5 / 5 / 0
Регистрация: 15.08.2020
Сообщений: 33
|
|
1 | |
Что можно узнать о вирусной программе на компьютере?15.08.2020, 15:39. Показов 1913. Ответов 8
Пишу научную статью, интересует вопрос: Какие данные можно узнать о вирусной программе которая есть на компьютере?
0
|
15.08.2020, 15:39 | |
Ответы с готовыми решениями:
8
Что можно узнать о программисте по программе? Как в программе узнать имя (букву) под которой CD-ROM в компьютере? Как можно узнать, есть ли на компьютере браузер Google Chrome? Как узнать что полетело в компьютере? |
5 / 5 / 0
Регистрация: 15.08.2020
Сообщений: 33
|
|
16.08.2020, 14:46 [ТС] | 3 |
Интересует что именно можно узнать из самой программы. Например, есть вирусная программа на компьютере, как можно узнать, когда она была создана, какой язык программирования, ее программный код и так далее.
0
|
5 / 5 / 0
Регистрация: 15.08.2020
Сообщений: 33
|
|
17.08.2020, 12:25 [ТС] | 5 |
На моем компьютере обнаружена вирусная программа по сбору данных:
1. Как узнать, на каком языке программирования написана вирусная программа? (какие программы для этого нужно применять?) 2. Как посмотреть программный код вирусной программы? (какие программы для этого нужно применять) 3. Можно ли узнать, как вирусная программа попала на мой компьютер? 4. По данным из вирусной программы, можно ли узнать место ее создания? П.С. Заранее извиняюсь, если вопрос глупый или некорректный, я в программировании мало что понимаю, а в интернете то нет инфы, то написано непонятно.
0
|
5 / 5 / 0
Регистрация: 15.08.2020
Сообщений: 33
|
|
22.08.2020, 14:37 [ТС] | 7 |
Юридическая научная статья, но больше всего интересует именно сам механизм по работе с вирусной программой (какие данные можно с нее получить следователю например).
0
|
22.08.2020, 20:18 | 8 |
Сообщение было отмечено quwy как решение
Решение
Юридическая / место создания... Но цель статьи какая?
Если я правильно понимаю - выйти на конкретное лицо и собрать против него доказательную базу? Даже если бы вы хорошо разбирались в одном из классических языков, этого все равно недостаточно, чтобы толково разобраться в теме и понять большинство аналитических отчётов от агентств, занимающихся расследованием инцидентов в сфере компьютерной криминалистики. Необходимы еще и знания в особенностях функционирования ОС, работы телеметрии, сетевого оборудования и низкоуровневого программирования... Именно поэтому я спрашивал, для какой аудитории предназначена ваша статья, т.к. читатели вероятно тоже не смогут совладать со слишком специфической терминологией. Например, для киберполиции большинство терминов должны быть предельно понятны. В целом начало расследования очень сильно зависит от того, - какого рода это вредоносное ПО (да, говорить "вирус" - это не правильно). Почитайте про терминологию: https://encyclopedia.kaspersky... ification/ - каким образом оно было выявлено? - какие защитные решения и политики есть в организации, SOC и DLP системы. Это позволяет быстро сориентироваться по логам системы, как и откуда произошла атака. Примеры: https://habr.com/ru/company/so... og/510736/ В целом, вот один из вариантов международно-признанной классификации векторов атаки и вредоносного действия: https://attack.mitre.org/ Также, по масштабу, это могут быть: - целенаправленные атаки (например, на конкретную организацию) - масштабную, против целых стран. Также, это могут быть - внешние - внутренние, допустим, один из админов при увольнении обиделся, и решил оставить подарок, что разумеется сильно сужает область поиска и увеличивает шансы в поимке злоумышленника. Для широкомасштабных и длительных атак, чаще всего имеет место быть высокий уровень подготовки злоумышленника. Поэтому задача по вычислению таких групп по силам только международному сообществу. Там в дальнейшем ячейку палят через недостаточную анонимность соучастников, а также вычисляют через финансовый анализ. Не лучший пример, но первое что попалось: https://habr.com/ru/company/group-ib/blog/457592/ Напишите, сколько % из написанного, вы поняли В конкретном случае: Jump lists, prefetch и история браузера - те самые цифровые отпечатки, по которым отследили путь заражения до верхнего уровня - email-а с зараженным файлом. Email можно отправить откуда угодно, подменить адресата и IP через VPN и пр., вплоть до того, чтобы получить несанкционированный доступ к одному из ПК внутри корпоративной сети и разослать Email-ы с легальной ЭЦП по внутренней сети. Следовательно, дальше проследить адресата не удастся. Если только вредитель не будет на вот столько необразованным: https://habr.com/ru/post/142192/ Существует тонкая грань между сбором данных во вред и в полезных целях (например, для предоставления более релевантной информации в рекламных заголовках, сбор данных об ошибках и оборудовании для улучшения работы программы на конкретных конфигурациях). Т.е. здесь еще вопрос, почему вы считаете что она вредоносная? Бывает и так, что: - разработчик добавляет нехороший функционал через какое-то время. Легальная программа часто подписывается ЭЦП. По ЭЦП у CA (Certificate Authority) есть точный адрес разработчика. Но никто в здравом уме не будет так палиться. - сертификат крадут - ломают саму машину разработчика и встраивают вредоносную нагрузку. - разработчик сам по неосторожности, ловит заразу, которая заражает его продукты. Да, можно, см. VirusTotal - вкладка Details. Такая информация добавляется к бинарю в момент компиляции, но ее можно подменить. Также можно примерно оценить по дате первого Submission (т.е. когда первый раз файл залили на VT). Можно. Простейший вариант, PeID. Или тоже самое в VirusTotal, вкладка Details. Только эту инфу легко подменить. С помощью декомпилятора. Наиболее распространенный - IDA, либо ILSpy для языков Dot.NET Но сперва с программы чаще всего придётся снять: - упаковщик (это когда исполняемая часть кода сжимается) - криптор (когда шифруется, и дешифровка выполняется в момент непосредственного выполнения программы) - обфускацию (когда намеренно запутывается структура программы, переименовывается все что возможно, перед моментом самой компиляции) Если используется что-то нестандартное, самописное и с испорченными сигнатурами заголовков для усложнения идентификации, то придётся поломать голову. И только после этого, будет доступен статический анализ по исходному коду, в большинстве случаев не вполне точно расшифрованному и с потерянными именами функций и переменных. Но опытным аналитикам достаточно видеть ассемблерный листинг, вместо исходника. Часто бывает что программа расшифровывает себя несколько раз, собирает данные, отправляет их, и на последней стадии выкачивает из сети новый модуль, а сама самоудаляется, так что проанализировать ее действия не представляется возможным за отсутствием изначального дроппера, либо наоборот, дроппер есть, но сайт с полезной нагрузкой более неактивен. Поэтому вирусню исследуют динамически, выполняя в пошаговом режиме (через программу-отладчик) или похожее ПО, работающее внутри песочницы или изолированной машины. В антивирусных лабораториях используются собственные программные комплексы, выполняющие большинство рутинной работы самостоятельно или в полу-ручном режиме. Работает это так: в системе запускается неизвестная программа и комплекс перехватывает все ее действия. В итоге получается аналитический отчёт, похожий на то, что нам могут предоставить публичные сервисы, подобные этим: - https://www.hybrid-analysis.co... 325a61ad1b - https://app.any.run/tasks/c120... 60163f62e/ плюс стек из сотен тысяч API-функций, вызываемых программой, применяя спец. фильтры к которым, можно вручную проанализировать, что конкретно делает программа. Обычно, в таких комплексах все это уже сгруппировано в виде схем-зависимостей. Отдельно, есть софт для анализа сетевого трафика. Тот самый канал, по которому уходит собранная инфа, либо приходят команды от оператора. Трафик перехватывается, пакеты расшифровываются, что даёт еще одну возможность узнать, какую инфу собирает троян. Альтернативно, можно эмулировать и подменить сам целевой сервер. По схожим кейсам составляется сетевая карта распространения. Сопоставление с другими модификациями мальвари или другой мальвари от той же преступной группы выполняется через сравнение энтропии / и специфического набора методик заражения, например, таких что недоступны публично, прочими маркерами, как строковыми константами, которыми бывает сами авторы подписывают свои творения, специфическими именами файлов и ключей реестра... Одна из цепочек может привести к уязвимому серверу, который ломают, и в последствии может вывести на след киберпреступников.
2
|
5 / 5 / 0
Регистрация: 15.08.2020
Сообщений: 33
|
|
23.08.2020, 14:20 [ТС] | 9 |
Спасибо большое за развернутый ответ , мне понадобится время что бы проанализировать эту инфу.
0
|
23.08.2020, 14:20 | |
23.08.2020, 14:20 | |
Помогаю со студенческими работами здесь
9
Как узнать что именно сгорело в компьютере? Нужно узнать что точно сгорело в компьютере. Можно ли узнать, в какой программе был создан документ? Можно ли распаковать exe файл или узнать на какой программе он сделан? Можно ли как-то посмотреть, что делал пользователь на компьютере? Как узнать что пользователь сделал в программе Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |