1. Как перезаливать темы из дампов?
    ССЫЛКИ В ДАМПАХ НЕ ОБНОВЛЯЮТСЯ! ТОЛЬКО В РАЗДЕЛЕ КУРСОВ!

 Ищем RATs/Keyloggers, которые установленные на PC

Тема в разделе "Другое", создана пользователем Dump_Bot, 10 сен 2016.


  1. Здравствуйте.

    В этой статье я покажу самый простой способ поиска вредоносного софта (RATs/Keyloggers и т.д.), который может быть установлен на вашем компьютере и отсылает данные в сеть на сервер злоумышленника без вашего ведома. Для того, чтобы осуществить поиск, сторонний софт нам не понадобится, мы все сделаем средствами из-под самой системы, а это: CMD, Диспетчер задач.

    Данный способ не поможет, если вредоносное ПО хорошо спрятано, но против большинства ратов и кейлоггеров способ подойдет. Приступим.


    1. Откроем диспетчер задач (для тех, кто не знает как это делается: CTRL+ALT+DEL).

    e9fd096f862de49e7fabb73c60799bc7.png
    2. Как только откроется диспетчер, нажимаем на «Вид» и выбираем «Выбрать столбцы…»

    76347d4b96f279c8d782710666145366.png
    Нужно отметить «Ид процесса (PID)»:

    ae2cdb0f09e1065b2333e3d0e28d4ee8.png
    3. Теперь нужно нажать по колонке «PID», чтобы все процессы сортировались в определенном порядке. Этот пункт не обязателен, но желателен.

    0cc226c9ecd8c52b580680c3a26f0cf5.png
    4. Теперь, как мы открыли диспетчер и сделали вывод Ид процессов, переходим ко второй части статьи, нам необходимо запустить CMD (для тех, кто не знает — это командная строка). Запустить можно так: Пуск -> Выполнить -> cmd или же, если у Вас операционная система Windows 7, ввести cmd в строке поиска.

    5. После того, как мы открыли CMD, необходимо ввести следующую команду:

    netstat -ano

    a3ce4e8bf99563b494a197ccc387a01b.png
    Ее можно как скопировать и вставить в cmd, а можно ввести и руками. Нажимаем Enter.

    У нас должно получиться что-то типа этого:

    09293639fb7165af100d7c0adafa644e.png
    Мы видим разные статусы соединения, но на данный момент нас интересуют только те, что имеют статус «ESTABLISHED«.

    Справа от статуса, находится PID, если вы имеете много соединений со статусом «ESTABLISHED» и с разными PIDами, то вам придется повторить эту процедуру поиска для каждого из процесса.

    8251391b985804bdc11860c7a8a5ba4b.png
    6. Заходим в Диспетчер задач и ищем процесс с интересующим нас PIDом.

    6548126bf5319c6f46097c5c9376cc03.png
    Смотрим, в моем случае — это оказался firefox, что является браузером и ничего вредоносного из себя не представляет. Если не нашли ничего подозрительного — значит всё в порядке. Например, кейлоггеры часто маскируют под системные процессы, в том числе и под «svchost.exe».

    Допустим, вам какой-то из процессов показался подозрительным, нажимаем по нему правой кнопкой мыши и выбираем «Открыть место хранения файла». Откроется папка, где находится данный процесс. Затем, вы можете его проверить на онлайн сканере, например на virustotal, чтобы убедиться, зараженный файл или нет.

    6f898bc6314f481c8a39ad05b3585cde.png
    Как оказалось, все не так сложно.
     

    Загрузка...
  • Кто мы?

    2 разработчика которые решили помочь другим разработчикам в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно 1500 человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.
  • Набираем команду!

    Мы набираем в нашу команду умных и амбициозных людей! Не важно в какой сфере Вы преуспели, Вы можете попасть в нашу команду и развивать с нами действительно достойный ресурс.

    Вступай!