Форум программистов, компьютерный форум, киберфорум
Компьютерная безопасность
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.86/7: Рейтинг темы: голосов - 7, средняя оценка - 4.86
2 / 2 / 0
Регистрация: 15.08.2020
Сообщений: 30
1

Что можно узнать о вирусной программе на компьютере?

15.08.2020, 15:39. Просмотров 1274. Ответов 8

Пишу научную статью, интересует вопрос: Какие данные можно узнать о вирусной программе которая есть на компьютере?
0
Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
15.08.2020, 15:39
Ответы с готовыми решениями:

Что можно узнать о программисте по программе?
День всем добрый! Недавно я залил свою прогу на сайт Virustotal. Теперь я в лёгком недоумении. ...

Как в программе узнать имя (букву) под которой CD-ROM в компьютере?
как узнать имя (букву) под которой CD-ROM в компютере

Как можно узнать, есть ли на компьютере браузер Google Chrome?
Здравствуйте. Стоит задача: узнать, есть ли на компьютере браузер Google Chrome. Подскажите!...

Как узнать что полетело в компьютере?
Здравствуйте. У меня проблема с компом. В начале комп начал сам отключатся когда работаешь в нём, и...

8
Native x86
Эксперт Hardware
3973 / 2395 / 703
Регистрация: 13.02.2013
Сообщений: 7,872
16.08.2020, 05:33 2
Любые (это если коротко).

Добавлено через 51 секунду
Что, чем, и как вы собираетесь получать? Какие знания и навыки для этого имеются?
0
2 / 2 / 0
Регистрация: 15.08.2020
Сообщений: 30
16.08.2020, 14:46  [ТС] 3
Интересует что именно можно узнать из самой программы. Например, есть вирусная программа на компьютере, как можно узнать, когда она была создана, какой язык программирования, ее программный код и так далее.
0
Native x86
Эксперт Hardware
3973 / 2395 / 703
Регистрация: 13.02.2013
Сообщений: 7,872
17.08.2020, 03:50 4
Почти все можно, но для всего нужны соответствующие знания и навыки. И это объем информации несколько больший, чем можно вместить в паре-тройке ответов на форуме.

Задавайте более конкретные вопросы.
0
2 / 2 / 0
Регистрация: 15.08.2020
Сообщений: 30
17.08.2020, 12:25  [ТС] 5
На моем компьютере обнаружена вирусная программа по сбору данных:
1. Как узнать, на каком языке программирования написана вирусная программа? (какие программы для этого нужно применять?)
2. Как посмотреть программный код вирусной программы? (какие программы для этого нужно применять)
3. Можно ли узнать, как вирусная программа попала на мой компьютер?
4. По данным из вирусной программы, можно ли узнать место ее создания?

П.С. Заранее извиняюсь, если вопрос глупый или некорректный, я в программировании мало что понимаю, а в интернете то нет инфы, то написано непонятно.
0
Эксперт WindowsАвтор FAQ
17566 / 7410 / 881
Регистрация: 25.12.2011
Сообщений: 11,199
Записей в блоге: 16
20.08.2020, 12:56 6
Вам это на сколько подробно нужно?
Статья в какой сфере - юридическая, техническая, журналистика ... ?
И для какой аудитории / издания?
0
2 / 2 / 0
Регистрация: 15.08.2020
Сообщений: 30
22.08.2020, 14:37  [ТС] 7
Юридическая научная статья, но больше всего интересует именно сам механизм по работе с вирусной программой (какие данные можно с нее получить следователю например).
0
Эксперт WindowsАвтор FAQ
17566 / 7410 / 881
Регистрация: 25.12.2011
Сообщений: 11,199
Записей в блоге: 16
22.08.2020, 20:18 8
Лучший ответ Сообщение было отмечено quwy как решение

Решение

Юридическая / место создания... Но цель статьи какая?
Если я правильно понимаю - выйти на конкретное лицо и собрать против него доказательную базу?

Цитата Сообщение от Danilich2 Посмотреть сообщение
я в программировании мало что понимаю
Даже если бы вы хорошо разбирались в одном из классических языков, этого все равно недостаточно,
чтобы толково разобраться в теме и понять большинство аналитических отчётов от агентств, занимающихся
расследованием инцидентов в сфере компьютерной криминалистики. Необходимы еще и знания в особенностях
функционирования ОС, работы телеметрии, сетевого оборудования и низкоуровневого программирования...

