file dannosi?

#1 da (2 voti)
#2 da (1 voti)
#3 da (0 voti)

0

So che ci sono opzioni di software di sicurezza gratuiti là fuori che fanno un buon lavoro come malwarebytes, ma voglio davvero imparare a cercare manualmente eventuali minacce di file dannosi sul tuo pc. So che potresti controllare attività e processi irregolari e non familiari sul computer con il gestore dei processi in Windows, ma temo che alcuni file dannosi possano nascondere i loro processi o che abbandonino i loro processi quando hanno rilevato che hai aperto il process manager oi software di sicurezza come malwarebytes o software antivirus. C'è un modo per accedere a un registro di tutte le modifiche apportate e vengono apportate a Windows, processi recenti e in corso in modo da poter limitare i file sospetti invece di dover continuare a sorvegliare il gestore dei processi tutto il tempo. E ci sono altri modi per cercare manualmente le minacce nel pc, come ad esempio la verifica di alcuni file di sistema. Inoltre, qualcuno potrebbe dirmi in che modo questi programmi di sicurezza analizzano le minacce da soli? E come faccio a sapere se il metodo di scansione utilizzato da loro è completo e affidabile? E i programmi di sicurezza come kaspersky, avg, sophos sono efficaci nel trovare le minacce?

E di solito come trovi i modi per rimuovere le minacce? solo da Google? ci sono alcuni forum o community online in cui puoi trovare persone che chiedono aiuto per riparare il tuo pc infetto o qualche database per i metodi di rimozione di file dannosi? E se non puoi essere sicuro di quale tipo di file maligni sono stati infettati dal tuo sistema dopo aver cercato su Google e scansionato con i software di sicurezza, dove dovresti rivolgermi per chiedere aiuto?

virus vulnerability-scanners scan

posta Jack the Ripper 17.10.2018 - 22:46

fonte

3 risposte

Leggi altre domande sui tag virus vulnerability-scanners scan

Come rilevare se il certificato X.509 appartiene alla CA o all'utente finale regolare (host) Come posso rendere accessibile il mio Windows Server da un altro PC Windows su Internet in modo sicuro, senza usare VPN?

score 2 · Answer 1

Fondamentalmente quello che chiedi è come puoi diventare l'anti-virus del tuo computer. Risposta semplice - non puoi.

Puoi creare o trovare script che ti daranno alcuni indicatori di compromesso per il tuo sistema e iniziare a guardarli con sospetto, puoi esplorare attraverso i processi e le loro intuizioni, puoi analizzare il tuo traffico di rete e vedere cosa non va bene qui. Puoi imparare come monitorare il tuo sistema con Windows Management Interface e PowerShell (presumo tu lavori su Windows per questo). Puoi anche scattare istantanee del tuo sistema e confrontarle. Puoi anche usare o scrivere strumenti per controllare le firme dei tuoi file con le regole di Yara e vedere se ricevi qualche hit malevolo. Imparerai tonnellate di cose, ma comunque potresti perdere qualcosa. Non vale la pena compromettere il tuo sistema per qualcosa di simile.

Quindi, in pratica, farai a mano ciò che fa un buon AV. Scansiona i file in base al loro database delle firme e / o al loro comportamento. Controlla le modifiche nel file system e le chiavi di registro, il traffico di rete sospetto e le stringhe strane. La differenza è che lo farai più lentamente, in modo meno efficiente e non in tempo reale.

Se vuoi imparare qualcosa sull'analisi e quindi affrontare il malware, imposta un ambiente virtuale piacevole, impara a studiare l'analisi statica e dinamica, alcuni strumenti che ti aiuteranno e inizieranno ad apprendere le conoscenze del tuo sistema operativo. Trova un bel elenco di esempi di malware e via. Ma non è possibile sostituire un AV e non si dovrebbe neanche. Questo è ciò per cui è fatto, velocità ed efficienza nel rilevamento e nel blocco di tonnellate di attacchi noti e nel tentativo di rilevare quelli sconosciuti, in base al comportamento.

P.S. Sentiti libero di chiedere qualsiasi cosa di seguito:)

score 1 · Answer 2

Forse potresti essere interessato alla caccia alle minacce e al reverse engineering. L'apprendimento dei fondamenti della ricerca delle minacce ti aiuterà a capire che cosa cercare sul tuo sistema in termini di potenziali minacce alla sicurezza, e l'apprendimento del reverse engineering ti aiuterà a familiarizzare con il tuo sistema e i programmi progettati per funzionare sulla tua funzione di sistema. Sembra che tu stia utilizzando un sistema Windows, quindi potrebbero esserti utili:

The Endgame Guide To Threat Hunting: Practitioner's Edition (nota che il pubblico previsto sono professionisti in un ambiente aziendale, ma molti dei concetti si applicano ancora quando si lavora con un singolo sistema, Indipendentemente da ciò, è una buona esposizione).
link
link

Queste risorse ti permetteranno di rispondere a molte delle tue domande. Buona caccia.

score 0 · Answer 3

Qui ci sono già molte buone risposte che consiglierei di esaminare. Il mio unico suggerimento è lavorare con un mix di strumenti e conoscenze acquisite da vari libri / PDF / video su come trovare e valutare file, sapere cosa stai cercando.

Una volta ho trovato una variante crittografica su un server prod di un client perché ho notato l'aumento della CPU e una ricerca rapida per la parola "bitcoin" o "BTC" o per i file con periodi successivi alla loro estensione, ad es. "File_name.exe.WHATEVER"