20.12.2012, 17:55 | #1 (permalink) |
votum separatum
Регистрация: 05.05.2008
Сообщений: 14,603
Записей в дневнике: 52
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 18619
|
Обнаружение шпионов
Вопрос следующий: какими способами, или при помощи какого ПО можно отследить активность программ-шпионов, которые запоминают нажатия клавиш, тырят пароли от входа в систему и на сайты, пишут логи посещения сайтов, распечатки документов, перехватывают содержимое буфера обмена и т.д. и т.п.? Я знаю, что такой софт (если он серьезный), не так-то просто вычислить обычными методами, например промониторив процессы в Диспетчере задач, или запустив антивирус. Как правило, программы-шпионы работают в фоне, а их процессы скрыты от антивирусов и пользователей. Спецы по безопасности, что посоветуте? |
20.12.2012, 17:55 | |
Helpmaster
Member
Регистрация: 08.03.2016
Сообщений: 0
|
Даю вам ссылки, пройдя по которым вы можете набраться много информации по вашему запросу Обнаружение сетей. Как это чудо отключить? |
20.12.2012, 18:16 | #2 (permalink) |
Banned
Регистрация: 23.11.2010
Сообщений: 6,749
Сказал(а) спасибо: 18
Поблагодарили 27 раз(а) в 6 сообщениях
Репутация: 17514
|
GMER - Rootkit Detector and Remover
Но программа предназначена для тонкой ручной работы!!! |
20.12.2012, 18:43 | #4 (permalink) |
Banned
Регистрация: 23.11.2010
Сообщений: 6,749
Сказал(а) спасибо: 18
Поблагодарили 27 раз(а) в 6 сообщениях
Репутация: 17514
|
Доверять можно, пару раз отловил в службах то, что иначе можно лишь через консоль, но я никогда не пользуюсь одной программой, минимум две-три.
|
20.12.2012, 18:52 | #5 (permalink) |
Компьютерщик
Регистрация: 12.02.2008
Адрес: ХМАО
Сообщений: 11,625
Записей в дневнике: 36
Сказал(а) спасибо: 9
Поблагодарили 1 раз в 1 сообщении
Репутация: 26467
|
Сперва настрой систему, Защита от программ-шпионов - Программные продукты - Статьи
Лично испытал, пока глухо.
__________________
Не задавай вопросов, если не знаешь, что делать с ответом. |
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
20.12.2012, 20:37 | #6 (permalink) |
Member
Регистрация: 12.07.2011
Сообщений: 31,192
Записей в дневнике: 6
Сказал(а) спасибо: 1
Поблагодарили 21 раз(а) в 7 сообщениях
Репутация: 15348
|
если используется сокрытие (руткит-технологии), то исследуем систему по логам.
. например в AVZ есть поиск кейлогеров. . в uVS можно использовать поиск скрытых объектов автозапуска по файлу сверки. суть метода заключается в следующем: 1. создается файл сверки с помощью uVS из активной системы (предположительно с установленным кейлогером) 2. выполняется запуск uVS c Live.CD выбором иссследуемой (неактивной в данный момент) системы с жесткого диска. 3. выполняется поиск скрытых объектов по файлу сверки 4. смотрим лог или образ автозапуска и обнаруживаем (если есть) отличия между активной и пассивной системами. |
20.12.2012, 21:18 | #7 (permalink) |
Генсек ПЛВ
Регистрация: 02.02.2007
Адрес: г. Мурманск
Сообщений: 13,388
Записей в дневнике: 13
Сказал(а) спасибо: 282
Поблагодарили 44 раз(а) в 16 сообщениях
Репутация: 47924
|
А что, приличный антивирус кейлоггеры не ловит?
__________________
-...варю манную кашу, жарю картофельные блины, езжу на дизеле.- Йцукен сын. |
20.12.2012, 22:15 | #8 (permalink) |
Banned
Регистрация: 23.11.2010
Сообщений: 6,749
Сказал(а) спасибо: 18
Поблагодарили 27 раз(а) в 6 сообщениях
Репутация: 17514
|
Приличным кейлоггерам начхать на антивирусы...
А если серьёзно, то salvage.exe за год садился мне раза три в систему, и каждый раз я его замечал только по исходящему траффику и удалял вручную. Каспер, Данилов и ещё три антивиря, коим я его направлял в подарок, ничего не ответили и в базу не добавили... |
20.12.2012, 23:02 | #9 (permalink) |
Радиоинженер
Регистрация: 25.09.2012
Адрес: г.Дзержинск Нижегородской обл.
Сообщений: 25,308
Записей в дневнике: 7
Сказал(а) спасибо: 292
Поблагодарили 219 раз(а) в 70 сообщениях
Репутация: 110185
|
Самый надежный способ - организационный: разделить важные БД и доки и хранить их на файловом сервере, не имеющем выхода в и-нет. Потеря рабочей станции пользователя будет несмертельна, если есть резерв. Способ применяется в небольших организациях.
Если нет возможности аппаратного разделения, то неплохой результат дает сочетание антивирусного ПО: файрвол и антивирус. Файрвол подбирается такой, который наглухо закрывает доступ в и-нет ПО, непрописанному в его правилах. Антивирус тоже выбирается не из бесплатных. Старайтесь не использовать антивирусы со встроенным файрволом - вирусы о нем знают и умеют обходить. Штатный брандмауэр Windows можно сразу отключить ввиду его неэффективности. Самый радикальный способ - не использовать Windows вовсе на компе, где пользуетесь и-нетом. |
21.12.2012, 07:10 | #10 (permalink) | ||
Компьютерщик
Регистрация: 12.02.2008
Адрес: ХМАО
Сообщений: 11,625
Записей в дневнике: 36
Сказал(а) спасибо: 9
Поблагодарили 1 раз в 1 сообщении
Репутация: 26467
|
Цитата:
В системе включен обычный файрвол + Касперский. Кстати о касперском: Цитата:
Быть может поэтому меня пока миновала проблема по сабжу.
__________________
Не задавай вопросов, если не знаешь, что делать с ответом. |
||
Ads | |
Member
Регистрация: 31.10.2006
Сообщений: 40200
Записей в дневнике: 0
Сказал(а) спасибо: 0
Поблагодарили 0 раз(а) в 0 сообщениях
Репутация: 55070
|
|
|