Как обнаружить вредоносные программы

Данный пост является копипастой комментария пользователя @Ashcraft, из поста http://pikabu.ru/story/_3718870. Некоторые пользователи выразили желание увидеть этот комментарий в отдельном посте. Комментарии для минусов присутствуют.

Сам комментарий:


Парень, все кто советует тебе антивирусы - полные ламеры, которые ни одного вируса в своей жизни не убили.

Для начала ставь Process Explorer - замена стандартному, убогому "диспетчеру задач".

Да, да, эта штука на столько серьезна, что её выкупила империя зла и разместила на своём официальном сайте.
В списке программ наглядно видно какая программа запустила какую и кому принадлежит.

В первую очередь обрати внимание на столбец "Company Name". В большинстве случаев будет Microsoft Corporation и другие известные компании - например программки производителя ноутбука или драйверы от видеокарт. Увидишь что-то незнакомое - лови наркомана.

Во вторую очередь обрати внимание на столбец "Description" (описание по русски) - у _всех_ приличных программ есть хоть какое-то описание из нескольких слов. Иногда даже вполне внятное. Исключения в данный момент составляют только стандартные программы из комплекта windows10 (калькулятор, смотрелка изображений и тд). Увидишь что-то еще без описания (description) - лови наркомана.

В третью очередь обрати внимание где лежат исполняемые файлы программ. Для этого попросту наведи мышкой на программу в списке и всплывающая подсказка тебе быстро покажет путь до файла программы. Хорошие программы могут лежать _только_ в папках:
C:Windows
C:Program Files
C:Program Files (x86)
и ни в каких других! Увидишь программу, которая лежит в каком-то другом месте, особенно в каком-нибудь "Temp" или где-то в "AppData" - лови наркомана.

С некоторым опыт на автомате запомнишь все куски системы и сразу будешь видеть лишнее - когда некоторые вредные программы маскируются под запчасти Microsoft Corporation и подобное и уже чуть ли не на автопилоте будешь видеть и ловить наркоманов.

Далее ставишь Autoruns.
Авторы программы те же, точно так же выкуплено M$.

Там по вкладкам:
Logon - то что загружается при входе пользователя, смотрим - всё ли нам знакомо - к незнакомым программам приглядываемся, проверяем где они лежат. Нашли что-то подозрительное - отключаем, проверяем, если что не так - ловим наркомана.

Explorer - расширения рабочего стола. Например, там часто прописываются дополнительные меню при нажатии правой кнопкой мыши или вирусня. Точно так же проверяем и ловим если что.

Internet Explorer - расширения ослика ИЕ. Шерстим, ловим.

Sheduled Tasks - задания встроенного системного планировщика windows. Там тоже очень часто вирусня заседает. Очень уж удобный инструмент. Задания можно настроить на выполнение по разным событиям. Например - убил ты вирус, задание тут же (или завтра или при следующей перезагрузке или еще как-то) запускается и ставит вирус по новой. Так что это дерьмо следует тщательно проверить. Всё незнакомое и/или подозрительное выключить. Благо если ошибёмся - можно включить обратно любой пункт в Autoruns.

Services - те же самые Службы что можно проверить и в windows, но тут с преферансом и мадемуазелями.

"Boot Executable" и "Image Hijacks" - в идеале должны быть пустыми.

Теперь немножко о способах ловли наркомана.
Видите наркомана в Process Explorer? В первую очередь не надо пытаться его убить. Любой сносный вирус это поймёт и начнёт противодействовать - например как минимум запускаться снова. Вместо убийства, нажмите правой кнопкой мыши и выберите Suspend (приостановить - по русски). Процесс окажется как бы запущен но на паузе и соответственно ничего не сможет сделать. Далее открываем его свойства (Properties) через ПКМ или двойной щелчок. Смотрим: где эта сволочь живёт и от чьего имени запущена (система, пользователь или еще чего) (закладка Image) и куда он лезет в сети (закладка TCP/IP). С этой информацией мы уже практически оседлали бяку.

Далее можно запретить обращения к адресам куда лезет вирусня и навести геноцид в папке его обитания на вашем компе. Если папка не какая-то рандомная, а вирус всегда появляется в одной и тоже папке, то можно её не удалять. Вместо удаления папки, удаляем её содержимое, потом в свойствах папки делаем "только чтение ". А теперь нам нужна информация - от чьего имени был запущен вирус, например от имени "СИСТЕМА" (системный суперпользователь). В настройках прав доступа к папке, запрещаем пользователю СИСТЕМА любые действия с папкой как-то запись или чтение. На себя любимого эти права на всякий случай оставляем. PROFIT. Даже если вирус запустится - он не сможет себя сохранить в привычном месте и жестоко обломится.

