Security Lab



Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти  
Форум » Взлом и защита » Уязвимости
Страницы: 1
RSS
как обнаружить BackDoor?
 
#1
Это нравится:0Да/0Нет
15.06.2004 13:50:50
Комп ведет себя странно - самопроизвольно и бессистемно перегружается, причем это происходит только когда подключен инет. Достаточно тщательная проверка на вирусы ничего не дала. Означает ли это что установлен BackDoo как его обнаружить и обезвредить?
Заранее спасибо
 
 
 
#2
Это нравится:0Да/0Нет
15.06.2004 14:11:41
это не обязательно бэкдор, а, например, железо глючит.
нужно комп в инет подключить через фаер или идс и наблюдать за сетевой активностью
 
 
 
#3
Это нравится:0Да/0Нет
15.06.2004 19:35:40
А что такое идс?(вери сорри за ламерство)
 
 
 
#4
Это нравится:0Да/0Нет
16.06.2004 09:01:53
Для начала нужно посмотреть какие процессы активны и нет ли в них ничего лишнего, потом прошерстить автозагрузку ...

Правильно сказал Inck-Vizitor, возможно глючит железо ... глянь температуру проца ... посмотри что пишут в Журнале Сист. Ощибок.

Собственно вот и все что можно сказать на вскидку ...

Удачи!
 
 
 
#5
Это нравится:0Да/0Нет
16.06.2004 09:24:18
идс (IDS) - система обнаружения атак.

KrotReal, нормальный бэкдор будет маскироваться, так что, лишнего ты скорее всего ничего не увидешь.
даже временное слежение за сетевой активностью не всегда может помочь, ибо бэкдор может находиться в спящем состоянии.

лучше всего переставить систему, если цель - работоспособность машины, а не обнаружение бэкдора.
 
 
 
#6
Это нравится:0Да/0Нет
16.06.2004 23:58:03
Во-первых спасибо за ответы.То что переставить систему - поможет, это  конечно ясно. А если всетаки хочется BackDoor  обнаружить.... Насколько я поняла из предыдущего поста- это вообще говоря почти нереально, да?
 
 
 
#7
Это нравится:0Да/0Нет
17.06.2004 09:09:00
без специальных навыков - нереально.
самое простое, что посоветовал KrotReal - посмотреть активные процессы и автозагрузку.
ты сможешь четко и однозначно идентифицировать все работающие на твоем компе процессы?

чтобы обнаружить бэкдор, который не обнаруживает антивирус и который не находится в автозагрузке в явном виде - нужно поместить компьютер в полностью контролируемую среду. контролировать трафик и файловую активность. потом тщательно изучать логи и сравнивать файлы и т.д.

забей.
 
 
 
#8
Это нравится:0Да/0Нет
18.06.2004 00:13:08
Мда.... вобщемто так я и предполагала. Я не уверена что смогу правильно идентифицировать все процессы, только некоторые:)В любом случае спасибо:)
 
 
 
#9
Это нравится:0Да/0Нет
18.06.2004 00:22:11
Есть вариант, ещё поставить фаер, и если бэкдор находивщийся в "спящем состоянии" активизируется, то фаер  спросит(если он правельно настроен), что-то типа: incomming connect blablabla & etc - тут само собой все раскроется ... проше вариантов пока нет...

кстати про фаер я ещё первым постил здесь, но мой ответ бл кем=то удален
 
 
 
#10
Это нравится:0Да/0Нет
18.06.2004 00:57:38
1. Убиваешь все прцессы работающие с инетом (ICQ и тому подобное)
2. Скачиваешь с
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
Tcpview
3. Закрываешь все IExplorer-Ы
4. Открываешь ТСPview и ждешь Establish
   записываешь на листочек "результат"
5. ... в том случае если есть TaskInfo определяешь процесс который запустил записанный на листочке процесс
6. Открываешь Google и в поисковике даешь имя файла
 если процесс относится к системным получишь   
 подтверждение этому
 (в этом случае берешь "незараженную" PC и сравниваешь  
   список DLL подгружаемых процессом , если
   увидишь "чужую" dll то всего скорее была иньекция )
   запускаешь F3 -поиск.... локализуешь на диске
   в regedite gj F3 -поис .... локализуешь в реестре
7. Если троян то убеждаешься что запуск не был    
   произведен по вирусной технологии , к примеру через   
   ICQ(тут поможет опять TaskInfo)
8. Далее убиваешь сам троян и пути в реестре к нему
    HKLM/software/microsoft/windows/curr ent_version/ru n
   HKCU/-.....то же самое
 
 
 
#11
Это нравится:0Да/0Нет
18.06.2004 10:07:26
какая ОС у вас?
на примере Windows XP делаем так: заходим
панель управления -> система -> дополнительно -> загрузка и восстановление -> параметры. Убираем галочку с "выполнить автоматическую перезагрузку". В группе "запись отладочной информации" выбираем "малый дамп памяти 64Кб" папка малого дампа "%SystemRoot%\Minidump". Все. Ждем когда появится синий экран. Смотрим имя драйвера и код ошибки. Переставляем драйвер. Если нужно более подробно, то перегружаемся и смотрим в отлатчике дамп памяти в папке %SystemRoot%\Minidump - надо взять последний по дате файл. Если сами не хотим смотреть шлем мне - denisNOSPAMixi.ru.

По поводу процессов: во первых осознаем что трояны могут прятаться, поэтому по Ctl-Alt-Del их не видно. во вторых те процессы которые вы не знаете смотрим например тут http://www.liutilities.com/products/wintaskspro/processlibra ry/
Но я думаю что просто валится драйвер сетевой карты.

Поставьте себе еще System Safety Monitor
 
 
 
#12
Это нравится:0Да/0Нет
19.06.2004 00:06:55
Спасибо за рецепты:)У меня Win2k. Что-то будет отличаться от Win XP?
 
 
 
#13
Это нравится:0Да/0Нет
19.06.2004 00:42:12
ничего не будет отличаться.    Вам нужны были только рецепты или Вы все-таки хотели вылечиться?
 
 
 
#14
Это нравится:0Да/0Нет
19.06.2004 20:11:29
Ясно. Просто вылечиться можно было, как писалось выше, переставив систему - и все. Хотелось не просто обезвредить, а именно обнаружить. Еще раз спасибо.
 
 
 
#15
Это нравится:0Да/0Нет
20.06.2004 04:39:00
ТЮ ВЫ ГОНИТЕ  !!
ПУСК=>ВЫПОЛНИТЬ=>MSCONFIG=>Автозагрузка

Глянь там лишнего нечего не должно быть !
и Глянь в этих файлах
Win.ini
System.ini
Он может загружатся от туда !
 
 
 
#16
Это нравится:0Да/0Нет
20.06.2004 10:02:56
dosy@, А если он под стандартный процесс заделан? Однозначно ЗА отслеживание сетевой активности процессов.
 
 
 
Страницы: 1
Читают тему