Именно поэтому я спрашивал, для какой аудитории предназначена ваша статья, т.к. читатели вероятно
тоже не смогут совладать со слишком специфической терминологией. Например, для киберполиции
большинство терминов должны быть предельно понятны.

В целом начало расследования очень сильно зависит от того,
- какого рода это вредоносное ПО (да, говорить "вирус" - это не правильно).
Почитайте про терминологию: https://encyclopedia.kaspersky... ification/
- каким образом оно было выявлено?
- какие защитные решения и политики есть в организации, SOC и DLP системы.
Это позволяет быстро сориентироваться по логам системы, как и откуда произошла атака.
Примеры: https://habr.com/ru/company/so... og/510736/

В целом, вот один из вариантов международно-признанной классификации векторов атаки и вредоносного действия:
https://attack.mitre.org/

Также, по масштабу, это могут быть:
- целенаправленные атаки (например, на конкретную организацию)
- масштабную, против целых стран.

Также, это могут быть
- внешние
- внутренние, допустим, один из админов при увольнении обиделся, и решил оставить подарок,
что разумеется сильно сужает область поиска и увеличивает шансы в поимке злоумышленника.

Для широкомасштабных и длительных атак, чаще всего имеет место быть высокий уровень подготовки злоумышленника.
Поэтому задача по вычислению таких групп по силам только международному сообществу.

Там в дальнейшем ячейку палят через недостаточную анонимность соучастников, а также вычисляют через финансовый анализ.

Цитата Сообщение от Danilich2 Посмотреть сообщение
3. Можно ли узнать, как вирусная программа попала на мой компьютер?
Не лучший пример, но первое что попалось: https://habr.com/ru/company/group-ib/blog/457592/
Напишите, сколько % из написанного, вы поняли
В конкретном случае: Jump lists, prefetch и история браузера - те самые цифровые отпечатки,
по которым отследили путь заражения до верхнего уровня - email-а с зараженным файлом.

Email можно отправить откуда угодно, подменить адресата и IP через VPN и пр.,
вплоть до того, чтобы получить несанкционированный доступ к одному из ПК
внутри корпоративной сети и разослать Email-ы с легальной ЭЦП по внутренней сети.

Следовательно, дальше проследить адресата не удастся.
Если только вредитель не будет на вот столько необразованным: https://habr.com/ru/post/142192/

Цитата Сообщение от Danilich2 Посмотреть сообщение
На моем компьютере обнаружена вирусная программа по сбору данных:
Существует тонкая грань между сбором данных во вред и в полезных целях
(например, для предоставления более релевантной информации в рекламных заголовках,
сбор данных об ошибках и оборудовании для улучшения работы программы на конкретных конфигурациях).

Т.е. здесь еще вопрос, почему вы считаете что она вредоносная?

Бывает и так, что:
- разработчик добавляет нехороший функционал через какое-то время.
Легальная программа часто подписывается ЭЦП. По ЭЦП у CA (Certificate Authority) есть точный адрес
разработчика. Но никто в здравом уме не будет так палиться.
- сертификат крадут
- ломают саму машину разработчика и встраивают вредоносную нагрузку.
- разработчик сам по неосторожности, ловит заразу, которая заражает его продукты.

Цитата Сообщение от Danilich2 Посмотреть сообщение
когда она была создана,
Да, можно, см. VirusTotal - вкладка Details. Такая информация добавляется к бинарю в момент компиляции, но ее можно подменить.
Также можно примерно оценить по дате первого Submission (т.е. когда первый раз файл залили на VT).

Цитата Сообщение от Danilich2 Посмотреть сообщение
1. Как узнать, на каком языке программирования написана вирусная программа? (какие программы для этого нужно применять?)
Можно. Простейший вариант, PeID. Или тоже самое в VirusTotal, вкладка Details.
Только эту инфу легко подменить.

Цитата Сообщение от Danilich2 Посмотреть сообщение
2. Как посмотреть программный код вирусной программы? (какие программы для этого нужно применять)
С помощью декомпилятора. Наиболее распространенный - IDA, либо ILSpy для языков Dot.NET
Но сперва с программы чаще всего придётся снять:
- упаковщик (это когда исполняемая часть кода сжимается)
- криптор (когда шифруется, и дешифровка выполняется в момент непосредственного выполнения программы)
- обфускацию (когда намеренно запутывается структура программы, переименовывается все что возможно, перед моментом самой компиляции)
Если используется что-то нестандартное, самописное и с испорченными сигнатурами заголовков для усложнения идентификации, то придётся поломать голову.

И только после этого, будет доступен статический анализ по исходному коду, в большинстве случаев не вполне точно расшифрованному
и с потерянными именами функций и переменных. Но опытным аналитикам достаточно видеть ассемблерный листинг, вместо исходника.

Часто бывает что программа расшифровывает себя несколько раз, собирает данные, отправляет их, и на последней стадии выкачивает из сети новый модуль,
а сама самоудаляется, так что проанализировать ее действия не представляется возможным за отсутствием изначального дроппера, либо наоборот,
дроппер есть, но сайт с полезной нагрузкой более неактивен.

Поэтому вирусню исследуют динамически, выполняя в пошаговом режиме (через программу-отладчик) или похожее ПО,
работающее внутри песочницы или изолированной машины.
В антивирусных лабораториях используются собственные программные комплексы, выполняющие большинство рутинной работы самостоятельно или в полу-ручном режиме.
Работает это так: в системе запускается неизвестная программа и комплекс перехватывает все ее действия.
В итоге получается аналитический отчёт, похожий на то, что нам могут предоставить публичные сервисы, подобные этим:
- https://www.hybrid-analysis.co... 325a61ad1b
- https://app.any.run/tasks/c120... 60163f62e/
плюс стек из сотен тысяч API-функций, вызываемых программой, применяя спец. фильтры к которым, можно вручную проанализировать, что конкретно делает программа.
Обычно, в таких комплексах все это уже сгруппировано в виде схем-зависимостей.

Отдельно, есть софт для анализа сетевого трафика. Тот самый канал, по которому уходит собранная инфа, либо приходят команды от оператора.
Трафик перехватывается, пакеты расшифровываются, что даёт еще одну возможность узнать, какую инфу собирает троян.
Альтернативно, можно эмулировать и подменить сам целевой сервер.

По схожим кейсам составляется сетевая карта распространения.
Сопоставление с другими модификациями мальвари или другой мальвари от той же преступной группы выполняется
через сравнение энтропии / и специфического набора методик заражения, например, таких что недоступны публично,
прочими маркерами, как строковыми константами, которыми бывает сами авторы подписывают свои творения,
специфическими именами файлов и ключей реестра...
Одна из цепочек может привести к уязвимому серверу, который ломают, и в последствии может вывести на след киберпреступников.
2
2 / 2 / 0
Регистрация: 15.08.2020
Сообщений: 30
23.08.2020, 14:20  [ТС] 9
Спасибо большое за развернутый ответ , мне понадобится время что бы проанализировать эту инфу.
0
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
23.08.2020, 14:20

Заказываю контрольные, курсовые, дипломные и любые другие студенческие работы здесь.

Как узнать что именно сгорело в компьютере?
У меня есть комп, экран и ИБП. ДОма у меня живут люди которые нихера не понимают ничего и каждый...

Нужно узнать что точно сгорело в компьютере.
От компьютера запахло горящими проводами , после начал писчать биос безпрерывно ,читал что это БП...

Можно ли узнать, в какой программе был создан документ?
Доброго дня загружал документы через дбф подскажите можно ли как то узнать в какой программе было...

Можно ли распаковать exe файл или узнать на какой программе он сделан?
Здравствуйте. Короче у меня есть ехе файл, можно ли распаковать его и изучить что она делает? или...

Можно ли как-то посмотреть, что делал пользователь на компьютере?
Допустим есть комп который находиться в доменной сетке. 1) На нем логично есть локальный админ,...

Как узнать что пользователь сделал в программе
Есть некоторая программа для работы с БД. Подскажите каким образом организовать слежку за...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
9
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2021, vBulletin Solutions, Inc.