Обнаружение шпионов

Артём · 20 Дек 2012

Обнаружение шпионов

Всем привет!

Вопрос следующий: какими способами, или при помощи какого ПО можно отследить активность программ-шпионов, которые запоминают нажатия клавиш, тырят пароли от входа в систему и на сайты, пишут логи посещения сайтов, распечатки документов, перехватывают содержимое буфера обмена и т.д. и т.п.?

Я знаю, что такой софт (если он серьезный), не так-то просто вычислить обычными методами, например промониторив процессы в Диспетчере задач, или запустив антивирус. Как правило, программы-шпионы работают в фоне, а их процессы скрыты от антивирусов и пользователей.

Спецы по безопасности, что посоветуте?

duc · 20 Дек 2012

GMER - Rootkit Detector and Remover
Но программа предназначена для тонкой ручной работы!!!

Артём · 20 Дек 2012

Сам ей пользовался, доверять можно?

duc · 20 Дек 2012

Доверять можно, пару раз отловил в службах то, что иначе можно лишь через консоль, но я никогда не пользуюсь одной программой, минимум две-три.

Max · 20 Дек 2012

Сперва настрой систему, Защита от программ-шпионов - Программные продукты - Статьи
Лично испытал, пока глухо.

safety · 20 Дек 2012

если используется сокрытие (руткит-технологии), то исследуем систему по логам.
.
например в AVZ есть поиск кейлогеров.
.
в uVS можно использовать поиск скрытых объектов автозапуска по файлу сверки. суть метода заключается в следующем: 1. создается файл сверки с помощью uVS из активной системы (предположительно с установленным кейлогером) 2. выполняется запуск uVS c Live.CD выбором иссследуемой (неактивной в данный момент) системы с жесткого диска. 3. выполняется поиск скрытых объектов по файлу сверки 4. смотрим лог или образ автозапуска и обнаруживаем (если есть) отличия между активной и пассивной системами.

KUS · 20 Дек 2012

А что, приличный антивирус кейлоггеры не ловит?

duc · 20 Дек 2012

KUS написал(а):
А что, приличный антивирус кейлоггеры не ловит?

Приличным кейлоггерам начхать на антивирусы...

)
А если серьёзно, то salvage.exe за год садился мне раза три в систему, и каждый раз я его замечал только по исходящему траффику и удалял вручную. Каспер, Данилов и ещё три антивиря, коим я его направлял в подарок, ничего не ответили и в базу не добавили...

Николай_С · 20 Дек 2012

Самый надежный способ - организационный: разделить важные БД и доки и хранить их на файловом сервере, не имеющем выхода в и-нет. Потеря рабочей станции пользователя будет несмертельна, если есть резерв. Способ применяется в небольших организациях.

Если нет возможности аппаратного разделения, то неплохой результат дает сочетание антивирусного ПО: файрвол и антивирус. Файрвол подбирается такой, который наглухо закрывает доступ в и-нет ПО, непрописанному в его правилах. Антивирус тоже выбирается не из бесплатных.

Старайтесь не использовать антивирусы со встроенным файрволом - вирусы о нем знают и умеют обходить. Штатный брандмауэр Windows можно сразу отключить ввиду его неэффективности.
Самый радикальный способ - не использовать Windows вовсе на компе, где пользуетесь и-нетом.

Max · 21 Дек 2012

Николай_С написал(а):
Самый надежный способ - организационный: разделить важные БД и доки и хранить их на файловом сервере, не имеющем выхода в и-нет.

Вот у меня вся инфа с ПК, вернее ее бэкап, хранится на сетевом накопителе (ZyXEL NSA220).
В системе включен обычный файрвол + Касперский.

Кстати о касперском:

duc написал(а):
А если серьёзно, то salvage.exe за год садился мне раза три в систему, и каждый раз я его замечал только по исходящему траффику и удалял вручную. Каспер, Данилов и ещё три антивиря, коим я его направлял в подарок, ничего не ответили и в базу не добавили...

Модуль "Анти-хакер" блокирует атаки из вне, даже в локальной сети.
Быть может поэтому меня пока миновала проблема по сабжу.

Обнаружение шпионов

Артём

votum separatum

duc

Banned

Артём

votum separatum

duc

Banned

Max

Компьютерщик

safety

Новые

KUS

Генсек ПЛВ

duc

Banned

Николай_С

Радиоинженер

Max

Компьютерщик