Witam, czy macie jakieś sposoby sprawdzania komputera pod kątem wirusów? Wiadomo, że można stać się posiadaczem wirusa o którym nawet nie mam pojęcia. Chciałbym poznać różne sposoby testowania komputera po których można stwierdzić w 100% jak nie więcej pewność, że komputer nie został zakażony żadnym złośliwym kodem. Przykładowo mam zainstalowany na komputerze antywirus Microsoft Security Essentials. Sprawdziłem wszystkie procesy jakie w komputerze występują przy pomocy Menedżera zadań, wszystkie procesy są mi znane i wszystkie są bezpieczne. MS Security Essentials po pełnym skanowaniu komputera informuje, że w komputerze nie wykryto żadnych problemów. Czy na tej podstawie mogę mieć 100% pewność że nie posiadam wirusa? Co jeszcze mogę zrobić aby sprawdzić komputer pod kątem złośliwego oprogramowania?
Ja zazwyczaj robię tak:
- Sprawdzam AV.
- Sprawdzam wpisy w rejestrze. Szczególną uwagę przykładam do rejestru dotyczącego autostartu.
- Sprawdzam procesy. Proces musi być mi znany, jeśli tak nie jest sprawdzam go w googlach.
- Dodatkowo napisałem sobie mały program do sprawdzania procesów w tle. Tzn, że jeśli jakiś proces mi się uruchomi automatycznie dostaję o tym powiadomienie.
- Można też systematycznie sprawdzać dyski, czy nie powstają jakieś dziwne pliki
- Można sprawdzać siec, czy przypadkiem nie są wysyłane jakieś dane bez naszej wiedzy.
- Warto mieć uruchomiony jakiś sniffer, który pokazuje nam "dziwne" dane. U mnie działa zawsze jakiś.
- Sprawdzaj otwarte porty.
A i tak 100% NIGDY nie dostaniesz.
polaczek17 napisał(a)
- Dodatkowo napisałem sobie mały program do sprawdzania procesów w tle. Tzn, że jeśli jakiś proces mi się uruchomi automatycznie dostaję o tym powiadomienie.
Fajne, możesz się podzielić?
polaczek17 napisał(a)
U mnie działa zawsze jakiś [sniffer].
Jak sobie radzisz z obciążeniem systemu wynikającym z długotrwałego użycia sniffera?
polaczek17 napisał(a)
Ja zazwyczaj robię tak:
- Dodatkowo napisałem sobie mały program do sprawdzania procesów w tle. Tzn, że jeśli jakiś proces mi się uruchomi automatycznie dostaję o tym powiadomienie.
(...)- Można sprawdzać siec, czy przypadkiem nie są wysyłane jakieś dane bez naszej wiedzy.
- Warto mieć uruchomiony jakiś sniffer, który pokazuje nam "dziwne" dane. U mnie działa zawsze jakiś.
Tak w kółko sprawdzasz sieć i uruchomione procesy? Strasznie upierdliwa robota.
Co to znaczy "jeśli proces się uruchomi automatycznie", znaczy jak wykrywasz, że to automatycznie, a nie ty sam kliknąłeś? ;-)
Ja od siebie dorzucę: przydaje się odpowiednio skonfigurowany firewall i praca na niskich uprawnieniach.
Fajne, możesz się podzielić?
A bardzo chętnie jeśli byłby popyt na taki program to zrobiłbym go bardziej użytkowym. Ten co teraz mam to praktycznie jest pisany podemnie. Czyli od razu wiem gdzie i co ma się zapisywać ( jeśli istnieje taka konieczność ) no i przede wszystkim musiałbym sensownie rozpisać jak się ma wyłączać ( np w trayu ) bo teraz na włąsne potrzeby to się tym nie bawiłem i ... ubijam proces :D
Chętnie napisze coś takiego ale za jakiś czas. To nie więcej jak 15 minut roboty.
Jak sobie radzisz z obciążeniem systemu wynikającym z długotrwałego użycia sniffera?
Co jakiś czas sobie go resetuje. Tzn wyłączam sniffer i włączam. Nie zauważyłem by było to zbyt wymagające dla systemu. Czasami mam też włączony filtr aby nie zwracał uwagi na pewne adresy IP. ( np. google, które analizować nie ma po co i zajmuje miejsce tylko w miejscu odczytu danych )
Tak w kółko sprawdzasz sieć i uruchomione procesy? Strasznie upierdliwa robota.
Co to znaczy "jeśli proces się uruchomi automatycznie", znaczy jak wykrywasz, że to automatycznie, a nie ty sam kliknąłeś? ;-)
A no troszkę upierdliwe. Do procesów właśnie dlatego napisałem ten mini program. Wtedy od razu widzę, czy działa coś mi nieznanego. Natomiast do sieci to ja tego nie robię, napisałem tylko, że można by. Może jakiś mały robocik by się napisało, ale sniffer sprawdza się wystarczająco dobrze w tej roli.
A co do odróżnienia czy to ja kliknąłem czy nie to ja tego nie mam zaimplementowane :) chociaż dałoby się to zrobić. po prostu jak wiem, że akurat coś będę robić np kompilować program czy chociażby grać w grę to sobie wyłączam ten mały skaner procesów.
Zazwyczaj włączony jest jak siedzę w sieci i np przeglądam strony.
No właśnie, a czy standardowe konto użytkownika w systemie Windows 7 x64 Professional ma od razu najniższe z możliwych uprawnień czy można jeszcze coś skonfigurować dla tego konta aby je 'ograniczyć' celem bezpieczeństwa ale też nie tak aby utracić jakąś logiczną funkcjonalność. Po drugie mam jak już mówiłem MS Security Essentials (uważam, że to z darmowych jedyny możliwy aktualnie program reszta to zawierające reklamy albo przewrażliwione narzędzia mieszające w systemie) oraz systemowy firewall <- co do tego mam mieszane uczucia ale przynajmniej nie obciąża systemu co myślicie o takim duecie? Czy można jakoś skonfigurować systemowego firewall aby zwiększyć bezpieczeństwo komputera? Pełne skanowanie pokazało mi właśnie że komputer jest bez problemów, wszystkie procesy w komputerze mi są znane, co do procesów polecam stronkę http://www.processlibrary.com ale i tak nigdy nie potrafię się poczuć bezpiecznie. PS. Czy jeśli przeglądarka Google Chrome wywala komunikat dotyczący że ze stroną jest coś nie tak, np. "Ostrzeżenie na tej stronie jest coś nie tak" i tam dalej piszę o złośliwym kodzie i jest opcja 'Wróć' to czy jeśli kliknę 'Wróć' lub wyłączę daną stronę to czy to również znakomicie chroni mnie przed atakiem tego 'czegoś' z tej strony?
Ja nie używam Windows7, więc tu nie pomogę.
Jedynie odniosę się do dwóch ostatnich pytań:
- AV nigdy nie uchroni Cię w 100% przed szkodliwym oprogramowaniem. Tym bardziej jeśli ktoś klika w co popadnie np na stronie internetowej, albo w pliki wykonywalne czy też skrypty. AV należy traktować jako - jak ja to mówię i wyjaśniłem to mojemu tacie kiedyś - "Antywirus to jak ABS w samochodzie. Jeśli kierowca jest słaby to nawet to mu nie pomoże".
Natomiast Firewall to jak sama nazwa mówi - ścianka ogniowa. Ona nie chroni przed wirusami etc tylko przed atakami z zewnątrz np na nasze porty.
A co do strony, która ma "złośliwy kod" w sobie, ale zostałą zablokowana przez przeglądarkę i kliknąłeś "wstecz" to nic Ci nie grozi bo kod się nie wykonał :)
Heron napisał(a)
No właśnie, a czy standardowe konto użytkownika w systemie Windows 7 x64 Professional ma od razu najniższe z możliwych uprawnień czy można jeszcze coś skonfigurować dla tego konta aby je 'ograniczyć' celem bezpieczeństwa ale też nie tak aby utracić jakąś logiczną funkcjonalność.
Możesz podnieść wymaganie UAC, standardowo ma poziom o jeden niższy niż najwyższy możliwy. Powoduje więcej pojawiających się dialogów UAC (i niekiedy coś nie działa - na przykład deinstalator Windows Home Server Connectora w wersji beta).
Czy można jakoś skonfigurować systemowego firewall aby zwiększyć bezpieczeństwo komputera?
Standardowo jest polityka, że połączenia wychodzące, które nie pasują do reguł firewalla mimo to są przepuszczane. Można blokować i wtedy nic się nie połączy z siecią o ile nie będzie wyjątkiem w firewallu.
Czy jeśli przeglądarka Google Chrome wywala komunikat dotyczący że ze stroną jest coś nie tak, np. "Ostrzeżenie na tej stronie jest coś nie tak" i tam dalej piszę o złośliwym kodzie i jest opcja 'Wróć' to czy jeśli kliknę 'Wróć' lub wyłączę daną stronę to czy to również znakomicie chroni mnie przed atakiem tego 'czegoś' z tej strony?
Ostrzega i nie przechodzisz na stronę - nie ma problemu.
Ja mam antywira Hackerzy.NET i mam 100% pewności że nic nie złapie.
polaczek17 napisał(a)
- Dodatkowo napisałem sobie mały program do sprawdzania procesów w tle. Tzn, że jeśli jakiś proces mi się uruchomi automatycznie dostaję o tym powiadomienie.
VirusYebator? ;)
Ktos napisał(a)
praca na niskich uprawnieniach.
http://bothunters.pl/2011/05/17/obsluga-ipv6-w-zrodlach-trojana-zeus/:
bot jest przygotowany do pracy z minimalnymi uprawnieniami (w tym użytkownika Gość)
polaczek17 napisał(a)
AV należy traktować jako - jak ja to mówię i wyjaśniłem to mojemu tacie kiedyś - "Antywirus to jak ABS w samochodzie. Jeśli kierowca jest słaby to nawet to mu nie pomoże".
ABS nie działa na zasadzie poświęcania pierwszej grupy uczestników wypadku.
Gdzie VirusYebator?
Hmm... A ja pracuję na koncie admina i nie mam antywirusa (na mój system nie ma żadnych darmowych). Czy jestem dziwny?