Обнаружение шпионов

Артём · 20.12.2012, 17:55

Всем привет!

Вопрос следующий: какими способами, или при помощи какого ПО можно отследить активность программ-шпионов, которые запоминают нажатия клавиш, тырят пароли от входа в систему и на сайты, пишут логи посещения сайтов, распечатки документов, перехватывают содержимое буфера обмена и т.д. и т.п.?

Я знаю, что такой софт (если он серьезный), не так-то просто вычислить обычными методами, например промониторив процессы в Диспетчере задач, или запустив антивирус. Как правило, программы-шпионы работают в фоне, а их процессы скрыты от антивирусов и пользователей.

Спецы по безопасности, что посоветуте?

duc · 20.12.2012, 18:16

GMER - Rootkit Detector and Remover
Но программа предназначена для тонкой ручной работы!!!

Артём · 20.12.2012, 18:23

Сам ей пользовался, доверять можно?

duc · 20.12.2012, 18:43

Доверять можно, пару раз отловил в службах то, что иначе можно лишь через консоль, но я никогда не пользуюсь одной программой, минимум две-три.

Max · 20.12.2012, 18:52

Сперва настрой систему, Защита от программ-шпионов - Программные продукты - Статьи
Лично испытал, пока глухо.

safety · 20.12.2012, 20:37

если используется сокрытие (руткит-технологии), то исследуем систему по логам.
.
например в AVZ есть поиск кейлогеров.
.
в uVS можно использовать поиск скрытых объектов автозапуска по файлу сверки. суть метода заключается в следующем: 1. создается файл сверки с помощью uVS из активной системы (предположительно с установленным кейлогером) 2. выполняется запуск uVS c Live.CD выбором иссследуемой (неактивной в данный момент) системы с жесткого диска. 3. выполняется поиск скрытых объектов по файлу сверки 4. смотрим лог или образ автозапуска и обнаруживаем (если есть) отличия между активной и пассивной системами.

KUS · 20.12.2012, 21:18

А что, приличный антивирус кейлоггеры не ловит?

duc · 20.12.2012, 22:15

Цитата:

Сообщение от KUS

А что, приличный антивирус кейлоггеры не ловит?

Приличным кейлоггерам начхать на антивирусы...

А если серьёзно, то salvage.exe за год садился мне раза три в систему, и каждый раз я его замечал только по исходящему траффику и удалял вручную. Каспер, Данилов и ещё три антивиря, коим я его направлял в подарок, ничего не ответили и в базу не добавили...

Николай_С · 20.12.2012, 23:02

Самый надежный способ - организационный: разделить важные БД и доки и хранить их на файловом сервере, не имеющем выхода в и-нет. Потеря рабочей станции пользователя будет несмертельна, если есть резерв. Способ применяется в небольших организациях.

Если нет возможности аппаратного разделения, то неплохой результат дает сочетание антивирусного ПО: файрвол и антивирус. Файрвол подбирается такой, который наглухо закрывает доступ в и-нет ПО, непрописанному в его правилах. Антивирус тоже выбирается не из бесплатных.

Старайтесь не использовать антивирусы со встроенным файрволом - вирусы о нем знают и умеют обходить. Штатный брандмауэр Windows можно сразу отключить ввиду его неэффективности.
Самый радикальный способ - не использовать Windows вовсе на компе, где пользуетесь и-нетом.

Max · 21.12.2012, 07:10

Цитата:

Сообщение от Николай_С

Самый надежный способ - организационный: разделить важные БД и доки и хранить их на файловом сервере, не имеющем выхода в и-нет.

Вот у меня вся инфа с ПК, вернее ее бэкап, хранится на сетевом накопителе (ZyXEL NSA220).
В системе включен обычный файрвол + Касперский.

Кстати о касперском:

Цитата:

Сообщение от duc

А если серьёзно, то salvage.exe за год садился мне раза три в систему, и каждый раз я его замечал только по исходящему траффику и удалял вручную. Каспер, Данилов и ещё три антивиря, коим я его направлял в подарок, ничего не ответили и в базу не добавили...

Модуль "Анти-хакер" блокирует атаки из вне, даже в локальной сети.
Быть может поэтому меня пока миновала проблема по сабжу.

20.12.2012, 17:55	#1 (permalink)
Артём votum separatum Регистрация: 05.05.2008 Сообщений: 14,603 Записей в дневнике: 52 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 18619	Обнаружение шпионов Всем привет! Вопрос следующий: какими способами, или при помощи какого ПО можно отследить активность программ-шпионов, которые запоминают нажатия клавиш, тырят пароли от входа в систему и на сайты, пишут логи посещения сайтов, распечатки документов, перехватывают содержимое буфера обмена и т.д. и т.п.? Я знаю, что такой софт (если он серьезный), не так-то просто вычислить обычными методами, например промониторив процессы в Диспетчере задач, или запустив антивирус. Как правило, программы-шпионы работают в фоне, а их процессы скрыты от антивирусов и пользователей. Спецы по безопасности, что посоветуте?

20.12.2012, 18:52	#5 (permalink)
Max Компьютерщик Регистрация: 12.02.2008 Адрес: ХМАО Сообщений: 11,625 Записей в дневнике: 36 Сказал(а) спасибо: 9 Поблагодарили 1 раз в 1 сообщении Репутация: 26467	Сперва настрой систему, Защита от программ-шпионов - Программные продукты - Статьи Лично испытал, пока глухо. __________________ Не задавай вопросов, если не знаешь, что делать с ответом.

20.12.2012, 21:18	#7 (permalink)
KUS Генсек ПЛВ Регистрация: 02.02.2007 Адрес: г. Мурманск Сообщений: 13,388 Записей в дневнике: 13 Сказал(а) спасибо: 282 Поблагодарили 44 раз(а) в 16 сообщениях Репутация: 47924	А что, приличный антивирус кейлоггеры не ловит? __________________ -...варю манную кашу, жарю картофельные блины, езжу на дизеле.- Йцукен сын.

20.12.2012, 17:55
Helpmaster Member Регистрация: 08.03.2016 Сообщений: 0	Даю вам ссылки, пройдя по которым вы можете набраться много информации по вашему запросу Обнаружение сетей. Как это чудо отключить?

20.12.2012, 18:16	#2 (permalink)
duc Banned Регистрация: 23.11.2010 Сообщений: 6,749 Сказал(а) спасибо: 18 Поблагодарили 27 раз(а) в 6 сообщениях Репутация: 17514	GMER - Rootkit Detector and Remover Но программа предназначена для тонкой ручной работы!!!

20.12.2012, 18:23	#3 (permalink)
Артём votum separatum Регистрация: 05.05.2008 Сообщений: 14,603 Записей в дневнике: 52 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 18619	Сам ей пользовался, доверять можно?

20.12.2012, 18:43	#4 (permalink)
duc Banned Регистрация: 23.11.2010 Сообщений: 6,749 Сказал(а) спасибо: 18 Поблагодарили 27 раз(а) в 6 сообщениях Репутация: 17514	Доверять можно, пару раз отловил в службах то, что иначе можно лишь через консоль, но я никогда не пользуюсь одной программой, минимум две-три.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

20.12.2012, 20:37	#6 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	если используется сокрытие (руткит-технологии), то исследуем систему по логам. . например в AVZ есть поиск кейлогеров. . в uVS можно использовать поиск скрытых объектов автозапуска по файлу сверки. суть метода заключается в следующем: 1. создается файл сверки с помощью uVS из активной системы (предположительно с установленным кейлогером) 2. выполняется запуск uVS c Live.CD выбором иссследуемой (неактивной в данный момент) системы с жесткого диска. 3. выполняется поиск скрытых объектов по файлу сверки 4. смотрим лог или образ автозапуска и обнаруживаем (если есть) отличия между активной и пассивной системами.

20.12.2012, 23:02	#9 (permalink)
Николай_С Радиоинженер Регистрация: 25.09.2012 Адрес: г.Дзержинск Нижегородской обл. Сообщений: 25,308 Записей в дневнике: 7 Сказал(а) спасибо: 292 Поблагодарили 219 раз(а) в 70 сообщениях Репутация: 110185	Самый надежный способ - организационный: разделить важные БД и доки и хранить их на файловом сервере, не имеющем выхода в и-нет. Потеря рабочей станции пользователя будет несмертельна, если есть резерв. Способ применяется в небольших организациях. Если нет возможности аппаратного разделения, то неплохой результат дает сочетание антивирусного ПО: файрвол и антивирус. Файрвол подбирается такой, который наглухо закрывает доступ в и-нет ПО, непрописанному в его правилах. Антивирус тоже выбирается не из бесплатных. Старайтесь не использовать антивирусы со встроенным файрволом - вирусы о нем знают и умеют обходить. Штатный брандмауэр Windows можно сразу отключить ввиду его неэффективности. Самый радикальный способ - не использовать Windows вовсе на компе, где пользуетесь и-нетом.