Четверг, 22.10.2020, 20:36 Приветствую вас Гость | Группа "Гости" 
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: xXxSh@dowxXx  
delfcode » Обсуждения » Безопасность » Самостоятельная защита от вирусов
Самостоятельная защита от вирусов
dolphinДата: Пятница, 10.04.2009, 19:33 | Сообщение # 1
Администратор
Сообщений: 906
Статус: Offline
многие вири и трои любят записываться в:
[HKLM\Software\Microsoft\Windows\CurrentVersion] в разделах: \Run, \RunOnce, \RunServices, \RunServicesOnce,
[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon\Userinit], а также в
[HKCU\Software\Microsoft\Windows\CurrentVersion] в разделах \Run, \RunOnce, \RunServices, \RunServicesOnce
Также троян может запустится, если в ветке HKCR его привязать к определенному типу файлов на открытие или редактирование.
Например, если выбрать любой bat-файл, кликнуть его правой кнопкой и выбрать "Изменить", по умолчанию запускается notepad.exe.
Это задается в [HKCR\batfile\shell\edit\command]. Также к этому могут быть причастны ключи реестра RestrictRun, DisallowRun.

Обзор методов автозапуска самых популярных вирей на данное время, точнее тех, которых знает антивирус.
Можно было описать еще десяток вирусов, но эти три демонстрируют основные методы записи.
1.
К примеру, Trojan-Downloader.Win32. AutoIt.fn (22 декабря, 2008) , пишется для автоматического запуска в:
[HKLM\Software\Microsoft\Windows\CurrentVersion\pol icies\Explorer\Run]
"csrcs" = "%System%\csrcs.exe"
///Например, можно спутать с csrss.exe, часть пользовательской Win32 подсистемы. SRSS - сокращение
///от "client/server run-time subsystem" (клиент/серверная подсистема).
///csrss отвечает за консольные приложения, создание/удаление потоков и за 16-битную виртуальную среду MS-DOS.
и
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe csrcs.exe" , просто и со вкусом, запускается каждый раз при старте эксплорера (не_интернет).

2.
Червь Net-Worm.Win32. Gimmiv.a (22 декабря, 2008) , запускает себя немного по-другому.
Для автоматического запуска при следующем старте системы червь добавляет ссылку на свой исполняемый файл в ключ
автозапуска системного реестра:
[HKLM\SYSTEM\CurrentControlSet\Services\sysmgr]
При следующей загрузке Windows исполняемый файл червя будет запущен как служба, а его оригинальный исполняемый файл удален.

3.
Трой Trojan-Notifier.Win32. VB.m (22 декабря, 2008) , написанный на VBasic, исспользует уже знакомую процедуру:
для автоматического запуска при каждом следующем старте системы троянец добавляет ссылку на свой исполняемый файл
в ключ автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"popuppers" = "<путь к оригинальному файлу трояна>"
После запуска троянец пытается удалить ключи системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
loads.exe
mediamotor.exe
Всё шито крыто, не подкопаешься.. =)

А вот так мы прячемся, путем изменения параметров.
[HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced]
"Hidden" = "2"
"SuperHidden" = "0"
"ShowSuperHidden" = "0"
и
[HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "1"
Таким образом, троянец отключает отображение скрытых файлов и попок.

Исходя из деструктивных действий рассмотренных вирусов, а также семейства подобных, стоит запретить для пользователя
изменения параметров в следующих ветка:
[HKLM\Software\Microsoft\Windows\CurrentVersion]
[HKLM\Software\Microsoft\WindowsNT\CurrentVersion\W inlogon\Userinit]
Также на всю ветвь HKCR также можно отменить право на запись (только под одмином).

Изменение прав доступа к реестру производится с помощью regedt32 во вкладке permissions (Правка -> Разрешения).

Итог.
Производя проверку реестра описанным методом, необходимо пройтись по всем вышеуказанным веткам реестра,
в поисках аномалий. Причем необходимо это делать в один заход, от начала и до конца по всем веткам,
иначе после перезагрузки машина останется зараженной.
Всю описанную выше процедуру я проверял на практике, вначале когда приспичило (подхватил вирус), а потом когда стало интересно.
К написанию этой мини-статьи подтолкнуло обзор вирусоф и своевременное прочтение интересной книги

ЗЫ статейка ни на что не претендует, так.. в помощь людям подцепившим вирусню, которым религия не позволяет юзать онтевирус


Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
kazin8Дата: Четверг, 09.07.2009, 00:10 | Сообщение # 2
Группа: Удаленные



Еще есть такая штука. В реестре есть адрес, где прописывается, каким приложением открывать определенное расширение. Вирус часто дописывает туда адрес своего тела, запускается с файлом, а потом передает управление реальной программе. К сожалению сейчас путь к ключу не вспомню. Но постараюсь найти.
 
dolphinДата: Четверг, 03.12.2009, 00:25 | Сообщение # 3
Администратор
Сообщений: 906
Статус: Offline
http://www.securitylab.ru/

Система: Windows 10 x64, Kali Linux
Среды программирования: Delphi 7, Delphi 10.x

Я не профессионал, я всего лишь любитель
Я не вредитель, я всего лишь теоретик
 
c0ffe1nДата: Среда, 23.12.2009, 19:09 | Сообщение # 4
Группа: Удаленные



Хочу поделиться своим опытом по лечению зараженного компа. Это касается вирей, которые активизировались с недавних пор, блокирующих загрузку винды и требующих отправить смску. В этом случае ни в коем случае не стоит торопиться отправлять смс. достаточно загрузиться в безопасном режиме и с помощью системы восстановления откатиться на несколько дней назад (если это возможно), когда по вашему мнению комп еще не был заражен.
В случае если, система восстановления отключена, то данный способ не сработает, но возможно починить ось по другому(но с небольшими ограничениями). Для этого вам понадобиться загрузочный диск или лайв сиди или любая другая возможность доступа к содержимому диска где стоит зараженная ось. Если будете использовать загрузочный диск, то воспользуйтесь функцией восстановления винды с помощью консоли. Загрузившись в консоль, перейдите в папку Windows\repair и скопируйте файлы system и software в папку Windows\sytem32\config с заменой. Это сырые файлы отвечающие за соответствующие улеи реестра. Они были созданы, когда вы устанавливали винду. После этого перезагружаемся. Так реестр был заменен на сырой, винда будет заново производить конфигурацию и настройку драйверов. Если сама не справить то через диспетчер устройств надо будет помочь ручками wink Кроме того, программы, зависящие от реестра придется переустанавить.
Вобщем описанный способ мне помогал не раз, но как говориться здесь 50 на 50 - либо поможет, либо нет.
 
BioHEXДата: Среда, 28.07.2010, 16:40 | Сообщение # 5
Был не раз
Зарегистрирован: 27.07.2010
Группа: Пользователи
Сообщений: 17
Статус: Offline
Quote (c0ffe1n)
но как говориться здесь 50 на 50 - либо поможет, либо нет

Согласен, ведь в том же реестре можно запретить загрузку в безопасном режие smile
 
007Дата: Суббота, 30.04.2011, 14:00 | Сообщение # 6
Группа: Удаленные



У меня нод стоял и удалял файл необходимый для запуска одной игрушки, считая её за троян. Я поэтому антивирус отрубал. Потом выплыло окно о том что нод удалил объект svchost. после этого все exe в ответ на запуск пишут о том что не являются win32.
sad Что делать???
кроме переустановки есть какие нибудь способы?


Сообщение отредактировал 007 - Суббота, 30.04.2011, 14:02
 
VzlomMessengerДата: Среда, 14.10.2020, 13:45 | Сообщение # 7
Новичок
Зарегистрирован: 14.10.2020
Группа: Пользователи
Сообщений: 1
Статус: Offline
Мы взламываем сайты,ютуб каналы,Тикток аккаунты, аккаунты ВКонтакте, ОК, Вайбер, Ватсап, Инстаграм, почту и другие социальные сети – вы точно найдете то, что Вам нужно.
Выполнение заказа в среднем занимает от 24 до 48 часов. При взломе пароль от аккаунта не изменяется.
Владелец заказанной страницы не узнает, что его взломали.
ДЛЯ ПОСТОЯННЫХ КЛИЕНТОВ ВСЕГДА ДЕЙСТВУЮТ ХОРОШИЕ СКИДКИ!
- Предоставляем доказательства, что мы имеем доступ к странице и она находится под нашим контролем.
- Беспокоиться об анонимности не приходится – все данные о заказе останутся анонимными.
- Оплата только после того, как работа будет выполнена.
- Мы гарантируем профессиональный подход и выполнение заказа в кратчайшие сроки.
После получения данных для входа, мы рассказываем, как зайти на страницу и остаться незамеченным.
Заказывая услугу именно у нашей команды, Вы не рискуете быть обманутым и остаться ни с чем.

Для заказа или уточнения каких либо вопросов,свяжитесь с нами:
Whatsapp|Telegram: +7 963 244-60-69 @hack_messenger
Почта: vzlommessenger@yandex.ru
vzlommessenger@gmail.com
 
HackMessengerДата: Среда, Вчера, 16:05 | Сообщение # 8
Был не раз
Зарегистрирован: 19.10.2020
Группа: Пользователи
Сообщений: 5
Статус: Offline
Мы взламываем сайты,ютуб каналы,Тикток аккаунты, аккаунты ВКонтакте, ОК, Вайбер, Ватсап, Инстаграм, почту и другие социальные сети – вы точно найдете то, что Вам нужно.
Выполнение заказа в среднем занимает от 24 до 48 часов. При взломе пароль от аккаунта не изменяется.
Владелец заказанной страницы не узнает, что его взломали.
ДЛЯ ПОСТОЯННЫХ КЛИЕНТОВ ВСЕГДА ДЕЙСТВУЮТ ХОРОШИЕ СКИДКИ!
- Предоставляем доказательства, что мы имеем доступ к странице и она находится под нашим контролем.
- Беспокоиться об анонимности не приходится – все данные о заказе останутся анонимными.
- Оплата только после того, как работа будет выполнена.
- Мы гарантируем профессиональный подход и выполнение заказа в кратчайшие сроки.
После получения данных для входа, мы рассказываем, как зайти на страницу и остаться незамеченным.
Заказывая услугу именно у нашей команды, Вы не рискуете быть обманутым и остаться ни с чем.

Для заказа или уточнения каких либо вопросов,свяжитесь с нами:
Whatsapp|Telegram: +7 963 244-60-69 @hack_messenger
Почта: vzlommessenger@yandex.ru
vzlommessenger@gmail.com
 
delfcode » Обсуждения » Безопасность » Самостоятельная защита от вирусов
  • Страница 1 из 1
  • 1
Поиск:

delfcode.ru © 2008 - 2020 Хостинг от uCoz