В общем устал я писать, и так более чем достаточное руководство расписал. Удачи в поисках наркоманов!
Вы смотрите срез комментариев. Показать все
9
Автор поста оценил этот комментарий

Интересно, люди которые начнут ловить "наркоманов" и убившие свои системы не поленятся потом минусы поставить?


Автор типичный недоучка из IT, который уже "все знает". О сколько открытий чудных, готовит просвещения мир. Сам таким был.


p.s. winlogon.exe и dwm.exe не имеют указания производителя и описания! Лови наркомана! гггг))))))))

раскрыть ветку (10)
9
Автор поста оценил этот комментарий
winlogon.exe и dwm.exe не имеют указания производителя и описания! Лови наркомана! гггг))))))))
О сколько открытий чудных, готовит просвещения мир. Сам таким был.

Я просто оставлю эту картинку здесь, чтобы указать что из нас двоих недоучка

Иллюстрация к комментарию
раскрыть ветку (8)
3
Автор поста оценил этот комментарий

Но за нормальную картинку - спасибо, поскольку ProcExp уже давно вместо виндового работает. Вот прямо сейчас.

2
Автор поста оценил этот комментарий

Без перехода на личности. Колонки не отредактированы, так работать неудобно.

раскрыть ветку (1)
2
Автор поста оценил этот комментарий
Колонки не отредактированы
Я обрезал лишнее и так скрин большой. А про личности это вам стоит к оратору выше обратиться)
2
Автор поста оценил этот комментарий

Наверное тот, кто сидит под админом? (Автор поста, как бы не указывает, что PE должен быть запущен с права администратора)

Иллюстрация к комментарию
раскрыть ветку (4)
5
Автор поста оценил этот комментарий
Да я вообще много чего не указал. Начнем с того что я просто посоветовал 2 программки и привёл самые первые шаги для их применения. Хотите дотошных подробностей - идите в университет учиться на IT специальность, а не читайте посты на развлекательных сайтах.


И да, зачем вообще запускать ProcExp не от рута?

раскрыть ветку (3)
4
Автор поста оценил этот комментарий
ахаха гениальная отмазка Я вам дал какуюто инфу которая н первый взгляд кажется полезной  но когда это оказалось не так то начинаются отмазы в стиле хочешь знать иди учись А ниче что в большинстве случаев этому и учится негде? Или автор считает что за мкад жизни нет? У нас в городе (120 тысяч душ) есть 2 специальности связанные с информатикой Одна из них это учитель информатики И поверьте самой информатики мало и она относится больше к програмированию типа а давай те вы одни и теже программы будете переписывать на разных языках програмирования

А вообще ты мне напоминаешь девушку которй я переустанавливал винду и она спросила на кого я учился и когда я ответил что на учителя информатики то она такая - Аа ну вас там же учили переустанавливать винду ))

 Если на каждый чих мне надо будет заканчивать университеты  то пожалуй я в том университете и сдохну Если уж начали делать гайд то пожалуйста воспринимайте критику нормально Не понравилось комуто пост МОжно забить ну или сделать другой где будет более подродно рсписано Тем более что советы вам уже дали осталось только налепить скринов

раскрыть ветку (2)
7
Автор поста оценил этот комментарий
Хоспаде, что за бурления. Ну ок... по пунктам распишу, что-то я сегодня очень добр.


1) Приведённая информация действительно полезна новичкам и никто этого факта не отменит.

2) Какие еще "отмазы"? Слишком многие видят то, чего хотят, а не то, что на самом деле.

3) По направлению IT-безопасности вообще мало где учат, особенно с нуля.

4) Учиться никогда не поздно и это крайне интересно. Жаль что вы, как и многие люди, не разделяете эту точку зрения.

5) Я лишь написал коммент в помощь одному конкретному человеку, в одном конкретном посте. Да, его взяли другие люди, вырвали из контекста и запилили в отдельный пост. Но, хэй, это не моя проблема! И уж тем более не моя проблема - чужие бурления на тему детализированности моих советов третьим лицам, особенно в таком дерзком тоне. Из чего следует следующий пункт.

6) Будьте вежливы и возможно вам тоже кто-то поможет так, что его небольшой коммент превратят в отдельный пост.

2
Автор поста оценил этот комментарий

забей тут тяжелый случай))

его коммент сделали постом на пикабу) это подтверждает его знания и правоту.

1
Автор поста оценил этот комментарий

О_о КАКБЛЕАТЬ?! Откуда такой дистриб достать надо?!

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку